Ataque ao Twitter

Ontem, dia 15 de julho, a rede social Twitter foi alvo de um ataque sem precedentes, onde milhares de contas foram comprometidas pelos atacantes, incluindo as de várias personalidades conhecidas como Elon Musk, Bill Gates, Barack Obama, Jeff Bezos, Kanye West e outros. Os cibercriminosos desenvolveram um esquema que envolveu criptomoedas – Bitcoins – levando o Twitter a bloquear várias contas verificadas de alguns dos seus utilizadores conhecidos, impedindo-os de “tweetar”.

Dmitry Galov, Investigador de Segurança da Kaspersky, comenta:

“Hackear contas populares para veicular mensagens de scam não é uma nova prática, nem o são os esquemas de doação. O que é curioso neste caso é a escala do ataque e o facto de que os atacantes tomaram completamente posse de contas verificadas – os e-mails dos utilizadores foram alterados para que ficassem impedidos de recuperar rapidamente o acesso. Este ataque foi extremamente eficaz – a quantia reunida a partir das vítimas foi de 120.000 dólares, tudo isto em apenas um dia.

Considero que existem duas grandes aprendizagens a retirar. A primeira, que os utilizadores devem ficar atentos a esquemas e manter-se cautelosos nas redes sociais; acima de tudo, devem estar preparados para saber reconhecê-los. A segunda, devem ter cuidado extra com todos os seus bens online, pois qualquer informação sensível deve ter, pelo menos, dois fatores de autenticação.”

Dmitry Bestuzhev, Especialista em Cibersegurança da Kaspersky, acrescenta:

“Este grande ataque demonstra que vivemos numa era em que até as pessoas com conhecimentos em informática podem ser atraídas para as armadilhas dos cibercriminosos e que até as contas mais seguras podem ser hackeadas. De acordo com as nossas estimativas, em apenas duas horas de ataque, pelo menos 367 utilizadores transferiram no total 120.000 dólares aos atacantes. A cibersegurança é, sem dúvida, uma das grandes prioridades para a maior parte das redes sociais que concentra os seus esforços na prevenção de muitos ataques diariamente. Contudo, nenhum website ou software está completamente imune a «bugs», nem nós humanos deixamos de cometer erros.

Por isso, quaisquer plataformas nativas podem ser comprometidas. E hoje vemos como. Juntamente com novos vetores de ataque, este tipo de golpes combina técnicas antigas e eficazes para utilizar um elemento surpresa e obter a confiança das pessoas, facilitando assim o ataque e atraindo as vítimas para a armadilha. Por exemplo, pode conter uma mistura de ataques à cadeia de abastecimento com engenharia social. Para além disso, os atacantes podem obter o acesso à conta da vítima de outras formas: penetrando uma outra app que tenha acesso ao perfil do utilizador ou a palavra-passe dos mesmos pode ser alvo de um ataque de força bruta.

Este incidente significa que todos devemos despender algum tempo para reavaliar a nossa relação com as redes sociais e com a segurança das nossas contas, e, assim que o fizermos, tornar-se-á evidente que possuímos o conhecimento e as ferramentas para reconhecer até os esquemas mais elaborados e minimizar o seu impacto.”

Para reconhecer ataques de scam nas redes sociais, deve-se ter em consideração que:

• O elemento mais importante de cada ataque de scam é o limite de tempo. Não só impede que a vítima tenha tempo para comprovar em profundidade a veracidade do que está a acontecer, como também as pressiona psicologicamente, tornando mais provável que se ignorem detalhes. O medo de poder perder uma grande oportunidade é capaz de persuadir até os utilizadores mais cautelosos a cometer riscos ou a cair na armadilha do atacante.
  
  
• Neste caso, o ciberataque foi desenhado à medida da personalidade do utilizador ou ao tom de voz da conta hackeada, o que faz com que pareça mais legítimo. Os cibercriminosos poderão ir mais além e ilustrar a fraude com um design que pareça mais realista ou utilizar deepfakes. Há que ter em conta que as campanhas oficiais ou as iniciativas individuais de tal escala contam sempre com documentos prescritivos para suportar as suas ofertas ou promoções de curta duração, e são publicados fora das redes sociais. Adicionalmente, os aspetos financeiros são geralmente mais transparentes e não estão vinculados a carteiras privadas de bitcoin.

• Não esquecer que é altamente improvável que qualquer empresa oficial ou indivíduo reconhecido solicite a transferência de dinheiro, mesmo que seja para devolver mais tarde ou que seja uma piada, devido a possíveis implicações fiscais ou relatórios financeiros. 

Para maximizar a proteção da sua conta nas redes sociais, a Kaspersky recomenda:

• É absolutamente essencial ter uma palavra-passe forte, mas também única, para que no caso de ser filtrada por um website, o resto das suas contas permanecerem seguras. Para criar palavras-passe fortes e difíceis de decifrar para cada website, deve recorrer a técnicas de memória ou a um gestor de palavras-passe.

• Deve-se utilizar uma autenticação de dois fatores, onde as credenciais de login devem ser confirmadas com a introdução de um código especial. Para além disso, deve considerar-se não utilizar uma mensagem de texto para receber este código – uma vez que poderá ser “sequestrado” – mas sim uma app que seja capaz de gerar esses códigos. Em alternativa, utilizar uma chave física, conectada separadamente a um dispositivo com cabo USB ou NFC.

• Outra medida de segurança que deve ser tida em conta é fazer uma revisão exaustiva de todas as aplicações que têm acesso à conta do Twitter. Estas podem ser verificadas nas definições de conta do Twitter. Deve-se eliminar o acesso das mesmas à sua conta ou daquelas que considera não terem proteção suficiente para que, em caso de ataque a alguma delas, a sua conta não esteja em risco.

• Começar a utilizar um “Privacy Checker” para ajudar a manter os perfis das redes sociais ainda mais privados. Isto irá dificultar o acesso à sua informação privada a terceiros.