Tailgating (também conhecido como “piggybacking”) é um ataque físico de engenharia social em que uma pessoa tenta acessar uma área restrita sem autorização.
Neste guia, vamos explorar:
- O que é tailgating;
- Exemplos reais de tailgating;
- Como evitar este tipo de ataque.
Mailfence - Obtenha seu e-mail seguro e gratuito.
4.1 baseado em 177 avaliações de usuários
O que é Tailgating?
O tailgating ocorre quando alguém acessa uma área restrita (como um prédio, espaço de escritório, etc.) sem permissão.
Na prática, isso pode acontecer quando o criminoso segue alguém de perto, pedindo-lhe para segurar a porta, ou fingindo ser um entregador ou técnico de manutenção.
A principal diferença entre o tailgating e outras formas de engenharia social é que ele envolve uma intrusão física. Mesmo assim, ele se parece bastante com o baiting.
Em sua origem, o termo “tailgating” se refere a “perseguição próxima de outro veículo”. No entanto, ele foi adaptado para descrever essa tática de invasão.
Tailgating: Exemplos reais
Mas afinal, como acontece um ataque de tailgating? Aqui estão alguns cenários comuns.
- Motorista de entrega: O invasor se faz passar por um prestador de serviço, como um motorista, entregador ou técnico de manutenção, para obter acesso a áreas restritas.
- Roubo de credenciais: O invasor obtém um crachá de acesso por meio de táticas de engenharia social, como fingir que é um novo funcionário que esqueceu suas credenciais.
- Tailgating assistido por tecnologia: Invasores podem usar tecnologias como scanners RFID ocultos para clonar crachás de acesso e obter entrada não autorizada posteriormente.
Agora, vamos conferir exemplos reais de tailgating.
Caso nº 1: Falha de segurança no aeroporto de Munique
Em agosto de 2024, um norueguês de 39 anos conseguiu embarcar em dois voos sem passagem no Aeroporto de Munique em dois dias consecutivos.
De alguma forma, ele conseguiu burlar a segurança seguindo passageiros com cartões de embarque legítimos.
No primeiro dia, ele foi detectado e detido já a bordo do avião, pois não tinha um assento reservado. Notavelmente, no dia seguinte, ele repetiu o feito, embarcando em um voo da Lufthansa para Estocolmo sem ser detectado.
Esse incidente impulsionou investigações sobre os protocolos de segurança no Aeroporto de Munique e expôs vulnerabilidades graves nas suas medidas de controle de acesso.
Caso nº 2: Diplomatas russos acessam a áreas restritas do Parlamento Britânico
Em dezembro de 2024, diplomatas russos obtiveram acesso a áreas restritas das Casas do Parlamento Britânico, em uma grande violação de segurança.
A proibição de visitas de autoridades russas está em vigor desde 2022.
O grupo de diplomatas aparentemente havia participado de um passeio público pelas Casas do Parlamento. Eles então se separaram do grupo e conseguiram entrar em uma área restrita antes de serem encontrados pela segurança.
Felizmente, eles foram pegos antes que qualquer dano fosse causado. No entanto, o incidente ressaltou o sério risco de tailgating em prédios governamentais.
Caso nº 3: Frank Abagnale
Frank Abagnale foi um notório vigarista e impostor que, na década de 1960, realizou com sucesso diversas atividades fraudulentas explorando táticas de engenharia social, incluindo a “tailgating”.
Ele se fez passar por um piloto da Pan Am, obtendo acesso não autorizado às instalações do aeroporto e até mesmo viajando de graça ao seguir com confiança a equipe da companhia aérea.
Abagnale também se fez passar por médico e advogado, usando seu charme e habilidades de manipulação para ganhar confiança e acessar áreas restritas sem as devidas credenciais. Sua capacidade de se misturar e explorar a confiança humana permitiu que ele descontasse milhões de dólares em cheques fraudulentos antes de ser pego.
Depois de cumprir pena na prisão, ele trabalhou com o FBI como consultor de segurança, ajudando organizações a evitar fraudes e ataques de engenharia social. Sua história ficou famosa no filme Catch Me If You Can, com Leonardo DiCaprio.
Como evitar o tailgating em sua empresa?
O tailgating pode ser especialmente perigoso para organizações de médio e grande porte, pois há muita coisa em jogo. Criminosos podem:
- Roubar segredos, dinheiro e/ou equipamentos da empresa;
- Instalar um backdoor no servidor para espionar todas as conversas na rede da empresa.
Se você trabalha em uma empresa de médio porte, é importante questionar todos que quiserem ter acesso às instalações.
A princípio, isso pode parecer rude e estranho. No entanto, é do interesse de sua empresa. Peça à gerência que instale scanners biométricos e catracas para evitar que tailgaters simplesmente entre no prédio.
Os scanners biométricos e as catracas impedem que o tailgater entre com você no prédio, pois só permitem uma pessoa de cada vez. Além disso, você deve questionar essa pessoa e fazer perguntas que somente os funcionários saberiam.
Embora pareça simples, o “tailgating” ou “piggybacking” pode ser uma maneira eficaz de seus concorrentes espionarem a sua empresa. Saiba mais sobre como proteger sua empresa contra espionagem de dados e como proteger seus computadores.
E se um invasor conseguir entrar mesmo assim?
Talvez você nem sempre tenha o controle de como as pessoas acessam um edifício. Por exemplo, se você alugar um espaço de escritório em um edifício maior, a política de acesso provavelmente está fora do seu controle.
Nesse caso, há várias medidas que você pode tomar para se proteger:
- Bloqueio automático de tela e logout manual: Treine seus funcionários para fazer logout ou bloquear seus computadores (Windows + L para Windows, Command + Control + Q para macOS) sempre que se afastarem de suas mesas. Implemente o bloqueio automático de tela após um curto período de inatividade (por exemplo, 1 a 2 minutos) para evitar o acesso não autorizado.
- Políticas de segurança de documentos e mesa limpa: Funcionários nunca devem deixar documentos confidenciais, anotações ou dispositivos de armazenamento (USBs, discos rígidos) sem supervisão em suas mesas. Use gavetas trancadas para papéis confidenciais e exija a trituração de documentos confidenciais antes de descartá-los.
- Restrinja o acesso não autorizado a salas de reunião e quadros brancos: Incentive suas equipes a apagar as informações confidenciais dos quadros brancos após reuniões e garanta que as discussões confidenciais não ocorram em áreas abertas onde pessoas não autorizadas possam ouvir.
- Monitore os visitantes e questione indivíduos suspeitos: Ensine seus funcionários a desafiar educadamente qualquer pessoa que não reconheçam e a denunciar imediatamente visitantes sem escolta. Implemente uma política de crachá para visitantes e exija que todos os visitantes sejam acompanhados o tempo todo.
- Use controle seguro de impressão e acesso para equipamentos de escritório: Implemente o “pull printing”, exigindo autenticação antes que documentos sejam impressos, para evitar que pessoas não autorizadas acessem impressões confidenciais.
Tailgating: Considerações finais
O tailgating geralmente tira proveito de funcionários distraídos. Por isso, a conscientização é fundamental. Treine seus funcionários regularmente, mantendo-os preparados com conhecimento.
Você pode oferecer cursos gratuito de conscientização sobre segurança e privacidade para garantir que eles jamais caiam em um ataque de tailgating. Sempre que a sua empresa contratar um novo estagiário, você deve se certificar de fornecer a ele um treinamento básico de segurança cibernética, pois 99% dos estagiários desconhecem completamente a existência desses ataques.
Nenhuma dessas dicas terá importância se você não ficar atento e desconfiar de todas as pessoas que não conhece. Segurar a porta para uma pessoa que está “atrasada” parece inofensivo, mas essa decisão tem muito peso. Como funcionário, você é responsável por garantir que ninguém, exceto o pessoal autorizado, entre no(s) edifício(s) da sua empresa.
Quer saber mais sobre os golpes de engenharia social e como evitá-los? Confira nosso guia completo aqui.
