Celulares estão sendo atacados dentro das telefônicas

Coluna semanal de Ronaldo Lemos na Folha de S.Paulo.

publicado em

16 de janeiro de 2024

categorias

{{ its_tabs[single_menu_active] }}

tema

Colaboração de funcionários internos não poupa de hackers nem bilionários

O que milhões de brasileiros têm em comum com o bilionário Jeff Bezos ou com a Comissão de Valores Mobiliários dos Estados Unidos, a temida SEC?

A resposta é: todos já foram vítimas de algum golpe virtual ou de ciberataque. Vivemos em um tempo em que não importa se você é um bilionário, uma agência governamental ou um cidadão comum. Todos são igualmente vulneráveis a ataques digitais de danos avassaladores.

A semana passada provou exatamente isso. A conta no X (Twitter) da CVM americana foi hackeada. Postou uma mensagem falsa no dia 9 de janeiro que fez com que o preço do bitcoin saltasse 2,5%, para logo em seguida cair de novo, levando a uma flutuação forjada desse mercado de mais de US$ 40 bilhões.

Não foi a primeira vez que o Twitter (X) sofreu um ataque relevante. Em 2020, um grupo de hackers conseguiu obter o controle total da plataforma (“God mode”), que permitia assumir o controle de qualquer conta. Fizeram postagens nos perfis de Joe Biden, Obama, Musk, Bezos e outros.

Ambos os casos tiveram o mesmo vetor de ataque: a colaboração de funcionários internos. No caso do Twitter, funcionários da própria empresa entregaram credenciais para os hackers.

No caso da SEC, uma das teorias mais discutidas é que o ataque ocorreu através de funcionários das companhias telefônicas.

Esse tipo de ataque chama-se “SIM swap” (troca do cartão SIM). Nele, a ação do perpetrador manipula a prestadora de serviços de telefonia para transferir o seu número para o atacante.

Por exemplo, o bandido faz a “portabilidade” do número da vítima para outro aparelho. A partir daí usa o celular para obter códigos de SMS e outras formas de autenticação que permitem trocar senhas e acessar contas.

Assim que o ataque dá certo (às vezes em segundos), o atacante devolve o número para a vítima, que não irá nem perceber como tudo aconteceu.

Esse tipo de golpe pode ser feito por engenharia social, enganando os atendentes da empresa (na loja ou no call center). Ou, o que tem se tornado mais comum, através de suborno aos funcionários das empresas de telefonia para colaborarem.

Muitos desses funcionários recebem salários baixos. Quando um bandido os procura, enxergam a possibilidade de ganhar dinheiro que corresponde a anos de salário em troca de uma única ação. Muitos cedem.

Bilionários ou presidentes da República, agências governamentais ou celebridades são clientes das mesmas empresas que todos nós. E por isso igualmente vulneráveis.

Várias análises na semana passada se perguntaram por que as empresas de telefonia não passam a oferecer um serviço “premium” em que cibersegurança seja central.

Até lá, o importante é se defender. A começar por fazer uma higiene digital em todas as suas contas para desativar qualquer uso do seu telefone como forma de autenticação, seja por chamadas, seja por SMS.

Em vez disso, é melhor usar um app de autenticação ou um “chaveiro” físico que pode ser lido no USB ou por NFC no celular. Infelizmente, há serviços —como o WhatsApp— que não permitem fazer isso, sendo o número do celular o principal fator de autenticação.

Por fim, ironicamente uma das recomendações que a SEC faz para suas empresas reguladas é justamente atenção firme à cibersegurança. Essa recomendação agora vale para ela própria. E para todos nós.

*

Já era Achar que cibersegurança é problema dos outros

Já é Bilionários, agências governamentais e pessoas comuns vítimas de ciberataques

Já vem Necessidade de colaboração de todas as pontas para ter cibersegurança real

{{ pessoas.pessoaActive.title }}

×