Como fazer da vida de alguém um inferno usando a Internet

14 abr 2016

Sabemos que até mesmo um usuário experiente pode ser vítima de ataques específicos na Internet.

Quase todo mundo tem e-mail, contas em mídias sociais e internet banking. As pessoas fazem compras online e usam os dispositivos móveis para se identificar (usando autenticação de dois fatores, por exemplo) entre outras coisas importantes. Infelizmente, nenhum desses sistemas é completamente seguro.

ominous-targeted-hacks-FB

Quanto mais interagimos online, mais chances damos aos hackers. Isso é chamado por especialistas de segurança de “superfície de ataque”. Quanto maior a superfície – mais perigoso. Nas três histórias desse post, ficará bem claro como tudo funciona.

Como roubar uma conta: hackear ou telefonar?
Uma das ferramentas mais poderosas usadas por hackers é a engenharia social. No dia 26 de fevereiro de 2016, o editor da Fusion, Kevin Roose, decidiu verificar se o método era tudo isso mesmo. A hacker e engenheira social Jéssica Clark e o especialista em segurança Dan Tentler aceitaram o desafio.

Jessica prometeu hackear o e-mail de Kevin com um telefonema. Primeiro, sua equipe construiu um perfil de 13 páginas a respeito de Kevin, com dados de fontes públicas.

Com um plano em mente, Jessica clonou o número de Kevin e ligou para a companhia telefônica. Para aumentar a tensão, deu play em um vídeo de bebê chorando ao fundo.
Ela se passou pela esposa de Kevin. Contou uma historinha de que ela e o marido iriam se candidatar para um financiamento, mas a jovem e desastrada mãe esqueceu o e-mail que usavam juntos. Acompanhada pelo bebê de pulmões incansáveis, rapidamente convenceu o serviço de suporte a reiniciar a senha, recebendo acesso total ao e-mail do alvo.

Dan Tentler cumpriu sua missão por meio de phishing. Primeiro, notou que Kevin tinha um blog no Squarespace e enviou um e-mail oficial falso da plataforma de blogs. Na mensagem os administradores pediam que ele atualizasse o certificado por motivos de segurança. No lugar de proteger, o arquivo deu acesso ao computador de Kevin. Dan criou diversos pop-ups falsos que pediam pelas credenciais. O estrago foi feito.

Tentler conseguiu acesso aos dados bancários de Kevin, credenciais de login e lojas online, bem como os dados de cartão de crédito e CPF. Além do mais, conseguiu fotos e printscreens da tela, tiradas automaticamente a cada dois minutos em 48 horas de invasão.

Como roubar um engenheiro de software em uma noite
Na primavera de 2015, o desenvolvedor de software Partap Davis perdeu 3000 dólares. Em poucas horas, um hacker desconhecido acessou suas duas contas de e-mail, celular e Twitter. O criminoso passou pelo sistema de autenticação de dois fatores e limpou a carteira de bitcoins de Partap.

Importante dizer que Partap é um usuário experiente: sempre usa senhas confiáveis e nunca clica em links suspeitos. Seu e-mail é protegido por autenticação de dois fatores do Google -se ele acessa sua conta por um computador novo, tem de digitar seis dígitos enviados para seu celular.

Davis mantinha suas bitcoins em três carteiras diferentes protegidas cada uma pelo aplicativo Authy. Mesmo todas as medidas de segurança razoáveis não o protegeram do hacker.

Ele passou semanas atrás do criminoso. e até entrou em contato com editores do The Verge. Juntos, descobriram como o ataque ocorreu.

David usava como e-mail partap@mail.com. Todos os e-mails foram enviados para um Gmail de nome menos memorável (já que partap@gmail.com já estava sendo usado).

Ao longo de meses, qualquer um podia comprar um script no Hackforum que permitia explorar uma vulnerabilidade na página de reset de senha do Mail.com. Aparentemente, esse script foi usado para burlar a autenticação de dois fatores e mudar a senha de David.

Depois que o hacker solicitou uma nova senha da conta AT&T de David, pediu que as chamadas fossem encaminhadas para um número em Long Beach. O serviço de suporte recebeu o e-mail de confirmação e concedeu o controle das ligações ao criminoso. Com uma ferramenta tão poderosa em mãos, não foi difícil despistar a autenticação de dois fatores do Google para acessar a conta do Gmail.

Como mensagens SMS ainda chegavam ao aparelho de David, o hacker usou o serviço de acessibilidade do Google para deficientes visuais. Dessa forma, ele ouviu o código lido pelo telefone. Com o Gmail hackeado, o Authy era a última linha de defesa entre o criminoso e a recompensa.

Para superar esse obstáculo, o criminoso reiniciou o aplicativo em seu celular usando um endereço mail.com e um novo código de confirmação foi enviado por chamada de voz. Com todas as barreiras ultrapassadas, o hacker mudou a senha de uma das carteiras de Bitcoins com o Authy e o endereço mail.com, e por fim, transferiu todo o dinheiro.

O dinheiro nas outras contas permaneceu intocado. Um dos serviços não permite retiradas por 48 horas depois que a senha foi reiniciada. O outro pediu uma foto da carteira de motorista de David, que o hacker não tinha.

Trolls destruindo vidas reais
A Fusion escreveu em outubro sobre a destruição da vida da família Straters. Anos atrás, cafés e restaurantes diversos enviavam comida e pizzas não solicitadas. Paul e Amy Strater se desculpavam e recusavam o pedido. Mais tarde, chegaram buquês, acompanhados de grandes quantidades de areia e brita, caminhões de reboque entre outros bens e serviços. No fim, esses fatos eram apenas a ponta do iceberg, o começo de três anos de pesadelo.

Paul Strater, engenheiro sênior de transmissão de uma TV local, e sua esposa, antiga administradora hospitalar, foram vítimas de um ou mais hackers desconhecidos que não se davam bem com o filho deles, Blair. Autoridades receberam ameaças de bomba assinadas com seus nomes. Hackers usaram a conta de Amy para publicar um plano de ataque contra um jardim de infância. O título dizia “Irei invadir atirando na sua escola”. A presença da polícia se tornou frequente na casa do casal, o que não melhorou o relacionamento com os vizinhos.

Criminosos conseguiram hackear a conta oficial da Tesla Motor e postaram uma mensagem encorajando fãs a ligarem para os Straters para concorrer a um carro gratuito. Amy e Blair receberam por volta de cinco chamadas por minuto de fãs da Tesla, querendo participar da promoção. Um homem chegou a visitar a casa dos Straters, exigindo que abrissem a porta da garagem, pois ele suspeitava que seu Tesla estava escondido lá dentro.

Paul tentou quebrar o cerco. Ele mudou a senha de todas as suas contas e instruiu os gerentes de restaurantes locais que não entregassem qualquer coisa para sua família a não ser que tivessem pagado com antecedência. Ele entrou em contato com o departamento de polícia de Oswego e pediu que eles telefonassem antes para verificar a veracidade de uma emergência para não enviar reforços desnecessários. Na confusão, o casamento deles não aguentou.

Os ataques não pararam. As contas de Amy nas mídias sociais foram hackeadas e usadas para publicar diversas declarações racistas. Logo depois, ela perdeu o emprego. Amy foi demitida mesmo tendo informado seu chefe que alguém estava tornando a vida dela e de sua família em um pesadelo sem fim.

Tempos depois, Amy conseguiu retomar o controle sobre seu LinkedIn e deletar seu Twitter. No entanto, por um tempo, não conseguiu encontrar um emprego em sua área por conta desse passado forjado. Ela teve de trabalhar no Uber para se sustentar, o que não foi suficiente, e ela quase perdeu a própria casa.

Alguns culpam Blair Strater, que ao participar de diversos círculos de cibercriminosos, fez um ou muitos inimigos. De qualquer forma, nesse caso, os pais pagaram pelo pecado do filho, já que eles não tiveram nada a ver com os hackers desde o começo.

Então, tem algum jeito de se proteger?
Essas histórias transmitem a ideia de que é praticamente impossível se proteger de ataques específicos. Então, se você quer esconder algo, não o faça online. Felizmente, a maioria das pessoas não é de interesse dos criminosos altamente qualificados. Precisamos de proteção contra aqueles que têm como alvo o público geral. Existem muitos desses por aí, mas, felizmente, eles usam métodos mais simples.

Recomendamos que você faça o seguinte:

  1. Saiba o porquê do phishing funcionarcomo evitá-lo.
  2. Defina senhas seguras e únicas para todas as suas contas.
  3. Aprenda como usar a internet de maneira segura.
  4. Não use redes públicas para operações importantes e aprenda o certo e errado no que diz respeito a finanças online.
  5. Instale uma solução de segurança decente em seus dispositivos. Sim, seu smartphone e tablet também precisam de proteção, recomendamos nossa solução premiada – Kaspersky Internet Security multidispositivos.