Na quarta-feira, 15 de julho, o Twitter foi alvo de um ciberataque de engenharia social. O objetivo : enganar os utilizadores da Internet para lhes roubar criptomoedas.
Os piratas informáticos assumiram o controlo de mais de 130 contas (fonte: Les Echos). Assumiram a identidade de personalidades famosas e de empresas de renome: Barack Obama, Elon Musk, Jeff Bezos, Joe Biden, Bill Gates, Kanye West, mas também Bitcoin, Apple e Uber, Binance e muitas outras.
Twitter: vítima de um golpe envolvendo Bitcoin
Os piratas informáticos enviaram um tweet a cada uma das comunidades de utilizadores. Prometiam-lhes uma oferta irresistível: investir 1 000 $ em 30 minutos para receberem o dobro, ou seja, 2 000 $.
Mais de uma hora após o ataque, muitos utilizadores já não conseguiam twittar. Esta decisão foi uma das primeiras medidas de segurança tomadas pelo Twitter, após o alerta do ciberataque. Acrescentou-se ainda a impossibilidade de repor as palavras-passe.
De acordo com o Blockchain.com, os fraudadores conseguiram, no entanto, desviar cerca de 12,58 Bitcoins (ou seja, aproximadamente 116 000 $ ou 101 000 €). A (única) morada de transação dos fraudadores registou, além disso, mais de 350 transferências de dinheiro.
Phishing por telefone no Twitter e ciberataque de engenharia social
O Twitter confirmou que se tratou efetivamente de um «ataque coordenado de engenharia social». Este ataque visou «com sucesso alguns dos nossos funcionários que têm acesso às nossas ferramentas internas». (fonte: Le Monde).
Os funcionários do Twitter, alvo de um ataque de phishing por telefone perpetrado por piratas informáticos, terão concedido a estes acesso a uma ferramenta interna da empresa. Essa ferramenta, um painel de controlo, permite aceder à gestão das contas do Twitter. Foi assim que os hackers assumiram o controlo de vários endereços de e-mail para se fazerem passar por personalidades e empresas influentes.
A vulnerabilidade humana será sempre um ponto fraco em qualquer estratégia de mitigação de riscos. A implementação de uma cultura de sensibilização para a segurança no local de trabalho pode contribuir para reduzir esses riscos.
Este ciberataque desacredita o Twitter
Não é a primeira vez que o Twitter tem de lidar com um problema de segurança. A sua imagem fica prejudicada em cada uma dessas ocasiões. Ainda mais desta vez, pois, segundo a Bloomberg, os funcionários de um subcontratado utilizavam as ferramentas internas do Twitter para espiar as contas de algumas celebridades internacionais. Recolha de informações, dados de localização, etc.: tantos atos de cibercriminalidade que prejudicam a imagem do pássaro azul! Práticas conhecidas internamente, mas nunca interrompidas! (fonte: La Nouvelle Tribune).
O que é um ciberataque por engenharia social?
A engenharia social (Social Engineering) é uma técnica de manipulação psicológica utilizada por piratas informáticos para obter informações (dados, palavras-passe, credenciais…). Esta prática baseia-se no abuso de confiança e na exploração das fraquezas humanas. Para obter informações sobre o seu alvo, os hackers não hesitam em investigar através de: e-mail, redes sociais, chamadas telefónicas e até mesmo durante um «encontro e conversa inofensivos» na rua.
Geralmente, as vítimas não têm consciência de que estão a ser enganadas, pois os hackers jogam com as suas emoções e/ou interesses para as defraudar. Medo, stress, entusiasmo, etc.: na verdade, é mais fácil explorar as falhas humanas do que tentar piratear as falhas técnicas das organizações.
Foi, por exemplo, este tipo de ciberataque que afetou o Snapchat em 2016. Um hacker assumiu a identidade do responsável pelos serviços de RH e enviou um e-mail de phishing a um funcionário. O funcionário, que caiu no golpe, acabou por lhe enviar o ficheiro com os salários dos funcionários da empresa.
Por isso, é importante estar atento ao que é publicado na Internet e saber quais as medidas a tomar para evitar ataques de engenharia social.
