Imagine saber por seus amigos
que você está vendendo lingeries, que planeja uma suposta viagem para o Peru ou
que pediu um empréstimo de R$ 4 mil, mas nada disso é verdade. Há uma semana
isso tem sido a vida da jornalista Lúcia Helena de Oliveira, que teve seu
perfil no Facebook invadido por um cibercriminoso. A partir daí, ele tentou
obter vantagens financeiras se passando pela vítima e conversando com seus
contatos.
No caso da jornalista,
atualmente blogueira em VivaBem, no UOL, o acesso do cibercriminoso a seus
perfis no Messenger e no Facebook foi descoberto semana passada, depois que uma
amiga desconfiou de um pedido de depósito de R$ 4 mil que Lúcia teria feito
para quitar uma dívida trabalhista.
“O criminoso puxou assunto com
ela no WhatsApp fazendo referências a conversas nossas, muito recentes, no
Facebook - tanto no Messenger quanto em grupos fechados. Até dizer que estava,
como se fosse eu, 'desesperada por causa de uma ação trabalhista', daí a
explicação para o tal depósito.”
Lúcia Helena de Oliveira
No WhatsApp, a pessoa utilizou
uma foto do perfil de Lucia no Facebook e seu nome, mas o número de contato era
diferente. Como imagem e nome batiam, os amigos não estranharam.
O criminoso também forjou a
história de uma viagem para Machu Picchu e a do lote de lingeries. A amiga que
recebeu o pedido de depósito desconfiou quando leu duas vezes o erro de
português "preciçando" (em vez de "precisando") e ligou
para se certificar se falava, de fato, com a jornalista.
Lúcia conta que tentou
diversas vezes trocar a senha no Facebook, mas o aplicativo não reconhecia mais
a senha inicial. "Escrevi para um amigo e ele não me respondeu. Aí vem
aquela neura: será que escreveram algo para ele se passando por mim? É uma
sensação muito esquisita; uma insegurança muito grande", lamenta.
Como o golpe ocorreu?
Para o analista-sênior de
segurança digital da Kaspersky, Fabio Assolini, o mais provável é que o
criminoso tenha obtido a senha de Lúcia pelo vazamento da senha em algum
"dataleak" --nome dado a bancos de dados contendo logins e senhas de
muitos usuários de emails e redes sociais, e que são compartilhados
clandestinamente pela web.
De posse da senha da vítima
para invadir seu Facebook e também seu perfil no Messenger --já que ambos
compartilham a mesma plataforma-- o invasor deve ter trocado a senha original
de Lúcia logo após o primeiro acesso.
"Parece que ele fez uma
cópia usando o nome, a foto e outro número, e os contatos ele provavelmente
conseguiu no Messenger para puxar conversa e saber com quem a vítima
conversava, para, então, fazer o ataque de engenharia social [se passando pela
vítima] e pedir o dinheiro", diz Assolini.
E como o hacker teve acesso
aos números de telefone da vítima? Atualmente, o Facebook dá ao usuário a opção
de acrescentar o número de telefone celular ao seu perfil. A rede social não
tem uma ferramenta simples para exportar os números de celular de seus contatos
para o WhatsApp, mas isso pode ser contornado pelos criminosos.
Por exemplo, o UOL mostrou que
uma extensão para o navegador Google Chrome chamada "Toolkit for FB"
permite ao usuário realizar uma série de comandos automatizados no Facebook, e
um deles permite até mesmo extrair os números de celular dos amigos do usuário
dentro na rede social. Isso só acontece com quem disponibiliza esse dado no
campo específico de seu perfil, mas que fica restrito ao dono do perfil e seus
amigos.
No ano passado, o
desenvolvedor de software Dylan McKay descobriu que o Facebook era capaz de
registrar o histórico de ligações telefônicas do celular do usuário. Basta o
dono do perfil fazer o download desse histórico com uma ferramenta do próprio
Facebook. Ao que parece, o registro de
histórico ocorre quando o usuário permite que o app do Facebook ou do Messenger
se integre ao telefone e SMS do celular.
Já de posse do Facebook da
vítima, o hacker pode usar alguma dessas formas para obter parte dos contatos
da vítima e adicioná-los à agenda do seu próprio celular. O WhatsApp já
automaticamente lista esses números como usuários do mensageiro. O passo
seguinte é fingir ser a vítima com um número novo, trocando a foto e o nome, e
abordar essas pessoas para pedir dinheiro.
Outra possibilidade para obter
os telefones dos contatos é sugerida pelo especialista em segurança da ESET,
Daniel Barbosa: "Os atacantes podem acessar as conversas de Messenger da
vítima, pesquisar o histórico delas e coletar informações", diz. Por
exemplo, quando o amigo comunica o novo número de celular a você.
Ataques desse tipo estão se
tornando comuns, diz Assolini, porque as operadoras estão apertando o cerco ao
SIM Swap, golpe que transfere a linha telefônica para um chip SIM diferente do
que está no telefone da vítima. O objetivo é "sequestrar" o WhatsApp
de terceiros para se passar por eles e extorquir contatos. O Swap permite
controlar a conta do app porque o login de usuário é o número de telefone, e o
PIN (sequência de seis números) para entrar na conta é enviado via SMS.
"As operadoras estão
melhorando a autenticação para a portabilidade de um número para outro SIM
Card. Com isso, os criminosos estão buscando outros métodos envolvendo
engenharia social", alerta Assolini.
Como evitar este tipo de
ataque?
Para prevenir esses casos, os
especialistas em segurança digital Fabio Assolini (Kaspersky), Daniel Barbosa
(ESET), Nikolaos Chrysaidos (Avast) e Marcio Teixeira (desenvolvedor de
software) listaram as seguintes dicas que envolvem proteção da autenticação
(login e senha):
- Não clique em links recebidos por email, SMS e WhatsApp, pois estes podem direcionar para páginas criadas pelos cibercriminosos para roubar as informações da vítima. Também desconfie de promoções utilizando nome de marcas, e cheque no site oficial destas a veracidade das informações
- Senhas fracas ou óbvias --como o próprio nome do usuário, data de nascimento ou palavras simples em português-- são um presa fácil para hackers conseguirem descobri-las. E tente não repetir senhas em várias plataformas. Se o hacker teve acesso à senha de um serviço web usado por você há anos, vai tentar repeti-la em serviços mais importantes, como seu Facebook
- Redes de wi-fi abertas e/ou gratuitas requerem atenção redobrada, pois são uma porta para o hacker levar o usuário, por exemplo, a uma página-clone do Facebook capaz de capturar logins e senhas de usuários no processo de (falsa) autenticação
- Recomendada pelo próprio Facebook, a autenticação em dois fatores é mais segura se não usar o SMS como meio de obter o acesso. Um SIM Swap, por exemplo, permitiria ao hacker clonar a conta telefônica e receber ele mesmo o código. Em vez disso, é melhor uma solução de autenticação física de dois fatores ou um aplicativo como o Google Authenticator
Se você for vítima de um
ataque desses, a orientação dos especialistas é notificar a plataforma da perda
de acesso. No caso do Facebook, isto pode ser feito por este link. Também vale
trocar todas as senhas de seus emails e demais redes sociais imediatamente.
Segurança "é
prioridade", diz Facebook
Contatada sobre o caso da
jornalista, o Facebook respondeu, em nota, que a segurança de sua comunidade de
usuários "é prioridade", o que motivou a criação da autenticação de
dois fatores para efetuar o login.
A nota da empresa recomendou
que as pessoas ativem o recurso, que no Facebook dá duas opções: o envio de um
código aleatório de seis números por SMS ou por apps de tokens como o Google
Authenticator. Mas como especialistas disseram acima, obter o código via SMS
não é recomendado; prefira o segundo método.
Além das dicas de segurança
dos analistas ouvidos pela reportagem, o Facebook também sugere as seguintes
ações:
- Verificação de segurança: Esta página permite reconhecer em quais dispositivos foram feitos logins, definir uma senha mais forte e receber alertas de login, que são notificações que informam, via Facebook, Messenger ou e-mail, quando houve novos acessos à conta
- Contatos de confiança: Nesta página, selecione de três a cinco amigos com os quais você pode entrar em contato se precisar de ajuda para recuperar acesso à sua conta no Facebook, caso você esqueça a sua senha do Facebook ou não consiga redefini-la pelo email
- Desfazer a amizade e bloquear: Caso esteja sendo assediado por estranhos no WhatsApp, basta tocar na guia "Amigos" do seu perfil. Aparecerá sua lista de contatos; selecione, no contato em questão, "Desfazer amizade". Agora, para bloquear o contato e assim impedi-lo de ver seu perfil, busque e acesse o perfil dele, depois clique em Mais (botão com três pontos) e "Bloquear"
Fonte: UOL
Nenhum comentário:
Postar um comentário