Hackers tentam recrutar jornalista da BBC para invadir a própria empresa

O jornalista Joe Tidy, correspondente da seção de cibersegurança da BBC, recebeu uma oferta inusitada: 15% dos lucros do resgate obtido em um ataque de ransomware à empresa, caso liberasse o acesso dos golpistas à sua conta corporativa. O relato do repórter mostra uma falha pouco abordada no mundo dos crimes virtuais: o uso de agentes internos para o acesso proposital aos sistemas, um risco mais social e humano do que técnico às companhias.

• O que é ransomware?
• Sabe o que é pharming? Conheça a ameaça e como evitá-la

A comunicação foi feita pelo aplicativo de mensagens encriptadas Signal, vinda de um remetente chamado Syndicate. Poucos dias antes da mensagem, em julho, um funcionário de TI da C&M foi preso no Brasil por vender seu login a cibercriminosos, levando a uma invasão que custou até R$ 500 milhões à empresa. No caso de Tidy, ele só deu prosseguimento à conversa para investigar o funcionamento do golpe.

O quase hacking da BBC

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

WhatsApp

O repórter britânico relatou toda a conversa ao veículo, comentando, por exemplo, que o hacker mudou o nome para apenas Syn no meio da conversa e afirmou que pediria resgate à BBC em bitcoins. O cibercriminoso ainda aumentou a oferta para 25% dos lucros, dizendo que extrairia apenas 1% do lucro total da empresa estatal. Estimava-se que a equipe hacker pediria algo na casa de dezenas de milhões de libras no caso de uma invasão bem-sucedida.

Embora a própria BBC não tenha afirmado se pagaria ou não caso sofresse um ataque de ransomware, o conselho da Agência Nacional de Crimes (NCA) do país é o de não pagar. Syn disse a Tidy que a empresa nunca saberia que ele havia vazado informações internas, já que o chat seria apagado. Ele também revelou ser um porta-voz do grupo Medusa, o único falante de inglês, já que a maior parte dos cibercriminosos opera na Rússia, segundo a empresa de cibersegurança CheckPoint.

A gangue já atacou mais de 300 vítimas e evita agir em organizações russas ou de estados afiliados ao país. Como forma de provar que não era um golpe, Syn enviou comunicações pelo serviço Tox, um aplicativo de mensagens seguras muito usado por hackers, bem como um link de recrutamento do Medusa em um fórum exclusivo a cibercriminosos. Eles cobraram 0,5 bitcoin (quase R$ 300.000) como pagamento de entrada, prometendo devolver após receber o login.

Tidy acredita que foi escolhido por acreditarem que ele teria conhecimento e acesso técnico aos sistemas de TI da BBC: o britânico, no entanto, é apenas um correspondente de cibersegurança, não tendo acesso privilegiado ou conhecimento da segurança interna da empresa. Os hackers fizeram perguntas técnicas que ele não sabia e pediram que ele rodasse um comando no computador do trabalho, retornando com o resultado. Aparentemente, isso revelaria o quanto de acesso interno ele tinha.

A essa altura, já haviam se passado três dias, e, com a falta de resposta de Tidy, ele começou a ser bombardeado por notificações de autenticação de duas etapas: era uma suposta tentativa de login pedindo para trocar a senha da conta BBC. Ataques do tipo, conhecidos como MFA bombing, dependem do usuário clicar na notificação tanto por acidente quanto para se livrar da chatice — isso levou à invasão da Uber, em 2022.

Tidy acabou pedindo ajuda da equipe de segurança da BBC, que o desconectou de todos os sistemas, e-mail e intranet, tirando todos os privilégios. Os hackers retornaram ao final do dia, numa mensagem “estranhamente calma” pedindo desculpas pelo incidente e relatando estarem apenas testando a página de login do jornalista. Os cibercriminosos afirmaram ainda estar com a oferta de pé, mas, com a falta de resposta por dias, deletaram a conta do Signal e sumiram.

O repórter voltou ao trabalho com uma conta mais protegida nos sistemas da BBC, mas agora com alguma experiência nas táticas cada dia mais inovadoras para a invasão de empresas. Ele lembra que muitas organizações nunca passaram pela experiência e poucas falam sobre o assunto das ameaças internas, mas, como o caso revela, elas são muito reais — e precisam ser discutidas, sob o risco de alguém realmente aceitar a proposta.

Veja mais:

• O que é Engenharia Social? Aprenda a identificar e se proteger de golpes
• O que é phishing e como se proteger?
• Desmistificando o Doxxing: o que é, como funciona e como se proteger

VÍDEO | Como se proteger do ataque ransomware WannaCrypt

Fonte: BBC