Mr.Robot é um thriller tecnológico de 4 temporadas que segue a vida de Elliot, um jovem programador que trabalha como engenheiro de segurança informática de dia e como um hacker justiceiro durante a noite.
Elliot vê-se numa encruzilhada quando o líder misterioso de um grupo clandestino de hackers o recruta para destruir a empresa que ele é pago para proteger.
No mês passado, exploramos um episódio sobre engenharia social, onde Elliot, o protagonista, usa essas mesmas habilidades de engenharia social para hackear o telemóvel do seu chefe, Gideon Goddard, fundador da Allsafe Cybersecurity, empresa onde o Elliot trabalha.
No artigo de hoje, focamo-nos numa cena sobre spoofing, que significa falsificação, neste caso de identidade, para obter dados pessoais importantes da vítima.
Ação
Numa primeira fase, Elliot encontra a vítima na rua, a passear o cão, e, descontraidamente, pede para usar o telemóvel (da vítima) porque o seu está sem bateria e precisa de ligar à mãe.
Depois de uma breve hesitação, a vítima acede ao pedido e o protagonista faz a chamada. Só que para ele próprio, com o intuito de descobrir o número de telefone da vítima. Para além disso, e com acesso ao telemóvel, consegue ver as aplicações no telemóvel e descobrir que aplicação de banco o homem tem instalada.
Já em casa, encontra a rede social da vítima, assim como o email, e liga-lhe, fingindo ser do banco, a informar que a conta está em perigo. Para resolver o assunto, a vítima tem de confirmar a sua identidade, através da partilha de informações como nome do cão, equipa favorita e morada.
Apesar de ser uma chamada aparentemente real, a vítima tem algumas desconfianças, pedindo o nome e contacto de quem lhe telefona, mas continua a responder às perguntas de confirmação de identidade.
Através da partilha destas informações, Elliot conseguiu acelerar o processo de crakear a password das redes sociais da vítima.
Esta ligação falsa de um banco tratou-se, nada mais nada menos, do que de spoofing, cujo truque principal passa por telefonar de um número e fazer aparecer outro no visor do destinatário.
Spoofing
A pessoa que atende a chamada é levada a passar as senhas de identificação e de segurança de entrada no homebanking. O hacker, ao alertar do perigo de segurança, leva a vítima a precipitar-se e a dar as senhas.
É por situações como esta que é preciso muita atenção ao atender chamadas de números desconhecidos. A única forma de prevenir este tipo de burlas é não atender, desligar e, sobretudo, não passar informações pessoais.
Nos últimos anos as burlas informáticas e nas telecomunicações têm aumentado, nomeadamente a partir de técnicas como “Olá Pai, Olá Mãe”. Segundo a direção nacional da PSP, em 2019, Portugal contabilizou 6.758 casos de burlas informáticas, um número que em 2022 subiu para 11.241 e em 2023, entre janeiro e outubro, teve 10.910 casos.
Lições
Para que estes números continuem a diminuir, deixamos algumas dicas para que não seja alvo destas burlas:
- Privilegie o MFA, para ter uma extra layer de proteção caso tentem aceder a alguma aplicação ou ao próprio email.
- Ative o filtro de spam no email. Com esta política, evitará que muitos e-mails falsos cheguem à inbox.
- Para além do e-mail, tenha cuidado com sms não solicitados. Clique nos links recebidos só depois de validar que não é phishing.
- No caso de sms, não forneça informação sensível sem ter a certeza que não se trata de phishing.
- Não clique em links, nem abra anexos de e-mails com remetentes desconhecidos. Se, por algum motivo, poder ser legítimo, entre em contacto com o remetente por outros meios para confirmar a veracidade do e-mail.
- Se receber um e-mail ou mensagem de texto suspeito, a pedir que faça login na conta, não clique no link fornecido. Em vez disso, abra uma nova janela ou a aplicação no telemóvel, e faça diretamente o login na sua conta.
- Invista num software de segurança cibernética. Um bom software irá alertar para possíveis ameaças, interromper downloads e impedir que malware assuma o controlo.
- Opte por esconder as aplicações dentro de pastas, para que não fiquem facilmente visíveis.
Ao aprendermos com estes exemplos e implementando práticas robustas de cibersegurança, as empresas podem proteger melhor as suas informações e, de igual forma, reduzir o risco de ataques bem-sucedidos.
Mantenha-se em segurança, com a ActiveSys.