Nos últimos 18 meses, pesquisadores da ESET, empresa líder em detecção proativa de ameaças, analisaram diferentes medidas de segurança e mostraram que uma conta do WhatsApp ou Snapchat pode ser invadida se o usuário não tiver as configurações de segurança apropriadas. Nesse caso, eles analisaram se é possível obter o controle de uma conta de plataforma financeira usando táticas semelhantes. O resultado foi que, com a técnica “olhar por cima do ombro”, alguém poderia roubar o acesso a uma conta do PayPal e, assim, perder milhares de dólares. Na ESET, eles mostram como fazem isso e compartilham dicas para se proteger desses ataques.
“Os ataques de engenharia social estão se tornando mais comuns e estão crescendo em popularidade entre os criminosos. Por outro lado, eles são difíceis de usar para experimentar em alguém em condições de teste, simplesmente porque as “vítimas” estão cientes do vetor de ataque proposto, o que invalida imediatamente o teste e sua viabilidade. No entanto, encontrei uma maneira de tentar acessar a conta do PayPal de alguém e provar isso em um experimento legítimo e legal”, menciona o consultor de segurança global da ESET, Jake Moore.
Para realizar esta última prova de conceito (PoC), o pesquisador da ESET testou sua hipótese com um especialista do setor de segurança, que concordou em fazer um hack para contribuir para uma maior conscientização sobre o assunto de cibersegurança e melhorar a prevenção de fraudes. Uma vez reunidos, começaram a conversar e o especialista deixou o celular sobre a mesa com a tela voltada para cima. O que o especialista da ESET fez foi acessar o site do PayPal, selecionar a opção: “Esqueci minha senha” e inserir o endereço de e-mail pessoal do especialista.
“Em um ataque genuíno, o criminoso precisaria saber o endereço de e-mail da vítima em potencial, mas hoje, os endereços de e-mail de muitas pessoas podem ser encontrados por meio de algumas pesquisas. De fato, Google, LinkedIn e até Instagram podem exibir seu endereço de e-mail, o que é suficiente para lançar esse ataque em qualquer usuário em plataformas semelhantes”, acrescenta Moore.
Em seguida, a plataforma do PayPal pede o envio de uma “verificação rápida de segurança”, que pode ser por meio de mensagem de texto, e-mail, telefonema, aplicativo autenticador, WhatsApp ou até mesmo perguntas de segurança. Neste caso, a opção foi uma mensagem de texto. Uma vez clicado em “Próximo”, um código de seis dígitos era gerado e enviado para o telefone do especialista, que continuava com o celular desacompanhado sobre a mesa. Então você só tinha que se inclinar para o telefone, tocar na tela para ligá-lo e, não tendo desativado a visualização da mensagem na tela de bloqueio, ver o código. No caso de inseri-lo no site de verificação, você pode escolher uma nova senha e acessar os dados da conta. Uma vez lá, qualquer pessoa com acesso pode facilmente vincular um banco ou cartão de crédito ou até mesmo visualizar seus dados pessoais, como endereço residencial, até mesmo alterar o endereço de e-mail da conta, endereço ou nome.
“Recapitulando, neste momento, eu poderia ter enviado milhares de euros para qualquer uma das 300 milhões de contas do PayPal em todo o mundo apenas vendo um código no telefone de alguém. Para mim, isso não faz sentido e acho que os usuários precisam estar cientes desse ataque simples. A barreira que alguém tem que pular para comprometer uma conta dessa maneira parece muito baixa, especialmente quando se compara a segurança com a de um banco on-line típico. No entanto, foi demonstrado que funciona e pode ter danos potenciais consideráveis”, conclui o especialista da ESET.
A ESET aponta que existem muitas técnicas de prevenção que o usuário mesmo pode aplicar e reduzir consideravelmente as possibilidades que os cibercriminosos tentam aproveitar. Portanto, você deve estar atento e aplicar diferentes medidas de prevenção:
- Não confie na autenticação em duas etapas baseada em mensagem de texto; sempre que possível, use um aplicativo autenticador ou uma chave de segurança.
- Nunca ignore um código de confirmação. Se você receber um quando não o espera, provavelmente há algo que precisa ser investigado.
- Nunca negligencie o telefone.
- Oculte a visualização de todas as mensagens de texto e outras notificações de aplicativos.
- Se seu telefone for perdido ou roubado, entre em contato com a operadora imediatamente para bloquear o SIM. Em seguida, use o “Find My” da Apple ou o “Find My Device” do Google para localizar o telefone e colocá-lo no Modo Perdido.
- Use um endereço de e-mail alternativo para o PayPal, que outros usuários não consigam adivinhar.
- Desative ou altere as respostas de segurança do PayPal para senhas aleatórias não relacionadas à pergunta e salve-as em um gerenciador de senhas.
- Remova a opção que permite que o reconhecimento facial funcione com um Apple Watch enquanto estiver usando uma máscara.
Foto: Divulgação.
