A operadora TIM
sofreu uma invasão hacker no dia 14 de
fevereiro, uma quinta-feira. De acordo com documentos exclusivos recebidos pelo TecMundo, cibercriminosos poderiam se
aproveitar de falhas na cibersegurança da empresa para roubar dados pessoais,
sensíveis, senhas e perpetuar ataques de spear phishing contra funcionários e
clientes da operadora.
A TIM, que foi alertada no dia 15
de fevereiro, enviou um posicionamento sobre o caso, sem muitas explicações,
que você acompanha mais abaixo. Os documentos recebidos revelam três
ataques diferentes sofridos pela TIM: HTML injection, XSS e XSS com
redirect.
"É
possível colocar uma foto na página da TIM se alguém utilizar a URL que eu
enviar. Se você mandar esse link para a pessoa, ela realmente vai clicar e vai
aparecer a foto, mas isso não alterou o servidor. Só ‘enxerga’ essa alteração
quem clicar no meu link”, explica a fonte ao TecMundo. “Imagine um pop-up falso de alerta
para todos os funcionários trocarem a senha e adicionarem a senha antiga no
pop-up. Isso tudo acontecendo sobre o site real da TIM. O impacto é enorme, é
uma informação crítica".
- Os domínios
envolvidos e mais detalhes não serão revelados, visto que não sabemos se a
TIM já realizou a correção do problema e ainda analisa o material recebido
no dia 15 de fevereiro
- Atualização: a TIM enviou um posicionamento inicial: "A TIM informa que o caso em questão foi analisado e esclarece que os seus sistemas estão protegidos. A empresa reitera seu compromisso com os mais altos padrões de segurança da informação".
Página
da TIM
- A demonstração
dos ataques recebe a assinatura do hacker Krypt0n
Isso
significa que clientes e funcionários da TIM poderiam acessar o site oficial da
operadora e se deparar com um pop-up falso para roubar informações, dados e
senhas. Os ataques decorrentes dessa ação envolvem desde o phishing, para
roubar dados de bancos e redes sociais, até o credential stuffing, para roubar
logins e senhas corporativas.
Sobram
questões não respondidas sobre o ataque:
Há
quanto tempo essa falha existia? Já foram feitas vítimas? Alguém já vinha
usando essa falha para golpes?
Em
miúdos
O XSS (cross-site scripting) e
HTML injection são tipos de ataques que enviam comandos maliciosos em páginas
na internet. Esses ataques se aproveitam de vulnerabilidades no processo entre
a validação de dados recebidos de um usuário e a resposta do servidor de um
site.
Cibercriminosos se aproveitam da
boa reputação de sites na internet para introduzir códigos que executarão ações
maliciosas, como roubar cookies de autenticação dos usuários, credenciais de
acesso ou, ainda, direcionar as vítimas para páginas perigosas.
"O fato de o usuário achar que está acessando uma página confiável tende a aumentar o potencial desse tipo de golpe"
Esses tipos de ataques podem ser
persistentes ou não. Quando são persistentes, os cibercriminosos consegue
enviar comandos maliciosos para serem executados sempre que um usuário abrir
aquele determinado site. Um exemplo bem comum são comentários em uma
determinada matéria contendo um código malicioso. Nesse caso, sempre que a
notícia for aberta por um usuário, o comentário será carregado junto com o
ataque.
No caso do ataque ser não
persistente, o cibercriminoso precisa enviar a URL do site vulnerável já com o
código malicioso introduzido para as vitimas. O uso de engenharia social é bem
comum nesse caso.
"O fato de o usuário achar
que está acessando uma página confiável tende a aumentar o potencial desse tipo
de golpe, que muitas vezes chega a passar por diversas barreiras de
segurança", alerta Emilio Simoni, diretor do dfndr lab, laboratório
especializado em segurança digital da PSafe.
É
tudo uma ilusão
Esse golpe que ilude clientes e
funcionários a pensarem que estão no site oficial da TIM pode causar outros
dois ataques: phishing direcionado e credential stuffing.
"O
Brasil é o país que mais sofre e cai em golpes de phishing no mundo, título
recebido em 2018 de acordo com pesquisa da Kaspersky"
Phishing é um dos métodos de
ataque mais antigos, já que "metade do trabalho" é enganar o usuário
de computador ou smartphone. Como uma "pescaria", o cibercriminoso
envia um texto indicando que você ganhou algum prêmio ou dinheiro (ou está
devendo algum valor) e, normalmente, um link acompanhante para você resolver a
situação. O phishing também pode ser caracterizado como sites falsos que pedem
dados de visitantes. A armadilha acontece quando você entra nesse link e insere
os seus dados sensíveis — normalmente, há um site falso do banco/ecommerce para
ludibriar a vítima —, como nome completo, telefone, CPF e números de contas
bancárias.
Quando o phishing é direcionado,
o perigo aumenta: o cibercriminoso utiliza informações pessoais que tornam o
golpe mais crível, como o local de emprego de uma pessoa.
Já o credential stuffing acontece
quando um atacante rouba senhas e emails de outros vazamentos (ou golpes como
esse) e força esses logins no site alvo esperando que a vítima não utilize
senhas diferentes.
Documentos
Como fazer denúncias ao TecMundo
- Nossos canais
são: denuncia@tecmundo.com.br ou felipepayao@protonmail.com
Fonte: TECMUNDO
Nenhum comentário:
Postar um comentário