twitterAutor: Christopher Null

De todas as lições a serem aprendidas com o ataque à conta no Twitter de Naoki Hiroshima – e a perda do seu cobiçado @N – é que a questão mais preocupante é também a mais difícil de ser resolvida. Em segurança online, senhas fracas e baixos padrões de criptografia talvez sejam parte do problema, mas a maior dificuldade continua sendo nós mesmos.

Hiroshima descreveu os acontecimentos que o levaram a abrir mão da sua conta no Twitter – que foi avaliada em 50 mil dólares, com base em ofertas previamente oferecidas ao usuário – em uma postagem no site Medium nessa ultima semana.

Não foi a quebra de uma senha sofisticada ou uma vulnerabilidade 0-day que selou o acordo. De fato, foi preciso apenas um telefonema ou dois.

A saga começou no dia 20 de janeiro, quando Hiroshima relatou que alguém tentou invadir a sua conta no PayPal. Ele tinha ativado a autenticação de dois fatores, e quando o cracker tentou resetar a senha ele recebeu uma mensagem de texto solicitando a aprovação para tal ação – que foi ignorada.

Sem poder ultrapassar os portões do PayPal, o cracker deu um passo surpreendente de atacar o domínio pessoal de Hiroshima por meio do GoDaddy. Para provar a sua identidade, o cibercriminoso precisou apenas informar os últimos número do cartão de crédito da vítima.

Como se faz isso? Dando apenas um telefonema. Simples assim. De acordo com Hiroshima, o cracker também tinha ligado para o suporte do Paypal e usou truques de engenharia social para obter do representante os dados necessários.

E nem é tão difícil imaginar como foi a conversa: “Oi, eu perdi minha carteira e não sei qual cartão de crédito eu tenho associado à minha conta no Paypal, você poderia me dizer os últimos quatro dígitos que você tem no arquivo”, ou algo assim.

Com a conta do GoDaddy em mãos, o cracker extorquido Hiroshima, convencendo-o a entregar o @N. Uma variedade de investigações já estão em curso, mas a conta agora está sobre o controle de um tal de “Badal_NEWS”.

Engenharia social ainda funciona… e muito bem

O que deu errado? É fácil dizer que a culpa é do Paypal e da GoDaddy, mas o denominador comum em ambos os casos é a simples natureza humana.

Para realmente entender como a engenharia social funciona, coloque-se no lugar da empresa que recebe o telefonema do cibercriminoso.

Um usuário em pânico te chama, pedindo sua ajuda para um problema. Ele foi vítima de um crime ou de um acidente, e os sistemas de segurança padrão disponíveis na web não estão ajudando. Uma empresa como a Paypal provavelmente recebe milhares de chamadas assim todos os dias, e a grande maioria são de pessoas totalmente legítimas – pessoas reais, com crises reais.

É natural querer ajudá-las, e um bom hacker vai ter habilidades de atuação que são tão desenvolvidas como suas habilidades de tecnologia. Mas, considerando o nível geral de formação e experiência que a maioria dos operadores de suporte possuem, muito provavelmente não é tão difícil convencê-lo a entregar alguns dados por telefone.

Para citar David Mamet, “Isso é chamado de jogo de confiança. Por quê? Porque você me deu a sua confiança? Não. Porque eu te dei a minha”.

O Paypal negou que seus funcionários divulgaram informações pessoais ou de cartão de crédito de Hiroshima. A GoDaddy admitiu sua parcela de culpa no problema, dizendo que precisa “fazer mudanças necessárias para o treinamento de funcionários, a fim de garantir que continuaremos a proporcionar uma segurança líder na indústria para nossos clientes e ficar à frente da evolução das técnicas hackers.”

Essa mesma retórica é usada a cada vez que um grande ataque ocorre. A Apple, por exemplo, brevemente congelou todas as redefinições de senha após Mat Honan, repórter do Wired, sofrer um ataque em 2012.

O usuário médio de computador tem dezenas de contas online ativas, e eles nunca terão tudo 100% bloqueado. Se um cracker não pode pegar a sua conta no Paypal ou no GoDaddy, ele simplesmente irá atrás de outra. Uma hora, alguém vai atender o telefone.

Soluções imperfeitas são melhores do que nada

Hiroshima sugeriu algumas dicas em seu post que você pode usar para ajudá-lo a se proteger. Não use um endereço de e-mail vinculado com o seu domínio pessoal para logins.

Aumente o tempo de vida (TTL) no registro MX do seu servidor de e-mail para dar mais tempo para planejar uma resposta se alguém conseguir o controle da sua conta de e-mail. E use a autenticação de dois fatores sempre que possível.

O cracker, no caso, também deu Hiroshima um bom conselho: se você está preocupado com os ataques, ligue para a empresa (Paypal, neste caso) e peça a eles para fazer uma nota no seu arquivo para não divulgar quaisquer detalhes sobre sua conta por telefone.

Considere o uso de cartões de crédito diferentes para serviços diferentes. No caso de Hiroshima, se ele tivesse associado o Paypal e o GoDaddy a diferentes cartões, o cracker não teria sido capaz de completar o seu ataque de duas etapas da maneira que fez.

Alguns bancos também emitem números de cartão únicos para que você possa usar, por exemplo, para pagar por um registro de domínio de dez anos, em seguida, eliminá-lo para sempre.

Você pode considerar fazer um ataque falso na sua própria conta como um teste. Chame seus fornecedores e veja o que eles divulgam por telefone. Peça e implore e confie na natureza humana para persuadi-los a ajudá-lo.

Se você não estiver satisfeito com as suas políticas de proteger suas informações pessoais, provavelmente é hora de abandonar o barco.

Fonte:  IDG Now!