Entrevistamos Thiago Marques, especialista da Kaspersky, para desvendar tudo sobre a cena que mostra cibercriminosos invadindo sistemas da polícia
A tão esperada terceira temporada de La Casa de Papel, da Netflix, estreou na última semana e muita gente já ativou o modo maratona. Não deu nem tempo de sentir o gosto – e de digerir – a nova fase da série, que gira em torno de um novo e ousado roubo. Se você faz parte do grupo que terminou, conta as suas impressões.
Para nós da tecnologia, o que chamou a atenção, no entanto, foi a sofisticação e o crescimento do time de hackers contratados pelo professor para colocar em prática o plano. Nas duas primeiras temporadas, Rio fazia o papel de hacker, mas com seu paradeiro desconhecido, foi preciso lançar mão de outra estratégia.
No segundo capítulo, o professor conta com uma estrutura parruda de 65 hackers paquistaneses, localizados em Islamabade, que três semanas antes de colocar em prática o novo roubo grampearam os celulares da Polícia da Espanha por aplicativos, como o WhatsApp. Assim, na trama, foi possível ativar microfones, câmeras e GPS. Em menos de uma hora, as telecomunicações da equipe de defesa estavam sob o controle dos cibercriminosos.
Mas o que é fato e o que é fake nessa cena? Entrevistamos Thiago Marques, analista de segurança da Kaspersky, para desvendar essas questões. Confira a seguir.
Marques revela que já existem grupos que atuam por projetos. “Isso torna a cena possível, mas dificilmente ela seria viável. O ponto principal é que grupos com a capacidade de hackear uma polícia não oferece seus serviços no underground – é um acesso difícil, pois estes grupos tentam se manter desconhecidos para poderem operar sem serem percebidos”, revela.
Outra questão, conta, é o recurso necessário para viabilizar um ataque sofisticado contra um órgão de polícia ao ponto de ser bem-sucedido. Marques indica que normalmente um APT dessa magnitude utiliza uma vulnerabilidade desconhecida e uma brecha de segurança assim custa alguns milhares de dólares. “Portanto, a ficção presente em um professor (pessoa física) tendo contato e recurso para encomendar um ataque desse tipo”, completa.
Sim, eles existem! Porém, revela Marques, não é algo tão acessível como o que normalmente se encontra para cibercrime. Um exemplo é o Hacking Team, que teve suas ferramentas divulgadas em 2011 pela Wikileaks, que possuía um site divulgando seus serviços de surveillance, normalmente ofertados para potenciais clientes. “O custo desse tipo de serviço é relativamente alto, o que o torna inacessível à maioria dos ataques, salvo quando existe um interesse que vale o investimento”, reforça.
Totalmente possível. “Como vimos recentemente com o caso o ministro Sergio Moro, a tecnologia de criptografia fim a fim não é uma solução milagrosa. Ela protege contra vazamento de informações caso as mensagens sejam interceptadas, mas é possível ter acesso às mensagens no dispositivo que envia e/ou no que recebe a mensagem”, indica o especialista, que lista cinco formas de ter acesso às mensagens criptografadas:
1. A primeira possibilidade seria um acesso físicoao aparelho, um total game-over. Deixar um aparelho sozinho facilita o “Evil-Maid”, não só em notebooks, mas em smartphones, instalando um trojan-spy ou um RAT, por exemplo, permitindo acesso total. Viajantes frequentes podem ser vítimas fáceis de um ataque como esse.
2. Exploração de uma vulnerabilidade crítica com RCE, como a que ocorreu no WhatsApp. Falhas 0-day são usadas contra alvos específicos. “Inclusive alguns sites brasileiros chegaram a cogitar essa possibilidade em ataques aos membros do Ministério Público Federal”, comenta Marques.
3. SIM-SWAP, na qual um criminoso, com ajuda de alguém nas operadoras de telefonia, ativa o número em outro SIM card. O número e os programas de mensagens instantâneas param de funcionar quando o SIM swap é realizado, assim a vítima se dá conta rapidamente.
4. Engenharia social, em que se obtém o código OTP (one-time-password) ou “token”, que é enviado por SMS, possibilitando ativar a conta em outro aparelho. Basicamente o golpista convence a vítima a enviar o código.Muita gente está caindo nesses golpes que têm usado o nome de plataformas de anúncios on-line.
5. Ataque explorando o SS7, antigo e vulnerável protocolo de comunicação. Ele foi inicialmente usado por agências de espionagem, mas hoje qualquer atacante com conhecimento e vontade poderia fazê-lo. Já foi usado em fraude bancária na Europa e sem dúvida vai aparecer por aqui também. As vulnerabilidades no SS7 permitem a interceptação de Instant messengers também. Alguns exemplos mostram como seria.
Telegram
Quanto mais se falar sobre essas vulnerabilidades, mais a pessoas verão que comunicação segura nos telefones é algo difícil, acredita o especialista.
Marques destaca que há uma grande diferença entre campanhas maliciosas sofisticadas e ataques comuns, que chamamos de cibercrime como trojan, ransomware e phishings – as ameaças com que qualquer pessoa comum certamente já se deparou.
“Quando falamos deste tipo de golpe, basta ter acesso ao underground para encontrar opções variadas. Em 2015, publicamos um estudo que detalha essa relação C2C (Criminal to Criminal) no Brasil – existia até um “Serasa” do cibercrime para indicar quem dava calote”, observa.
Segundo ele, nesse relatório, há ofertas de contratação de programação (desenvolvimento de malware), disseminação de phishing entre outros serviços mais específicos. Mas o exemplo mais famoso da colaboração entre criminosos brasileiros e do leste-europeu foi a adição do esquema de criptografia do malware ZeuS ao malware do boleto, esta criptografia era usada para evitar a detecção do malware pelas soluções de segurança.
“Voltando à série, se a cena fosse um professor encomendando um ataque comum contra outra pessoa ou uma empresa pequena ou média, ela poderia ser realista. Mas acredito que não chamaria tanta atenção”, finaliza ele.
