Criminosos podem furtar contas antes mesmo de serem registradas pelo usuário
Por Felipe Demartini | Editado por Claudio Yuge | 24 de Maio de 2022 às 16h20
Uma nova exploração de contas online permite que os criminosos iniciem o processo de roubo de um perfil antes mesmo de ele ser criado pelo próprio usuário. Trata-se do aproveitamento de uma série de brechas de segurança e autenticação que estavam presentes, inclusive, em dezenas de serviços que figuram na lista dos mais populares da internet, como Dropbox, Instagram, LinkedIn e Zoom.
- Crimes com PIX em SP crescem mais de 200% no 1º trimestre de 2022
- Downloads de PDFs infectados disparam por meio de buscas no Google
O ataque confia na falta de atenção e higiene cibernética dos usuários. Tudo começa com a obtenção do e-mail pelos criminosos, algo fácil de se conseguir em bancos de dados vazados e até contatos disponíveis em redes sociais e serviços públicos; um perfil é criado em nome da futura vítima, com a expectativa de que a mensagem de verificação, na caixa de entrada, seja ignorada ou motive o acesso para criação de uma conta legítima.
Então, basta esperar que o usuário crie sua conta de forma legítima e comece a utilizar, para que diferentes tipos de exploração possam ser utilizados. Em uma falha, por exemplo, a sessão logada pelo criminoso não é desativada mesmo depois que a vítima mudou a senha de acesso; em outra, as contas criadas pelo golpista e pela vítima são “unidas”, já que possuem as mesmas credenciais, sem que o utilizador legítimo seja avisado sobre uma troca de credenciais.
Em outros casos mais sofisticados, a brecha está no provedor de identidade (idP, na sigla em inglês), que acaba sendo associado ao golpista que criou a conta original e não à vítima, permitindo o acesso por meio de sistemas de autenticação federados. Existem, também, plataformas que não fazem esse tipo de verificação de forma direta, se tornando suscetíveis a explorações que envolvem o roubo de identidade.
As análises sobre tais explorações foram feitas, primeiro, pelo pesquisador em segurança Avinash Sudhodanan, e depois, pelo time de resposta a ameaças da Microsoft. De acordo com o especialista, dos 75 serviços mais populares da web, pelo menos 35 estão suscetíveis a ataques desse tipo, que foram chamados de pre-hijacking, ou o roubo prévio de contas, em inglês.
Enquanto o nome da maioria das plataformas não foi revelado, fica fácil imaginar, na lista divulgada, quem são os vulneráveis. A lista inclui ainda, por exemplo, um site de conteúdo adulto, uma plataforma de ensino à distância, serviços financeiros e streaming de músicas, além de câmbios de criptomoedas. De acordo com os pesquisadores, ainda, todas foram informadas sobre o problema, com a maior parte classificando as explorações como de alta severidade e solucionando a questão, não mais deixando os usuários suscetíveis a golpes.
A principal recomendação de segurança na hora da criação de uma conta, para evitar o pre-hijacking, é o uso de sistemas de autenticação em duas etapas. Quando eles são ativados, mesmo contas previamente logadas precisarão inserir o código de verificação para realizar o acesso, e somente o próprio usuário deve ter acesso a ele. Trocar senhas e não ignorar alertas que cheguem por e-mail — desde que venham de contatos legítimos, claro — também são medidas importantes de proteção.