Este ano acompanhamos na grande maioria dos portais de notícias o vazamento de dados da empresa Equifax nos EUA. Até onde sabemos dados de cidadãos americanos, britânicos e canadenses foram roubados dos servidores da companhia, cerca de 149 milhões de pessoas (ou 45% da população estadunidense) podem ter seus dados expostos a qualquer momento, as informações vazadas incluem o número do seguro social (algo como o CPF), data de nascimento, endereço e número da habilitação de motorista. Além disso a empresa também admite que teve 209.000 números de cartão de crédito vazado e 182.000 documentos de disputa (solicitação de correção de dados) com dados de identificação pessoal mais detalhados.

149 milhões de pessoas (ou 45% da população estadunidense) podem ter seus dados expostos

Estes números são realmente impressionantes, mas o que realmente deve preocupar é por que empresas como a Equifax possuem dados de tantos consumidores em suas bases. 

A Equifax é uma empresa de Credit Report Agency (CRA) ou agência de relatório de crédito em tradução livre, existem apenas 3 nos EUA. Estas empresas coletam informações financeiras de todo e qualquer cidadão americano, toda vez que efetuam operações de financeiras as instituições informam as CRA’s sobre a movimentação, as CRA’s são responsáveis por manter um score geral como devedor de cada consumidor e retroalimentam as instituições com essas informações para mensuração de risco de crédito.

A autorização de ter suas informações compartilhadas com as CRA’s é implícita no momento da tomada de crédito ou abertura de conta em bancos, ou seja, não é realmente uma opção para o consumidor vetar o compartilhamento de suas informações com essas empresas.

Agora podemos entender melhor a dimensão deste caso, de fato, o potencial de destruição era (ou é?) ainda maior, à depender de qual banco de dados foi acessado. Como se já não fosse de mais existir uma lista na internet com o nome, números de registro e endereço de 149 milhões de americanos, outros dados mais sensíveis (não detalhados) vazados poderiam comprometer completamente a vida financeira de um indivíduo que tenha sido vítima. Quando ligamos no banco basta dizer a data de nascimento, cpf, nome do pai, da mãe e bingo! temos acesso irrestrito à nossa conta.

E quanto ao Brasil?

Sim, a Equifax também opera no Brasil, aparentemente dados de brasileiros não foram afetados, mas não por uma regra de segurança interna, se os dados de britânicos e de canadenses vazaram também, isso quer dizer que as informações contidas nos bancos de dados da empresa não coincidem com a localização geográfica do servidor. Solicitamos esclarecimentos para a Equifax porém até o momento da publicação deste artigo não obtivemos resposta.

Porém não necessariamente os dados precisam ser vazados pela mesma empresa, é apenas uma questão de tempo até que o mesmo problema ocorra no Brasil ou em qualquer lugar do mundo. Em 2014, num caso similar, um site emergiu na web com informações de todos os brasileiros, era possível pesquisar por nome para saber seu CPF e situação cadastral, o site saiu do ar no mesmo ano, pouco tempo depois apareceram outros, inclusive um ainda está no ar, onde é possível ver até o nome dos vizinhos da pessoa pesquisada e cobra uma mensalidade para liberar informações, qual é a idoneidade de uma organização como essa? seus dados provavelmente estão lá.

Em 2014 um site emergiu na web com informações de todos os brasileiros, era possível pesquisar por nome para saber seu CPF e situação cadastral

A situação gerou muita repercussão na internet, porém pouco tempo depois caiu no esquecimento, não recebemos mais notícias de investigações, não sabemos até hoje de qual banco de dados essas informações foram/são vazadas, se é um banco antigo ou como é possível uma empresa privada ter dados como estes.

A realidade é que casos como este precisam ser repercutidos no mundo inteiro, para que isto aconteça em bancos de dados locais é apenas uma questão de quando e não de “se”.  Imagine quando a base de dados de entidades como o Serasa sofrer um sinistro, aí sim ficaremos revoltados mas apenas por que sabemos a fonte do vazamento.

A evolução dos ataques pela internet é uma resposta à evolução que as ferramentas para detecção de ataques e a crescente conscientização e preocupação das pessoas com segurança da informação. Os ataques mais bem sucedidos são aqueles que ludibriam suas vítimas, fazendo-as acreditar que estão se utilizando de um serviço legítimo.

Um exemplo de ataque que tem evoluído com o passar do tempo é o Phishing. A palavra se origina do termo em inglês “fishing” ou pescaria em português.

O termo remete ao ato em si, jogar um anzol na água com uma isca e esperar um peixe desatento ser fisgado pela tentação da refeição fácil realmente se assemelha muito à técnica do Phishing. Nessa modalidade de pesca online centenas de milhares de emails SPAM são disparados com iscas para tentar roubar ou sequestrar dados de pessoas desatentas que tenham caído na tentação de clicar nos links contidos no e-mail malicioso, os e-mails normalmente são impessoais e são enviados em forma de “loteria” onde um e-mail com dados do Itaú por exemplo pode ser enviado para pessoas que não tenham conta no banco.

Spear Phishing é o nome da nova “versão” do ataque. A tradução para o português deste termo seria algo como pesca com lança. Para pescar um peixe com uma lança é necessário que primeiramente se escolha o alvo, ver como o peixe se move na água, aprender o seu comportamento, aguardar o melhor momento para efetuar o disparo e ainda prever onde o peixe estará frações de segundo no futuro para arrematar a caça. Este passo-a-passo também serve para o modo online, o Hacker primeiramente escolhe sua vítima e projeta um e-mail SPAM conforme os hábitos de seu alvo, utiliza características de negócio, termos técnicos, remetentes (sender spoofing) que remetam possíveis clientes ou parceiros, isso torna muito mais difícil sua identificação, tanto pelo analista humano quanto por ferramentas antispam. O atacante vai pesquisar sobre você ou sua empresa antes de efetuar o ataque, vai conhecer seu nome, telefone, seus hábitos online e até os serviços que utiliza.

“O atacante vai pesquisar sobre você ou sua empresa antes de efetuar o ataque, vai conhecer seu nome, telefone, seus hábitos online e até os serviços que utiliza.

Esta modalidade dá muito mais trabalho para os atacantes justamente por necessitar de um projeto diferente para cada vítima, porém a probabilidade de infectar seu alvo é muito maior.

Ainda assim existem formas de identificar o Spear Phishing e vamos listar aqui, o e-mail acima foi enviado para o setor de reservas de um Hotel, vamos utilizá-lo para ajudar a identificar a farsa:

1 – Remetente

O endereço do remetente contém um erro de ortografia e utiliza um domínio genérico(gmail.com), um descuido que não acontece sempre mas deve ser o primeiro filtro em todas as avaliações.

2 – Nome na assinatura

Pesquisar o nome do remetente no google não retorna nenhum resultado, algo incomum, praticamente impossível nos dias de hoje, pesquisas em redes sociais como Facebook também não retornam resultados.

3 – Dados de contato

Ninguém atende no telefone indicado. Este também não é o telefone que aparece no site do suposto remetente (grupo Fafá de belém). É importante ressaltar que não se deve clicar de maneira nenhuma em links contidos em e-mails suspeitos.

“É importante ressaltar que não se deve clicar de maneira nenhuma em links contidos em e-mails suspeitos.

4 – Endereço físico

Este endereço não aparece em nenhum lugar do site indicado no mesmo e-mail, indicando que foi colocado ali apenas para dar mais credibilidade à mensagem.

5 – Diagramação e anexos

Este tipo de diagramação é incomum em e-mails legítimos, causa estranheza no meio da mensagem haver um trecho excessivamente formatado, todo em letras maiúsculas, em negrito e ainda entre aspas. O mesmo texto chama atenção para o anexo do e-mail que é exatamente o vetor de infecção que este e-mail carrega (através de uma macro do word por exemplo). Antes de concluir a mensagem o atacante ainda repete, mais uma vez em texto excessivamente formatado, alterando até a cor da mensagem, fazendo referência a dados que se encontram apenas no anexo. Tentativa clara de fazer a vítima abri-lo.

Estes pontos servem especificamente para este caso, porém muitos são comuns às mensagens mal intencionadas. Como regra geral qualquer elemento na mensagem que cause estranheza ao leitor deve ser considerado, e em caso de dúvida para que não haja riscos, basta entrar em contato com o remetente através de um canal independente (ex: entrar no site do remetente pesquisando através do google e utilizar os dados de contato encontrados lá)

“Como regra geral qualquer elemento na mensagem que cause estranheza ao leitor deve ser considerado, e em caso de dúvida para que não haja riscos, basta entrar em contato com o remetente através de um canal independente

Além disso você também pode seguir alguns passos que vão melhorar sua segurança e mitigar a possibilidade de infecção mesmo que abra arquivos infectados por engano:

Como desativar o Windows Script Host

Como desativar o SMBv1 do Windows

O caso da invasão da conta do Youtube de Pabllo Vittar (@pabllovittar) chocou sua base de fãs. até as 11:00 do dia 28/08/2017 a conta já havia sofrido um deface (alteração da foto do perfil) foram adicionados vídeos e seu vídeo de mais sucesso foi deletado com mais de 100.000 milhões de visualizações.

A autoria do ataque foi atribuída à @Sh4dowNetwork que negou o fato em sua conta de twitter.

Este tipo de ataque chama atenção para um recurso que já existe há algum tempo, porém não tem a divulgação necessária. A autenticação em duas etapas funciona adicionando uma verificação a mais na hora de acessar sua conta, exemplo: além de colocar sua senha você também terá de inserir um código recebido por SMS, no caso de aplicações da Google existe um aplicativo para smartphones que gera códigos de autenticação (Google Authenticator), estes códigos podem ser utilizados somente uma vez e são gerados novamente de tempos em tempos.

Assim mesmo que um agente mal-intencionado roube sua senha de acesso, não conseguirá de fato entrar em sua conta já que não tem à disposição a outra etapa de autenticação que está sob sua proteção. 

Pabllo Vittar provavelmente conseguirá recuperar sua conta, e mesmo que não consiga poderá repostar seu vídeo, se duvidar poderá até reconquistar suas milhões de visualizações, porém imagine perder o acesso ao seu Google Drive, Google Fotos ou ICloud e ter todos os seus dados roubados/apagados.

Verifique se os serviços que utiliza na internet são críticos e se forem, ative o recurso de autenticação em duas etapas. Assim estará sendo muito mais esperto(a) que qualquer Hacker wannabe. Caso não tenha este recurso no seu provedor de serviço, mude o provedor.

Mais informações e como ativar a autenticação em duas Etapas por provedor:

Google(Gmail, Youtube): https://www.google.com/intl/pt-BR/landing/2step/#tab=why-you-need-it

Microsoft  (onedrive, outlook): https://support.microsoft.com/pt-br/help/12408/microsoft-account-about-two-step-verification

Apple (icloud): https://support.apple.com/pt-br/HT207198

Dropbox: https://www.dropbox.com/pt_BR/help/security/enable-two-step-verification

Amazon(AWS): https://aws.amazon.com/pt/iam/details/mfa/

Facebook: https://www.facebook.com/help/148233965247823