Com o aumento do uso das redes sociais para os mais variados fins e pela quantidade de informações que as pessoas publicam em seus perfis em redes sociais ficou muito fácil consegui informações para um ataque. Se você olhar um livro qualquer de hacking você provavelmente vai encontrar na parte de phishing e enumeração de senhas um conceito sobre engenharia social, que diz que você precisa interagir com a vítima a fim de obter informação suficiente para um ataque, e isso é feito através de contato telefônico, email, contato pessoal e etc, hoje em dia basta acessar o perfil nas redes sociais que você consegue tudo que precisa. Vamos ao caso que percebi ontem.
Eu participo de alguns grupos do Facebook, entre eles alguns específicos para anúncios de compra e venda de diversas coisas, e em um certo momento do dia eu recebi em minha timeline um anúncio de venda de um apartamento no centro da cidade, todo mobilhado, com diversos cômodos e por um preço muito bom, o anúncio era algo como:
Por algum motivo esse anúncio chamou minha atenção, não estou querendo comprar um apartamento nem nada mas tinha algo nele que me fez ler. Depois de um tempo olhando para aquele post vi alguns comentários e pessoas deixando emails. Em pouco menos de 10 minutos já tinha mais de 50 emails diferentes no post e isso me deu uma idéia, se eu fosse um hacker malicioso, o que eu poderia conseguir com isso?
Bom, se alguma das pessoas que comentassem fossem alvos de uma empresa que eu estivesse auditando ou algo parecido eu já teria o endereço de email, em muitos casos pessoais e de trabalho. Vi bastante @hotmail, @gmail e @yahoo, mas também vi bastante de domínio particular e alguns mais "importantes" como @gov, @jus, e etc.
Com base nisto eu pensei, "e se eu tentar acessar só com informações obtidas no próprio perfil?". E acabei fazendo isso com os emails públicos como Hotmail, Yahoo e Gmail.
Dos 30 emails que tentei pelo menos 20 eu tive acesso ao email ou consegui resetar a senha facilmente. O que eu fiz foi uma coisa muito básica que muitos deixam passar ou fazem só porque é obrigado para criar o email. Peguei email por email e tentei combinações simples coletadas dos perfis como nomes, datas e etc. Os que eu não consegui acesso por ai tentei pelo botão "esqueci minha senha", onde em todos os casos a pergunta era algo simples como "meu melhor amigo" ou "cidade onde minha mãe nasceu", coisas que eu consegui apenas abrindo o perfil da vítima. No caso do "meu melhor amigo", em alguma foto da vítima tinha uma citação como "eu e meu grande amigo em ..." colocando esse nome em muitos casos me liberou o reset de senha.
E agora, de posse de todos esses emails o que eu poderia fazer? Muitas coisas, posso enviar malwares para todos os contatos que por conhecer o remetente aceitariam sem problema, poderia resetar a senha de todos os serviços que a vítima usa, poderia roubar informações sensíveis e mais uma infinidade de coisas.
E agora explico porque eu fiz isso. Estou realizando um estudo sobre o "elo mais fraco da corrente" em segurança da informação, que nada mais é que o próprio usuário. Coisas simples que o próprio usuário poderia evitar e que pode ter consequências catastróficas em caso de um ataque real e em raras ocasiões um sistema de segurança vai parar um ataque desses, e este teste é uma prova do meu ponto, as pessoas podem se preocupar em trancar a porta da frente, mas acabam deixando a porta de trás ou uma janela aberta.
Mas ai muitos vão dizer, "mas meu email não tem isso, tenho senhas fortes, dicas de senhas difíceis, two-step authentication e tudo mais.", mas se meu alvo for sua empresa, todos os seus colegas tem esse mesmo cuidado? Se for sua família, todos os seus familiares tem esse cuidado? Até aquela tia chata que mal sabe usar o Facebook? Pois é, tenho certeza que não. Este estudo também prova que não é necessário grandes ferramentas e conhecimentos para causar um estrago.
Estou desenvolvendo ainda este estudo, provavelmente até seja meu TCC da faculdade. O que você acha? O que podemos fazer para mudar isso? Que outras ferramentas e métodos podemos usar para proteger os usuários deles mesmos?
OBS: Todos os que tiveram os emails comprometidos foram avisados e instruidos a fortificar suas contas, nada foi acessado, nada foi alterado, removido ou roubado.
Eu participo de alguns grupos do Facebook, entre eles alguns específicos para anúncios de compra e venda de diversas coisas, e em um certo momento do dia eu recebi em minha timeline um anúncio de venda de um apartamento no centro da cidade, todo mobilhado, com diversos cômodos e por um preço muito bom, o anúncio era algo como:
"Vendo apartamento todo mobilhado no centro da cidade, com 3 quartos, sala, cozinha, um banheiro, sacada e etc. Por apenas R$... Interessados deixar email que mando fotos."
Por algum motivo esse anúncio chamou minha atenção, não estou querendo comprar um apartamento nem nada mas tinha algo nele que me fez ler. Depois de um tempo olhando para aquele post vi alguns comentários e pessoas deixando emails. Em pouco menos de 10 minutos já tinha mais de 50 emails diferentes no post e isso me deu uma idéia, se eu fosse um hacker malicioso, o que eu poderia conseguir com isso?
Bom, se alguma das pessoas que comentassem fossem alvos de uma empresa que eu estivesse auditando ou algo parecido eu já teria o endereço de email, em muitos casos pessoais e de trabalho. Vi bastante @hotmail, @gmail e @yahoo, mas também vi bastante de domínio particular e alguns mais "importantes" como @gov, @jus, e etc.
Com base nisto eu pensei, "e se eu tentar acessar só com informações obtidas no próprio perfil?". E acabei fazendo isso com os emails públicos como Hotmail, Yahoo e Gmail.
Dos 30 emails que tentei pelo menos 20 eu tive acesso ao email ou consegui resetar a senha facilmente. O que eu fiz foi uma coisa muito básica que muitos deixam passar ou fazem só porque é obrigado para criar o email. Peguei email por email e tentei combinações simples coletadas dos perfis como nomes, datas e etc. Os que eu não consegui acesso por ai tentei pelo botão "esqueci minha senha", onde em todos os casos a pergunta era algo simples como "meu melhor amigo" ou "cidade onde minha mãe nasceu", coisas que eu consegui apenas abrindo o perfil da vítima. No caso do "meu melhor amigo", em alguma foto da vítima tinha uma citação como "eu e meu grande amigo em ..." colocando esse nome em muitos casos me liberou o reset de senha.
E agora, de posse de todos esses emails o que eu poderia fazer? Muitas coisas, posso enviar malwares para todos os contatos que por conhecer o remetente aceitariam sem problema, poderia resetar a senha de todos os serviços que a vítima usa, poderia roubar informações sensíveis e mais uma infinidade de coisas.
E agora explico porque eu fiz isso. Estou realizando um estudo sobre o "elo mais fraco da corrente" em segurança da informação, que nada mais é que o próprio usuário. Coisas simples que o próprio usuário poderia evitar e que pode ter consequências catastróficas em caso de um ataque real e em raras ocasiões um sistema de segurança vai parar um ataque desses, e este teste é uma prova do meu ponto, as pessoas podem se preocupar em trancar a porta da frente, mas acabam deixando a porta de trás ou uma janela aberta.
Mas ai muitos vão dizer, "mas meu email não tem isso, tenho senhas fortes, dicas de senhas difíceis, two-step authentication e tudo mais.", mas se meu alvo for sua empresa, todos os seus colegas tem esse mesmo cuidado? Se for sua família, todos os seus familiares tem esse cuidado? Até aquela tia chata que mal sabe usar o Facebook? Pois é, tenho certeza que não. Este estudo também prova que não é necessário grandes ferramentas e conhecimentos para causar um estrago.
Estou desenvolvendo ainda este estudo, provavelmente até seja meu TCC da faculdade. O que você acha? O que podemos fazer para mudar isso? Que outras ferramentas e métodos podemos usar para proteger os usuários deles mesmos?
OBS: Todos os que tiveram os emails comprometidos foram avisados e instruidos a fortificar suas contas, nada foi acessado, nada foi alterado, removido ou roubado.
0 comentários:
Postar um comentário