O mega-ataque contra o Twitter, que roubou a conta de pesos-pesados como Joe Biden, Jeff Bezos, Elon Musk e muitos outros, gerou uma onda de cibercrimes em grande escala nas redes. O método, conhecido como “phone spear phishing”, ou vishing, foi usado contra dezenas de empresas, como bancos, administradoras de criptomoedas e de hospedagem na web, de acordo com especialistas em segurança digital.

“Simultaneamente ao hack do Twitter, e nos dias que se seguiram, vimos um grande aumento neste tipo de phishing, espalhando-se e tendo como alvo vários setores diferentes”, contou a diretora de pesquisa da Unit 221b, Allison Nixon, que auxiliou o FBI em sua investigação sobre o ataque à rede social.

“Vi algumas coisas perturbadoras nas últimas semanas, empresas sendo invadidas que você não pensaria serem alvos fáceis. E isso está acontecendo repetidamente, como se as empresas não pudessem se proteger”, completou, em entrevista à Wired.

Vishing é a prática criminosa que engenharia social pelo telefone para obter informações pessoas e financeiras. Também é empregada para coletar informações detalhadas sobre os alvos em golpes avançados, como no caso do Twitter. Na prática, não é muito diferente de quando algum criminoso telefona para você e pede o código de confirmação que vai chegar por SMS, para roubar sua conta no WhatsApp e pedir dinheiro aos seus contatos.

De acordo com o próprio Twitter, os hackers usaram a técnica para ter acesso a 45 contas muito grandes da rede e usá-las para enviar tweets promovendo um esquema de bitcoin. “A engenharia social que ocorreu em 15 de julho de 2020 teve como alvo um pequeno número de funcionários por meio de um ataque de phishing por telefone. Nem todos os funcionários inicialmente visados tinham permissão para usar ferramentas de gerenciamento de conta, mas os invasores usaram suas credenciais para acessar nossos sistemas internos e obter informações sobre nossos processos”, contou a empresa, em um comunicado oficial.

Os alvos receberam telefonemas de hackers se passando por membros da equipe de TI para induzi-los a fornecer suas senhas para ferramentas internas. Nos ataques pós-invasão do Twitter, os criminosos passaram a vender esses acessos para outras pessoas, na maioria das vezes com o objetivo de roubar grandes quantidades de criptomoedas.

“Nunca vi nada parecido antes, nada tão direcionado”, conta Zack Allen, diretor de inteligência da empresa de segurança ZeroFox, que se surpreendeu ao descobrir que os criminosos não faziam parte de nenhuma organização cibercriminosa estrangeira ou tinham sido patrocinados por países adversários – eram jovens hackers que se organizavam em fóruns como o OGUsers.com ou o Discord.

O executivo se disse impressionado com o nível da pesquisa que os hackers empregaram em sua engenharia social, usando informações do LinkedIn e de ferramentas de coleta de dados para mapear organogramas da empresa, encontrar funcionários novos e inexperientes. “É o que você esperaria de uma equipe inteira de profissionais de inteligência construindo dossiês e executando ataques, mas tudo parece ser feito por adolescentes no Discord”, afirma Allen.

Prevenir o surgimento de uma nova onda de ataques de vishing exigirá que as empresas treinem seus funcionários para detectar chamadas fraudulentas, ou usem tokens para autenticação de dois fatores. Em vez de um código que pode ser roubado em tempo real por um hacker, esses sistemas exigem que pen drives USB estejam plugados em qualquer nova máquina quando um usuário deseja obter acesso às suas contas.

Nixon recomenda que as empresas até usem sistemas de segurança que exijam que um determinado certificado de software esteja presente na máquina de um usuário para que ele acesse contas remotamente, bloqueando todas as outras. “As empresas que não estão empregando essa verificação de hardware ou certificação são as que estão sendo mais atingidas agora”, alerta a especialista em segurança.

Via: Wired