Roubo de identidade em redes sociais

As maiores falhas de segurança informática continuam a ser o erro humano e a falta de formação na área. Estas falhas vão desde a utilização de palavras passe demasiado fáceis e intuitivas, até ao fornecimento de dados bancários em páginas de phishing.

Como o presente e o futuro da Internet passa pelas redes sociais, também não é novidade que os utilizadores maliciosos usem estas plataformas para obtenção de informação confidencial e fontes de negócio lucrativas.

Passo a relatar um episódio infeliz, que aconteceu recentemente a um visitante do WebSegura.net, onde por questões de privacidade, vou intitular de Sr. X.
O Sr. X foi alvo de um ataque de engenharia social em que muita da sua informação pessoal foi usada por utilizadores maliciosos.

Mas o que é engenharia social?

De forma sucinta, é uma técnica/arte/ciência, que consiste em manipular os indivíduos a tomar certas decisões numa determinada altura das suas vidas. A engenharia social não é um termo recente, é utilizado por exemplo, nas entidades policiais para obter informações sobre os criminosos; as entidades políticas quando transmitem medidas rigorosas para a população (sabemos bem como funciona em Portugal…);os advogados quando interrogam os arguidos; e até mesmo as crianças quando são pequenas na manipulação da decisão dos seus progenitores…Esta técnica, bem utilizada, pode ter um impacto bastante elevado.

Há especialistas de segurança que comparam a engenharia social a ataques buffer overflow porque, um individuo é submetido a diferentes tipos de informação que conduzem à confusão, levando-o a executar certas acções sem o seu consentimento.

Os ataques de engenharia social estão presentes diariamente e custam às empresas milhares de euros por ano.
Segundo uma pesquisa da empresa de segurança Check Point Software Technologies, cerca de 48% das empresas já foram vítimas de engenharia social e cada incidente pode custar entre 25.000 a 100.000 dólares.
Os vectores de ataque mais comuns em engenharia social são os e-mails de phishing (47% dos incidentes) e os sites de rede social (39%).

Continuando no episódio do Sr. X…

Tudo começou…
…com um pedido de amizade no Facebook, acompanhado de uma mensagem privada. Esse pedido vinha supostamente de um amigo pessoal. A mensagem indicava que o amigo tinha a sua conta suspensa e por essa razão criou um novo perfil.

O scammer (o autor do esquema), tinha feito o download de toda a informação do seu amigo clonando desta forma todo o seu perfil. Existem ferramentas que já automatizam muito destas tarefas.

O Sr. X aceitou o pedido e forneceu involuntariamente ao scammer toda a sua informação pessoal disponível no seu perfil. Nome completo, local de trabalho, data de nascimento, telemóvel, email, informação geográfica do Foursquare, etc. Toda esta informação “caiu” nas mãos erradas.

Passaram semanas sem qualquer contacto com esse perfil falso, até que recebeu uma mensagem via chat do Facebook com a seguinte mensagem:

“Encontrei o software que precisavas no outro dia para gestão de entradas de pessoal. Link – http://www.software-malicioso-fud.pt/download.exe”

O scammer tinha visto no mural do Sr. X que ele procurava por este software e enviou-lhe um link com um trojan FUD (Fully Undetectable). Claro que o software não funcionava mas agora o PC do Sr. X estava no controlo remoto do scammer.

Para que o Sr. X não notasse o uso de recursos pelo scammer, este provavelmente acedia quando via uma partilha Foursquare, indicando que o Sr.X estaria fora de casa.

O scammer poderá ter tido acesso a vários documentos pessoais: os scans do cartão de cidadão, os documentos das finanças e outras informações confidenciais.

Foi um ataque manual e cuidado (comprovado com a conversa em chat e o possível acesso apenas quando a vítima indicava estar fora de casa), ficando por saber se o Sr. X foi uma vítima aleatória ou seria um alvo concreto.

Presentemente, o Sr. X já removeu o trojan, contactou as autoridades competentes e modificou a informação confidencial perdida. Por vezes ainda é visível, os seus dados nos motores de busca como remetente de malware.

Casos como este são muitos e com tendência a aumentar. Como informação é poder, é um facto dizer que a melhor protecção contra este tipo de ataques é a educação e a formação.

Este episódio vem ilustrar a importância do tipo de informação pessoal publicada na Internet e como só devemos partilhar na grande rede o que estamos dispostos a perder.

Algumas dicas a adoptar:

  • Não aceitar pedidos de amizade de desconhecidos;
  • Evitar partilhar informação pessoal nas redes sociais ou utilizar as regras de privacidade para divulgar apenas a quem quiser;
  • Não utilize aplicações das redes sociais que possam ser perigosas (veja sempre reviews e pesquise opiniões nos motores de busca);
  • Mantenha sempre o seu software actualizado (sistema operativo, antivírus, etc.).

Com este artigo, espero ter contribuído para uma web mais segura. Também tu podes ajudar os teus amigos… Basta partilhar!

Achaste interessante? Partilha!
    Analista de segurança web com vários anos de experiência. Fundador do projeto WebSegura.net. Reconhecido publicamente, por divulgação de vulnerabilidades, por empresas como a Google, Adobe, eBay, Microsoft, Yahoo, Panda Security, AVG, Kaspersky, McAfee, Hootsuite e outros. Colabora regularmente com a comunicação social em temas relacionados com a segurança de informação.

    Que tal participar com o seu comentário?