Hackers do Twitter levaram mais de R$ 600 mil; empresa fala em engenharia social

Por Felipe Demartini | 16 de Julho de 2020 às 14h40
BBC
Tudo sobre

Twitter

Saiba tudo sobre Twitter

Ver mais

Os hackers responsáveis pela gigantesca brecha de segurança que aconteceu nesta quarta (15), no Twitter, embolsaram mais de R$ 600 mil em criptomoedas. Esse é o valor registrado em transferências para a carteira divulgada pelos criminosos por meio de dezenas de contas verificadas de grandes celebridades e políticos, em um dos maiores comprometimentos já registrados na história da rede social.

Os dados mostram que o endereço continua a receber moedas ainda na manhã desta quinta-feira (16), mesmo que em menos quantidade e após a divulgação massiva do golpe ao longo das últimas horas. Ativa, pelo menos, desde maio de 2020, a carteira recebeu um total de 12,8 Bitcoins, a esmagadora maioria das moedas entre a noite desta quarta e a madrugada de quinta, resultando no gigantesco valor que também representa um dos golpes mais bem-sucedidos do segmento.

Em um “surto de benevolência” que durou algumas horas, perfis de empresas como a Apple e grandes nomes como Elon Musk, Kanye West, Joe Bidden, Jeff Bezos e até o ex-presidente americano Barack Obama publicaram sobre uma campanha para apoiar suas comunidades durante a pandemia do novo coronavírus. A oferta era tentadora, mas também velha conhecida de quem acompanha o noticiário: envie qualquer quantia em Bitcoins para uma determinada carteira e receba o total de volta em dobro.

De acordo com informações divulgadas pelo dfndr lab, laboratório especializado em segurança digital da PSafe, o golpe pode ter chegado a mais de 328 milhões de pessoas por meio dos perfis fraudados. No total da conta usada pelos hackers para receber os pagamentos, foram registradas 372 transações, sendo que a esmagadora maioria delas aconteceu ao longo das últimas horas. Tão rápido quanto o golpe em si, entretanto, foi a transferência e a pulverização dos valores. Das 12,8 Bitcoins recebidas pela carteira, apenas 0,0089 permanecem lá, um valor equivalente a menos de R$ 500. O restante foi transferido, em grandes quantidades, ao longo da noite de quarta.

Registros públicos mostram o total de Bitcoins recebidas pelos hackers em cerca de cinco horas, bem como transferências que já pulverizaram o valor em várias carteiras (Imagem: Reprodução/Felipe Demartini)

Pela própria rede social, o Twitter posicionou os usuários e afirmou que um ataque de engenharia social foi responsável pelo comprometimento dos perfis. De acordo com a empresa, um ataque coordenado contra funcionários da plataforma permitiu que os hackers tivessem acesso a ferramentas internas de controle de perfil, por meio das quais eles foram capazes de publicar mensagens em nome das contas verificadas. Por enquanto, porém, essa foi a única atividade irregular confirmada pela companhia.

A resposta, também, foi atrapalhada. Inicialmente, as mensagens fraudulentas foram deletadas, mas pouco após a identificação dos ataques, o Twitter restringiu completamente a capacidade de postagem de todas as contas verificadas da plataforma, mesmo aquelas não atingidas pelo ataque, que somente podiam dar RTs ou curtir publicações. Além disso, atividades como a troca de senhas e “outras funcionalidades” também foram desabilitadas para alguns usuários, com reflexos que ainda podem ser sentidos na manhã desta quinta.

Perfis verificados brasileiros chegaram a ter sua capacidade de postar restringida, mas não existem relatos de contas de usuários daqui sendo comprometidas, em um ataque que parece ser voltado a falantes da língua inglesa. Quando perguntado sobre isso pela reportagem, o porta-voz do Twitter não comentou sobre ocorrências em nosso país, enviando ao Canaltech apenas o link das publicações feitas pela conta oficial nacional da rede social, que vem replicando os esclarecimentos do suporte internacional.

“Chave-mestra”

Mais detalhes sobre o ocorrido, porém, foram revelados em reportagem do site Motherboard. O veículo, inclusive, afirma que não houve golpe, como afirma o Twitter, e sim, que um funcionário da rede social teria trabalhado ao lado dos hackers (e recebido por isso) para liberar o acesso aos perfis verificados. O texto, porém, não confirma se essa mesma pessoa foi responsável pelas postagens ou se seu ato foi liberar o sistema interno da plataforma para que os criminosos pudessem agir.

Imagens mostram os detalhes do sistema interno do Twitter comprometido durante a invasão, que permitiria postar, bloquear e tomar outras ações sobre contas verificadas ou com caráter especial (Imagem: Reprodução/Vice Motherboard)

Imagens do sistema interno de gerenciamento de perfis do Twitter também foram publicadas pelo veículo, enquanto reproduções das screenshots na própria rede social vêm sendo alvo de bloqueios e retiradas pela própria companhia. Elas mostram como funciona a plataforma por dentro, com botões e indicadores sobre diferentes características de um perfil, como seu estado de verificado, checagens de segurança e atividade. Foi por este caminho que, segundo consta, foi possível realizar publicações em nome das contas gerenciadas.

A ideia de que terceiros podem ter agido diretamente sobre os perfis surgiu pouco depois do início das publicações do golpe, quando algumas contas bem específicas começaram a ter endereços de e-mail trocados e a autenticação em duas etapas desativada. Estas, especificamente, eram de usuários cujos perfis consistem de poucos caracteres, o que também garantiu a elas um caráter especial de proteção pelo Twitter.

Pelo menos uma destas “invasões” foi confirmada contra a conta de Adrián Lamo, cujo perfil é, apenas, @6. O hacker morto em 2018 foi responsável por invasões a empresas como Yahoo, Microsoft e The New York Times, sendo conhecido também por ser o delator de Chelsea Manning, uma ex-militar americana que vazou ao WikiLeaks uma série de documentos oficiais do governo, incluindo imagens de ataques a jornalistas e equipes de resgate em Bagdá, no Iraque.

A invasão foi confirmada por Lucky225, hacker e amigo do especialista, que controla seu perfil desde o falecimento de Lamo. Ele disse ter recebido, por e-mail, as notificações sobre as mudanças sendo realizadas cerca de uma hora e meia depois do início dos ataques, mas não é possível afirmar que as duas coisas estão, efetivamente, relacionadas. O timing, porém, faz pensar que sim.

Mais do que tudo isso, chamou a atenção dos usuários e da imprensa internacional a existência de um sistema de controle desse tipo, capaz não apenas de verificar status e informações de contas, o que já seria de se esperar, como também realizar postagens em nome delas. A pergunta, então, é sobre o que mais seria possível fazer a partir de uma ferramenta desse tipo e se outros aspectos das contas podem ser acessados por meio dela, como as mensagens diretas, por exemplo. Sobre isso, também, o Twitter não respondeu.

O caso desta quarta também chamou a atenção do governo americano. Ainda na noite desta quarta, o senador Josh Hawley enviou comunicado ao CEO do Twitter, Jack Dorsey, pedindo explicações sobre o incidente. No texto, ele pergunta quantos usuários foram afetados no total, como a invasão aconteceu e, principalmente, se a conta do presidente Donald Trump também foi comprometida. A fala reflete uma preocupação que também é geral: e se esse tipo de intrusão fosse usada para causar um incidente internacional?

Sobre isso, claro, Dorsey não se pronunciou. Pelo Twitter, ele disse apenas que este foi um dia “difícil” para os funcionários do Twitter. Ele disse lamentar o ocorrido e demonstrou apoio aos que trabalhavam para resolver a questão, prometendo mais informações assim que a própria empresa tivesse todos os detalhes sobre o que aconteceu.

Poderia ter sido muito pior, de acordo com alerta emitido nesta quinta pela Kaspersky. "O ataque ao Twitter foi algo sem precedentes e permitiu que conteúdo malicioso fosse distribuído simultaneamente", explicou Dmitry Bestuzhev, diretor da equipe de pesquisa e análise da empresa na América Latina. Segundo os especialistas, um total de 200 domínios falsos estavam preparados para serem utilizados como parte da campanha, que também contou com mais carteiras de criptomoedas além da publicada nas contas das celebridades, o que pode levar o valor obtido pelos hackers a ser ainda mais alto.

"Os usuários não poderiam ter feito nada para impedir o ataque, que envolveu ferramentas de uso interno do Twitter", explica Denise Giusto, especialista de segurança da informação da ESET América Latina. De acordo com ela, esse risco nunca é zero, sendo inerente a qualquer ambiente corporativo. "Por isso, é muito importante [que as empresas] sigam princípios de menor privilégio ao atribuir permissões aos usuários, classificar as informações de acordo com sua sensibilidade e usar ferramentas de controle para evitar vazamentos de dados", completa, dando algumas dicas para que o mesmo não aconteça com outros players do setor.

Todos estamos em risco?

A notícia triste é que, neste caso específico do Twitter, os usuários poderiam fazer pouco para se protegerem. A boa, porém, é que situações assim são bem raras (Imagem: Reprodução)

A ideia de um comprometimento de contas que acontece acima do nível do usuário e seria capaz até mesmo de suplantar as proteções fixadas por ele é, no mínimo, assustadora. Enquanto faltam as informações sobre até que ponto os sistemas internos do Twitter são capazes de controlar todo e qualquer perfil, e não apenas os verificados, a recomendação dos especialistas é para que as pessoas invistam na proteção de suas próprias contas.

"Por ser altamente direcionado, [o ataque] não parece representar um risco para o usuário médio", explica Giusto. Golpes contra usuários comuns, entretanto, acontecem o tempo todo e podem ser evitados com medidas simples. A recomendação dos especialistas é sempre utilizar senhas seguras e diferentes entre serviços, de forma que o vazamento das credenciais de um não comprometa o restante. Além disso, em contas de e-mail e redes sociais de maior importância, ativar a autenticação em duas etapas também é essencial, protegendo as contas mesmo em caso de uma brecha que exponha senhas e informações de acesso.

Vale a pena sempre ter soluções de segurança instaladas no computador e smartphone, já que elas podem impedir downloads indevidos ou ameaças dormentes de agirem. Ainda, preste atenção nos apps que instala e suas fontes, evitando fazer downloads fora de fontes oficiais ou lojas de aplicativos de fabricantes. Jamais baixe arquivos ou softwares a partir de links que cheguem por e-mail ou mensageiros, principalmente se enviados por desconhecidos.

No caso de brechas de sistema como as do Twitter, é importante também ficar de olho na própria conta em caso de atividade suspeita. Em tal situação, delete as mensagens fraudulentas e informe contatos caso, como na situação desta semana, a publicação envolva pedidos de dinheiro ou envio de dados pessoais.

Fonte: Vice Motherboard, Ars Technica

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.