O ataque que quebrou o Twitter está atingindo dezenas de empresas

QUANDO A APLICAÇÃO DA LEI prendeu três supostos jovens hackers nos Estados Unidos e no Reino Unido no mês passado, a história do hack mais conhecido dos sistemas do Twitter parecia ter chegado ao fim. Mas, na verdade, a técnica que permitiu que os hackers assumissem o controle das contas de Joe Biden, Jeff Bezos, Elon Musk e dezenas de outros ainda está em uso contra uma ampla gama de vítimas, em uma série de ataques que começaram bem antes da explosão do Twitter, e nas últimas semanas transformou-se em uma onda de crimes em grande escala.

Em meados de julho, o Twitter revelou que os hackers usaram uma técnica contra ele chamada “phone spear phishing”, permitindo que os atacantes visassem contas de 130 pessoas, incluindo CEOs, celebridades e políticos. Os hackers conseguiram controlar 45 dessas contas e usá-las para enviar tweets promovendo um esquema básico de bitcoin. Os hackers, escreveu o Twitter em uma postagem post – mortem no blog sobre o incidente, convocaram funcionários do Twitter e, usando identidades falsas, os enganaram para fornecer credenciais que davam aos invasores acesso a uma ferramenta interna da empresa que lhes permitia redefinir as senhas e configurações de autenticação de fator de contas de usuário alvo.

“Eu nunca vi nada assim antes.”

ZACK ALLEN, ZEROFOX

Mas o Twitter não é o único alvo recente de “phishing por telefone”, também conhecido como “vishing”, ou “phishing de voz”, uma forma de engenharia social. Apenas no mês passado, desde que o hack do Twitter se desdobrou, dezenas de empresas – incluindo bancos, criptomoedas e empresas de hospedagem na web – foram alvo do mesmo manual de hacking, de acordo com três investigadores de um grupo da indústria de cibersegurança que trabalha com vítimas e aplicação da lei para rastrear os ataques. Como no hack do Twitter, os funcionários desses alvos receberam telefonemas de hackers se passando por equipe de TI para induzi-los a fornecer suas senhas para ferramentas internas. Em seguida, os invasores venderam esse acesso para outros que normalmente o usaram para atingir os usuários de alto patrimônio da empresa ‘

“Simultaneamente com o hack do Twitter e nos dias que se seguiram, vimos um grande aumento neste tipo de phishing, espalhando-se e tendo como alvo vários setores diferentes”, disse Allison Nixon, que atua como diretora de pesquisa na empresa de segurança cibernética Unidade 221b e auxiliou o FBI em sua investigação sobre o hack do Twitter. “Eu vi algumas coisas perturbadoras nas últimas semanas, empresas sendo invadidas que você não pensaria serem alvos fáceis. E isso está acontecendo repetidamente, como se as empresas não pudessem mantê-las de fora.”Ramificando-se

Como no hack do Twitter, os perpetradores não parecem ser hackers patrocinados pelo estado ou organizações estrangeiras de cibercrime, mas jovens hackers que falam inglês se organizando em fóruns como o site OGUsers.com e o serviço de bate-papo Discord, diz Zack Allen, o diretor de inteligência de ameaças da empresa de segurança ZeroFox, que também trabalhou com o grupo da indústria que rastreou os incidentes. Ele diz que está chocado com o nível de pesquisa que os hackers colocaram em sua engenharia social, raspando o LinkedIn e usando outras ferramentas de coleta de dados para mapear organogramas da empresa, encontrar funcionários novos e inexperientes – alguns até mesmo começando no primeiro dia em o trabalho – e personificando de forma convincente a equipe de TI para enganá-los.

Um funcionário de segurança de uma organização visada, que pediu para que o WIRED não usasse seu nome ou identificasse seu empregador, descreveu uma abordagem mais abrangente: pelo menos três chamadores pareciam estar trabalhando no diretório da empresa, tentando centenas de funcionários em apenas um período de 24 horas período. A organização não foi violada, disse o funcionário, graças a um aviso que a empresa recebeu de outro alvo da mesma campanha de hacking e repassou para sua equipe antes das tentativas de hacking. “Eles continuam tentando. É um jogo de números”, diz ele. “Se não tivéssemos avisado um ou dois dias, poderia ter sido uma história diferente.”

O phishing baseado em telefone não é uma prática nova para hackers. Mas até recentemente, dizem investigadores como Allen e Nixon, os ataques se concentraram em operadoras de telefonia, em grande parte no serviço dos chamados ataques de “troca de SIM”, nos quais um hacker convenceria um funcionário de telecomunicações a transferir o serviço telefônico da vítima para um cartão SIM em sua posse. Eles usariam esse número de telefone para interceptar códigos de autenticação de dois fatores ou como ponto de partida para redefinir as senhas para contas de câmbio de criptomoeda.

O uso do hack do Twitter dos mesmos métodos de engenharia social baseados no telefone mostra como esses phishers expandiram suas listas de alvos para além das telecomunicações, diz Nixon da Unidade 221b. Ela postula que, embora isso possa ser devido às operadoras de telefonia endurecerem suas defesas contra trocas de SIM , é mais provável que seja estimulado por empresas que se tornaram vulneráveis ​​durante a pandemia de Covid-19. Com tantas empresas mudando rapidamente para o trabalho remoto, diz ela, a engenharia social baseada no telefone se tornou muito mais poderosa.

Os mesmos hackers que aprimoraram suas habilidades contra as telecomunicações encontraram outras indústrias que estão menos preparadas para seus truques, diz Nixon. “De repente, você tem essas pessoas altamente treinadas, altamente eficazes, eficientes e organizadas, de repente atingindo um monte de alvos fáceis”, diz ela. “E essa é provavelmente uma grande razão pela qual existe esse problema agora.”

Apesar da aparente juventude dos hackers envolvidos, Nixon diz que os ataques em andamento parecem bem coordenados, com vários colaboradores trabalhando juntos e contratando hackers independentes que oferecem serviços especializados de reconhecimento a dublagem. “Preciso de alguém que tenha experiência com engenharia social, ótimo pagamento”, escreveu um membro do fórum OGUser em março, chamado “biggas”, conforme capturado em uma coleção de mensagens OGUser vazadas no Telegram em abril. “Procurando por um deus da engenharia social que seja dos EUA e tenha uma voz adulta clara e normal. Nada de crianças”, escreveu o mesmo usuário em novembro.Gone Vishing

Em suas chamadas de engenharia social com as vítimas – incluindo uma chamada gravada revisada pelo WIRED – os hackers geralmente usam um serviço VoIP que permite falsificar seu número de telefone. Eles tentam estabelecer confiança com a vítima referindo-se a dados aparentemente privados, como o papel da vítima na empresa, sua data de início ou os nomes de seus colegas de trabalho. Em alguns casos, eles até pedem à vítima que confirme se é uma pessoa de TI “real”, sugerindo que procure sua identidade falsificada no diretório da empresa ou em seu software de colaboração. Quando a vítima parece convencida, ela pede que ela navegue até um endereço de página de login falso – geralmente para um portal de login único como Duo ou Okta – e insira suas credenciais.

Outro membro do grupo de hackers obtém imediatamente esses detalhes e os insere na página de login real. A página de login real então solicita que a vítima insira seu código de autenticação de dois fatores. Quando o usuário é induzido a digitar aquele código no site falso, ele também é retransmitido para o segundo hacker, que o insere na página de login real, permitindo que ele assuma totalmente a conta. O site de phishing dos hackers que permite essa falsificação, ao contrário do tipo geralmente vinculado a um e-mail de phishing, geralmente é criado apenas para aquela chamada telefônica específica e é retirado do ar imediatamente após os hackers roubarem as credenciais da vítima. O desaparecimento do site e a falta de evidências de e-mail tornam esse tipo de engenharia baseada em telefone geralmente mais difícil de detectar do que o phishing tradicional.

“Eles veem um phishing e clicam no botão de relatório. Talvez eu tenha uma taxa de relatório de 12 ou 15 por cento para phishing, o que pode realmente me desligar”, disse Rachel Tobac, CEO da SocialProof Security, uma empresa que testa clientes vulnerabilidade a ataques de engenharia social. Mas ela diz que pode fazer ligações de phishing para 50 pessoas em uma empresa-alvo em uma semana, e ninguém vai denunciá-las. “As pessoas não sabem o que aconteceu. Elas pensam o tempo todo que conversaram com uma pessoa de suporte técnico”, diz Tobac. “Vishing sempre voou sob o radar e continuará a voar.”

Prevenir o surgimento de uma nova coleção de ataques de vishing exigirá que as empresas treinem seus funcionários para detectar chamadores fraudulentos ou usem tokens FIDO como Yubikeys para autenticação de dois fatores. Em vez de um código que pode ser roubado em tempo real por um hacker, esses dongles USB devem ser plugados na porta USB de qualquer nova máquina quando um usuário deseja obter acesso às suas contas. Nixon recomenda que as empresas até usem sistemas de segurança que exijam que um determinado certificado de software esteja presente na máquina de um usuário para que ele acesse contas remotamente, bloqueando todas as outras. “As empresas que não estão empregando essa verificação de hardware ou certificação são as que estão sendo muito atingidas agora”, diz Nixon.

O funcionário de segurança de uma empresa que foi alvo de phishers por telefone argumenta que, por enquanto, a vulnerabilidade das empresas a esse novo tipo de técnica de intrusão não está sendo levada a sério o suficiente – e como hackers mais antigos, mais organizados e bem financiados veem até que ponto essa tática se tornou eficaz, a lista de vítimas só aumentará. “O que acontece quando atores maiores entram nisso? Onde isso acaba?” ele diz. “O Twitter é o menor dos nossos problemas.”

Fonte: https://www.wired.com/story/phone-spear-phishing-twitter-crime-wave/
Fotografia: Chalermpon Poungpeth / getty images