DEF CON 33: quem é Teresa Pereira, a portuguesa que vai desafiar hackers em Las Vegas

É uma das maiores convenções de cibersegurança do mundo e Teresa Pereira vai estar lá. A DEF CON 33 começa esta quinta-feira e decorre até ao dia 10, no Las Vegas Convention Center, em Nevada. A representante de Portugal tem 27 anos, vive na Marinha Grande, distrito de Leiria, é licenciada em Engenharia Informática pelo Politécnico de Leiria e trabalha numa multinacional do setor energético.

Teresa Pereira foi uma das 14 pessoas selecionadas internacionalmente para competir na prova de vishing (tipo de fraude eletrónica que envolve o uso de chamadas de telemóvel para enganar pessoas e induzi-las a revelar informações confidenciais), integrada na village de engenharia social da DEF CON.

Cabine de vidro, 20 minutos e uma chamada real

Durante 20 minutos, diante de meio milhar de pessoas, Teresa entrará numa cabine de vidro e ligará, em direto, para uma empresa real. O objetivo é simples apenas em teoria: obter, usando apenas a sua voz, dados técnicos que já estão previamente estipulados (não envolve dados sensíveis) no campo da segurança interna na empresa atribuída.

"Nada disto é ilegal, é um teste. E, ao contrário do que se possa imaginar do [hcker] comum, não envolve palavras-passe nem dados confidenciais", sublinha Teresa. Fora da competição, o vishing é uma ação ilegal, configurando um crime cibernético.

Os participantes investigam previamente a empresa-alvo e elaboram um plano detalhado com as perguntas a fazer, a identidade a assumir e os números de telefone a utilizar. A criatividade conta tanto como a ética. A regra de ouro é clara: em momento algum se pode revelar que a chamada é uma simulação.

"O mais difícil é manter o papel até ao fim. A chamada não pode soar a ensaio. Se a outra pessoa desconfiar, podemos não ganhar pontos. E temos de ser capazes de improvisar em tempo real", explica.

Do Red Team ao Blue Team: o percurso de Teresa Pereira

Teresa descobriu a engenharia social quando entrou para o mercado de trabalho, ao integrar a equipa Red Team (equipa ofensiva que simula ataques reais para testar a robustez das empresas) da KPMG. Mais tarde transitou para uma equipa Blue Team, já na empresa atual (focada na defesa, que responde a incidentes, reforça sistemas e protege utilizadores de ameaças reais).

Foi aqui que começou a desenhar campanhas de phishing - tipo de crime cibernético em que os criminosos se fazem passar por entidades confiáveis, como bancos ou empresas, para enganar as vítimas e obter informações confidenciais -, a simular ataques e a especializar-se em vishing.

"Comecei com zero experiência nesta área. Fiz a licenciatura em Engenharia Informática e entrei logo para o mercado de trabalho e fui aprendido enquanto trabalhava e nos meus tempos livres. Aprendi a adaptar-me à resposta do outro lado e a usar a psicologia em tempo real."

Apesar de agora estar do lado da defesa, o interesse pela engenharia social mantém-se. Foi esse entusiasmo que a levou a candidatar-se à competição internacional. Enviou um vídeo e um texto a justificar o seu valor enquanto candidata. "Não sei quantas pessoas se candidataram, nem de que países. Só sei que escolhem 14 participantes ou equipas de até dois elementos."

A competição passa por três fases: investigação da empresa atribuída, definição do seu plano de vishing (para quem irá ligar e realizar, medir a capacidade técnica e a compreensão do ambiente digital das vítimas) e a terceira, a chamada em direto, que será avaliada pela organização.

Este plano inclui os números a contactar, as perguntas a colocar e os cenários a simular, sempre sem extrair informação confidencial, nem contactar diretamente a empresa. Teresa já submeteu o seu. Está disponível uma tabela, que é atualizada regularmente, com as classificações da pesquisa passiva feita pelos participantes.

Vai competir no dia 8 de agosto. A entrega dos prémios está marcada para o dia 10 e contempla várias categorias.

Engenharia social: a voz como arma e vulnerabilidade

A engenharia social é uma técnica eficaz de acesso a organizações, e uma das menos prevenidas. "Os sistemas têm múltiplas camadas de segurança. Mas basta um clique ou uma chamada para abrir a porta a um ataque", afirma.

Em simulações anteriores, mediante a contratação de serviço por uma empresa externa e em contexto controlado, Teresa conseguiu que 70% das pessoas inserissem credenciais de acesso, por alegar ser do departamento de cibersegurança e usar outras técnicas para conseguir os dados sem que se apercebessem.

"Inseriram sem questionar.", disse.

O sucesso depende da voz, da construção de confiança e do improviso. "Se nos primeiros segundos a pessoa acredita que és quem dizes ser, tens meio caminho feito." E ser mulher? "Nunca senti que fosse vantagem ou desvantagem. Mas percebo que a voz feminina, em certos contextos, seja menos associada a uma ameaça."

Procura, no entanto, desmistificar a engenharia social como algo associado ao crime. Com o capítulo que fundou da OWASP em Leiria (iniciativa internacional que promove boas práticas na segurança de software), organiza meetups (encontros informais de partilha de conhecimento) e formações gratuitas.

Partilhar conhecimento e inspirar outras mulheres

"Quero criar espaço para que outras pessoas, especialmente mulheres, partilhem conhecimento e ganhem confiança para entrar na área."

A DEF CON 33 não será o fim do seu caminho. "Quero continuar a aprender e a partilhar. E gostava de voltar a candidatar-me ou tentar outros desafios.", diz Teresa Pereira.

Por agora, o foco está em manter a ilusão até ao fim da chamada, para conseguir alertar as empresas sobre o risco que correm. Numa era em que o clique é a chave de entrada, Teresa quer mostrar que a voz pode ser a maior vulnerabilidade, ou o maior arma.

Texto escrito por Nadja Pereira e editado por Mafalda Ganhão