O centenário do roubo de identidade

Como os golpistas conseguiram um ataque Man-in-the-Middle e superaram a autenticação de dois fatores em… 1915?!

Pesquisadores de ciberameaças ultimamente têm disparado o alarme sobre o perigo crescente de deepfakes. Em particular, eles aconselham a não confiar em seus ouvidos: na era digital da inteligência artificial, a voz do outro lado da linha pode não pertencer a quem você pensa. Falando nisso, alguém adivinha sobre o que as pessoas tinham medo há mais de cem anos? Naquela era mecânica de descobertas científicas, eles desconfiavam, sim — de confiar em seus ouvidos. Afinal, será que a voz do outro lado da linha era realmente de quem eles pensavam? Não acredita? Então dê uma olhada em um caso de roubo de identidade usando tecnologia sofisticada para sequestrar dinheiro de uma conta bancária retratada em uma produção audiovisual de 1915! Bem-vindo ao mundo da série de filmes mudos franceses Les Vampires.

Les Vampires

Um rápido spoiler: quem procura monstros sugadores de sangue sobrenaturais ficará desapontado. O personagem principal, o jornalista Philippe Guérande, enfrenta uma ousada gangue criminosa que se autodenomina Vampiros. Apesar de sua idade venerável, o filme tem muito a oferecer em termos de segurança da informação. Veja apenas a primeira cena, que ilustra por que o acesso de forasteiros a documentos de trabalho é proibido.

Os próprios Vampiros são interessantes pelo uso de métodos de alta tecnologia. Uma grande parte do episódio três (O Criptograma Vermelho) é entregue à criptoanálise: Guérande procura padrões nas notas criptografadas dos vilões. E o episódio 7 (Satanus) é construído em torno de uma tentativa de copiar a identidade de outra pessoa. Mas como alguém consegue roubar identidade armado apenas com a tecnologia do início do século 20?

Roubo de identidade em 1915

Em poucas palavras, o esquema criminoso é o seguinte. Os Vampiros descobrem que o magnata americano George Baldwin está em uma viagem a Paris, onde decidem livrá-lo de parte de seu dinheiro. Para fazer isso, eles planejam um ataque de vários estágios. Primeiro, eles conseguem que o milionário seja entrevistado por um deles, Lily Flower, se passando por uma jornalista da revista Modern Woman, em tradução livre, Mulher Moderna. Ela diz a Baldwin que sua revista publica uma citação de celebridade todos os meses e pede a ele que escreva algumas palavras em um caderno, depois date e assine.

Em seguida, uma vendedora que afirma ser da Universal Phonograph Company visita o milionário com uma nova peça de mágica tecnológica: um fonógrafo real – o primeiro dispositivo para gravar e reproduzir som. Ela explica a Baldwin que é política de sua empresa gravar as vozes de pessoas famosas que visitam Paris. Caindo na armadilha, ele dita a única frase que consegue pronunciar em francês: “As mulheres parisienses são as mais charmosas que já vi”, acrescentando “Tudo bem!” em inglês no final.

A natureza completa do golpe é então revelada ao espectador. O objetivo da primeira etapa era, claro, roubar a assinatura do magnata. Sob a folha em que Baldwin deixou seu autógrafo havia algum tipo de papel carbono, que registrava devidamente a assinatura e a data. Acima disso, os criminosos redigiram uma ordem falsa obrigando o New American Bank a pagar a Lily (a jornalista) a quantia de US$100.000 (uma quantia bem relevante nos dias de hoje; imagine seu valor um século atrás!).

Em seguida, eles sequestram a telefonista do hotel de Baldwin e mandam outro cúmplice em seu lugar com um bilhete: “Estou doente, envio meu primo para substituí-lo”. A gerência do hotel engole esse truque primitivo e coloca o completo estranho no comando do telefone.

Enquanto isso, Lily vai ao banco com a ordem de pagamento falsa. O caixa decide verificar a legitimidade da transação e liga para o hotel onde Baldwin está hospedado. Lá, a falsa telefonista toca a gravação do milionário proferindo seu bordão, que convence o caixa a pagar.

Quão viável é esse esquema?

A maior parte é bobagem total, é claro. Como diabos um caixa parisiense de um banco americano em 1915 saberia a assinatura, quanto mais a voz, de algum milionário americano? Sem mencionar o fato de que as linhas telefônicas daquela época provavelmente distorciam aquela voz além do reconhecimento. Dito isto, o esquema em si é uma implementação clássica de um ataque man-in-the-middle (MitM) – o caixa tem certeza de que a voz pertencia a Baldwin, que por sua vez pensa que ele, anteriormente, a forneceu à “empresa fonográfica “.

Além do mais, o filme apresenta uma forma de escapar da autenticação de dois fatores (2FA): roubo de assinatura e confirmação de voz falsa. Claro, tudo isso agora é feito usando tecnologias digitais, mas o cenário principal do ataque permanece o mesmo. Como tal, as principais contramedidas poderiam ter sido formuladas há mais de um século:

  • Não dê acesso a estranhos aos canais de comunicação (falsa telefonista).
  • Não compartilhe dados pessoais confidenciais com ninguém — nunca (assinatura e biometria de voz).
  • Em caso de dúvida, verifique cuidadosamente a legitimidade da instrução (a frase “as mulheres parisienses são as mais charmosas que eu já vi” não é a verificação mais rígida).

Hoje, você pode conferir esta maravilhosa série de filmes na Wikipedia. Se, no entanto, seus funcionários não estiverem prontos para receber dicas de cibersegurança do cinema mudo, recomendamos usar nossa Kaspersky Automated Security Awareness Platform interativa.

Dicas

Wi-Fi falso a bordo

Mesmo em altitude de cruzeiro, as ameaças cibernéticas ainda podem tornar sua vida digital turbulenta, como comprovado por uma prisão recente. Como se proteger a 30 mil pés acima do nível do mar?