Diplomada do IPL numa das maiores competições de cibersegurança do mundo

Teresa Pereira, licenciada em Engenharia Informática pelo Politécnico de Leiria, vai participar na DEF CON, uma das maiores e mais prestigiadas convenções de cibersegurança a nível mundial, realizada anualmente em Las Vegas, nos Estados Unidos da América (EUA). A antiga estudante do IPL foi uma das 14 concorrentes selecionadas em todo o mundo para participar na competição de vishing da Social Engineering Community (SEC), integrada na village (vila) de Engenharia Social da DEF CON, que arranca amanhã e decorre até domingo.
A village de Engenharia Social funciona como um espaço dentro do evento dedicado ao estudo, prática e discussão sobre engenharia social, isto é, a arte de manipular pessoas para obter informações ou acesso a sistemas, frequentemente explorando falhas humanas em vez de vulnerabilidades técnicas.
Na competição de vishing – uma forma de ataque em que o criminoso utiliza chamadas telefónicas para realizar fraudes –, os participantes vão realizar ligações telefónicas com o objetivo de extrair, de forma ética, informações específicas de alvos previamente definidos, usando técnicas legítimas de persuasão. O objetivo é mostrar na prática a eficácia e o risco da engenharia social, mas com regras rígidas para garantir a privacidade e segurança dos envolvidos.
“A engenharia social sempre foi um tema que me cativou bastante, porque mexe muito com a psicologia humana. Existem várias técnicas que são tão óbvias e que, por vezes, nem damos conta, sendo bastante utilizadas neste mundo”, refere Teresa Pereira, de 27 anos, que começou a praticar vishing em 2021.
No âmbito desta competição, cujo objetivo é avaliar as competências de engenharia social dos participantes, a cada concorrente (individual ou dupla) é atribuída uma empresa, que não é informada do desafio competitivo, de modo a salvaguardar a experiência e os resultados.
Até cerca de três semanas antes da competição, os concorrentes têm de pesquisar e recolher o máximo de informações sobre a empresa, sem estabelecer qualquer contacto direto com a mesma, recorrendo sobretudo a técnicas de Google Dorking, um método que utiliza comandos avançados de busca no Google para encontrar informações sensíveis ou vulnerabilidades em sites e sistemas, que normalmente não aparecem em pesquisas comuns. Embora seja associada ao hacking, trata-se de uma prática legal, utilizada por profissionais de segurança para identificar vulnerabilidades nos sistemas.
Além desta pesquisa, os participantes têm ainda de preparar e entregar um plano de vishing, que compreende os cenários a serem utilizados, bem como os números de telefone de onde os participantes pretendem ligar e os números para os quais vão ligar.
Quando chegar o momento da prova, já em Las Vegas, os concorrentes terão um horário definido para contactar a empresa, durante um tempo limitado, sendo avaliados pelo júri em função do desempenho ao longo da competição e do contacto com a empresa.
“Foi-me atribuída uma empresa dos EUA, o que significa que tenho de ligar para um número desse país – o que nunca o fiz até agora –, pesquisar e conhecer a empresa, e adaptar-me à cultura e ao modo como eles falam, de forma a extrair o máximo de informações. Importa referir que as informações recolhidas não causam qualquer risco nem dano às empresas. Trata-se de informações mais simples, como o sistema operativo utilizado e a empresa responsável pela limpeza das instalações”, explica Teresa Pereira, citada numa nota informativa enviada ao nosso jornal pelo IPL.
Sobre as expectativas para a participação na competição, afirma não ter somente os olhos postos na classificação e na vitória, mas também na experiência e no potencial de aprendizagem.
“Espero, acima de tudo, aprender coisas novas, porque o mercado em Portugal e o mercado nos Estados Unidos não têm nada a ver um com o outro. As pessoas têm experiências diferentes e há muitas variáveis em jogo. Portanto, espero adquirir novos conhecimentos, não só para aplicar também no meu trabalho – agora e no futuro –, mas até mesmo na vida pessoal, porque quando aprendemos algo novo, retiramos sempre coisas para a nossa vida pessoal”.

Há cinco anos dedicada ao vishing
Natural da Marinha Grande, Teresa Pereira concluiu a licenciatura em Engenharia Informática em 2020, tendo iniciado o seu percurso profissional numa pequena consultora, em Lisboa. Começou depois a trabalhar numa das Big Four, onde permaneceu durante cerca de três anos, fazendo parte da Red Team, na qual, entre explorar vulnerabilidades em aplicações e definir e executar cenários de vishing, era também responsável por fazer phishing, um tipo de ataque cibernético em que se tentam obter informações confidenciais.
Há cerca de um ano e meio, mudou-se para uma multinacional no setor da energia, onde trabalha agora do lado da defesa, também chamada de Blue Team.
No início deste ano, juntamente com um colega programador, fundou a OWASP Leiria, um capítulo local da OWASP Foundation, uma organização internacional sem fins lucrativos dedicada a promover a segurança de software e aplicações.