content/pt-br/images/repository/isc/2017-images/malware-img-29.jpg

No ano passado, as notícias sobre invasões da privacidade de celebridades se espalharam depois do Celebgate, nome dado pela imprensa ao ataque que, segundo o Celebuzz comprometeu até 600 contas de pessoas conhecidas no iCloud. O conteúdo violado incluía fotos pessoais das vítimas que, depois, foram parar no site de fofocas 4chan e logo se espalharam por toda a Internet.

Neste ano, o alvo de invasão com mais visibilidade foi o Ashley Madison, um site de relacionamento que se promove como especializado em relações extraconjugais. Sua lista de associados foi roubada e publicada on-line, causando alarde imediato da imprensa para tentar encontrar celebridades entre os clientes. Mas a invasão do Ashley Madison não envolveu apenas celebridades. As empresas sabem que seus funcionários inscritos no site podem sofrer invasões de “spear phishing” ou outras formas de chantagem virtual.

Invasão de vidas privadas

O resultado dessas invasões não é preocupação apenas para quem é famoso. Na era da Internet, qualquer um pode ficar conhecido, e de maneira indesejada, se imagens ou outros conteúdos estritamente privados forem violados e colocados on-line. Esses incidentes são lições importantes para todos sobre cibersegurança.

Muitos detalhes técnicos sobre o Celebgate ainda não foram divulgados publicamente. (Há uma boa razão para isso: esses detalhes podem servir de roteiro para outros hackers.) Vale a pena notar que as imagens e outros dados armazenados em iPhones são copiados automaticamente para o iCloud, o serviço de armazenamento em nuvem da Apple. O Android e outros sistemas operacionais móveis também salvam cópias em um serviço de nuvem por um bom motivo, para que os usuários possam acessá-los em vários os dispositivos. Mas isso representa uma possível vulnerabilidade, da qual todos os usuários de dispositivos móveis devem estar cientes.

A invasão pode ter envolvido a simples adivinhação das senhas das celebridades (a Apple, que tem uma boa reputação de segurança, fortaleceu a proteção do recurso “Esqueci minha senha”) ou a “engenharia social”, que induz alguém a relevar sua senha.

As celebridades não são as únicas vítimas possíveis

A invasão do Ashley Madison, em contrapartida, parece tecnicamente semelhante a outras invasões de sites de lojas. Apenas suas consequências foram diferentes, e elas se propagaram muito além do Ashley Madison. Em geral, as invasões de lojas têm como foco o roubo de informações de cartões de crédito, extremamente valiosas para os criminosos virtuais. Os hackers do Ashley Madison, por outro lado, tinham o objetivo claro de constranger os usuários, por isso publicaram os e-mails dos milhões de clientes do Ashley Madison on-line.

Embora a lista de membros contivesse muitos endereços de e-mail de celebridades, o Ashley Madison não verificou nem confirmou esses endereços, e poucos (se é que existiam) pareciam ser reais. Até agora, Josh Duggar (do reality show 19 Kids and Counting) é a celebridade mais conhecida a admitir estar envolvida no escândalo, mas certamente ele não é o único que sofreu as consequências. Entretanto, conforme informado pela Infoworld, mesmo sem confirmação das celebridades invadidas, a violação tornou-se um grande aborrecimento, não só para as pessoas cujos e-mails reais estão na lista, mas também para empresas e organizações cujos funcionários se cadastraram no site e que agora podem estar vulneráveis a “engenharia social” e chantagens digitais.

Engenharia social e a vulnerabilidade humana

“Engenharia social” é o termo que os especialistas em cibersegurança usam para os ataques que tiram proveito do fator humano. Um exemplo muito comum é o “spear phishing”, que ocorre quando um criminoso virtual envia um e-mail (geralmente disfarçado como sendo de um amigo ou colega) que contém links para sites ou arquivos maliciosos. A vítima, desavisada, clica no link e abre espaço para que o malware infecte seu dispositivo, de onde poderá extrair dados particulares.

A preocupação das organizações é que os funcionários cujos e-mails estavam na lista do Ashley Madison podem estar vulneráveis a e-mails de phishing que pareçam ser de advogados ou investigadores particulares. Nesse cenário, os invasores não precisam nem ter o trabalho de interagir de maneira simpática e pessoal para fisgar suas vítimas. O medo da vítima de ser exposta e o desespero por proteção são suficientes para que ela clique no link, permitindo que os invasores entrem e procurem senhas ou outros dados que possam ser explorados.

Na era da mobilidade, qualquer dispositivo conectado à Internet está suscetível a invasões, por isso é essencial criar senhas fortes.

Tweet: Na era da mobilidade, qualquer dispositivo conectado à Internet está suscetível a invasões, por isso é essencial criar senhas fortes. Publique isso no Twitter!

Cuidado com a engenharia social. Sempre pense duas vezes antes de clicar em links inesperados ou incomuns nos e-mails. Os ricos e famosos não são os únicos alvos na nova era de invasões de celebridades.

Outras leituras e links úteis relacionados a ameaças à segurança de dispositivos móveis

A invasão da privacidade de celebridades e como isso afetam você

No ano passado, as notícias sobre invasões da privacidade de celebridades se espalharam depois do Celebgate, nome dado pela imprensa ao ataque que comprometeu até 600 contas de pessoas conhecidas no iCloud.
Kaspersky Logo