PUBLICIDADE
Topo

Spear phishing: entenda ataque que atingiu famosos no Twitter e previna-se

Getty Images
Imagem: Getty Images

Felipe Oliveira

Colaboração para Tilt

26/08/2020 04h00

O ataque que atingiu cerca de 130 contas de personalidades no Twitter, no dia 15 de julho, levantou debates sobre como as empresas podem proteger melhor seus dados. Afinal, a investigação do caso apontou para uma falha humana de funcionários do próprio Twitter, em uma modalidade de invasão chamada "phone spear phishing".

A ação, liderada por um adolescente de 17 anos, preso na Flórida ainda em julho, afetou personalidades como o candidato a presidência dos Estados Unidos, Joe Biden, o ex-presidente americano Barack Obama e bilionários da tecnologia como Bill Gates e Elon Musk.

Logo após o ataque, o Twitter revelou que os hackers usaram o "phone spear phishing" —uma técnica não tão nova, mas que costuma ser bastante eficiente. Mas por que ocorreu em uma empresa de tecnologia, onde sua equipe em tese deveria estar mais preparada?

O que é o phone spear phishing?

Muita gente sabe como funciona o phishing, ataque no qual os cibercriminosos disparam milhares de emails ou SMS com um link ou anexo. Esses links direcionam as vítimas a versões falsas de sites conhecidos —às vezes iguais aos originais— e solicitam que o usuário envie informações sigilosas como login e senha de acesso a uma conta de banco, por exemplo. Já os anexos em emails baixam malwares (programas nocivos) para os equipamentos da vítima.

O spear phishing diferencia-se da modalidade tradicional do golpe por ser mais direcionado. Enquanto no phishing comum os disparos de emails são feitos aleatoriamente para pegar pessoas desprevenidas, a versão "spear" possui um alvo pré-determinado.

Com ele, o invasor escolhe sua vítima e pesquisa sobre ela, ou sobre a empresa onde trabalha, para parecer o mais autêntico possível em sua abordagem. A ideia é reunir o máximo de informações pessoais da vítima que foram postadas publicamente nos seus perfis de redes sociais, como LinkedIn, Facebook e Twitter. Os atacantes também podem tentar obter esses dados por meio de ligações por voz.

"O spear phishing ocorre quando um invasor liga para o alvo fingindo ser alguém com autoridade ou um colega que precisa de ajuda", explica Luis Corrons, especialista de segurança da Avast.

"Se esses funcionários não fornecerem as informações ou não tiverem acesso a esses dados, os criminosos usam essas informações para fazer outro ataque Vishing (outra forma de chamar o phone spear phishing) a outros funcionários", afirma Cecilia Pastorino, especialista em segurança da Eset América Latina.

Além disso, para não causar desconfiança, os golpistas usam técnicas para alterar os números de telefone que aparecem para a possível vítima, fazendo com que ela não desconfie da ligação que está recebendo.

"Eles alteram o número com provedores que chamamos de VoIP (ligação de voz pela internet). Esse serviço de telefonia está na nuvem e você consegue alterar o ID chamador para o número que quiser. Existem softwares gratuitos que fazem esse tipo de mecanismo. Confiar no número chamador é a primeira coisa que você não deve fazer", ressalta Alexandre Bonatti, diretor de engenharia da Fortinet Brasil.

Outro ponto importante, do ponto de vista do fraudador, é o poder de convencimento. Para isso, eles buscam pessoas que tenham uma boa oratória e consigam convencer a vítima de que aquela ligação partiu realmente de alguém de dentro da empresa. Assim, os cibercriminosos pesquisam outros fraudadores para fazer uma parceria. Muitos deles procuram no Discord, aplicativo de chat muito usado por gamers.

"Nessa comunidade é muito comum encontrar pedidos assim: 'preciso de parceria com alguém que não tenha voz de criança e possua inglês perfeito para um trabalho'. Esse tipo de anúncio está buscando pessoas para os ataques de spear phishing. Quem é convidado para trabalhar e aceita recebe como recompensa uns tantos bitcoins", conta Fabio Assolini, analista de segurança sênior da Kaspersky.

Como foi o ataque no Twitter

De acordo com o próprio Twitter, os hackers se passaram por membros da equipe de tecnologia da empresa. Especialistas apontam que o fato de os colaboradores estarem trabalhando em home office por conta da pandemia facilita esse tipo de ataque.

Em outra frente, os hackers fizeram um página de acesso de usuários idêntica à usada no ambiente corporativo da empresa. Assim, ao acessar tal página, os usuários se sentiram seguros e colocaram login e senha, que instantaneamente eram enviados a um hacker que operava a página falsa.

Provavelmente as contas dos funcionários tinham um fator de dupla autenticação, segundo os especialistas ouvidos por Tilt. Isso faz com que os atacantes necessitem desse código além da senha e login dos funcionários. Estes conseguem gerar instantaneamente por meio de um aplicativo de segurança. Assim, precisaram também convencer as vítimas a ceder esse código, assim como ocorre com golpes recentes de WhatsApp no Brasil.

Com esse código em mãos, os hackers tiveram entre um e dois minutos para roubar as contas dos usuários atingidos, como Obama, Musk e afins. Parece pouco tempo, mas com um trabalho bem coordenado, isso é mais do que suficiente. Depois da invasão, publicaram tuítes promovendo um esquema para arrecadação de bitcoins —investigações apontam que a fraude arrecadou mais de US$ 100 mil em apenas um dia.

"Tudo é feito de forma coordenada. Enquanto o funcionário enganado colocava os dados no site falso, outro fraudador recebia a informação. Eles fizeram isso e tiveram acesso ao painel administrativo dos funcionários do Twitter", explica Fábio Assolini.

Falta de treinamento

Um dos principais problemas de segurança que as empresas enfrentam está relacionado à cultura de segurança dos funcionários. Além disso, recursos de inteligência artificial mais recentes são capazes de imitar bem vozes de pessoas confiáveis das possíveis vítimas para convencê-las por telefone. Por exemplo, os fraudadores podem se passar até por diretores das empresas.

Realizar simulações com funcionários pode ser uma boa forma de precaução. "É preciso educar o funcionário, fazer treinamento, campanhas de phishing simuladas e controladas. O duro é que isso leva tempo e algum dinheiro", diz Assolini.

"As simulações precisam ser realizadas com mais frequência. Ligar para alguém do TI [tecnologia de informação], por exemplo, para ver se o colaborador passa a senha pessoal para outro funcionário. Você consegue ver qual usuário precisa de mais prevenção", explica.

Ataques no Brasil

O spear phishing no Brasil atua de forma diferente. Geralmente, esse tipo de ataque é voltado a grandes empresas do setor financeiro. "O fraudador liga e diz, 'olha, sou o diretor financeiro da unidade tal e preciso que você programe uma transferência urgente de R$ 5 mil'", destaca Fabio Assolini, da Kaspersky.

Outro tipo de atuação no Brasil é com ligações diretas para clientes bancários. Os fraudadores ligam para a vítima afirmando que o cartão foi clonado e pedem para que corte o cartão e o entregue a um motoboy, mas com o chip intacto. "Esses ataques foram muito bem sucedidos no ano passado, várias pessoas tiveram seus cartões clonados, fraudados", conta.