Em um Anúncio de serviço público (PSA) o Federal Bureau of Investigation (FBI) e a Cybersecurity and Infrastructure Security Agency (CISA) alertam o público sobre as campanhas de phishing em curso ligadas à Rússia que visam obter acesso a contas de mensagens.
No início deste mês, escrevemos sobre uma campanha de phishing em grande escala destinada a sequestrar contas do Signal e do WhatsApp pertencentes a altos funcionários, militares, funcionários públicos e jornalistas.
Agora, o FBI e a CISA juntaram-se aos serviços de inteligência europeus para alertar que as mesmas tácticas estão a ser utilizadas numa campanha mais ampla que visa estas aplicações de mensagens comerciais. O objetivo não é quebrar a criptografia de ponta a ponta, mas contorná-la, roubando o acesso a contas individuais.
No nosso artigo anterior, concentrámo-nos nos avisos dos serviços de inteligência holandeses AIVD e MIVD, que descreveram como os intervenientes apoiados pelo Estado russo abordaram alvos de alto valor através do Signal e do WhatsApp, fazendo-se passar por “Signal Support”, “Signal Security Bot” ou similar. O PSA demonstra como os mesmos grupos estão agora a realizar campanhas globais de phishing contra contas de aplicações de mensagens, com evidências que sugerem milhares de contas comprometidas em todo o mundo.
É importante reiterar que os invasores não conseguiram quebrar a criptografia ponta a ponta dos apps. Em vez disso, eles estão contando com a engenharia social para adicionar um dispositivo que possa espionar as contas.
Os alvos actuais incluem actuais e antigos funcionários do governo dos EUA, militares, figuras políticas e jornalistas, mas nada impede que as mesmas técnicas sejam reutilizadas contra empresas e utilizadores quotidianos.
Assim, embora seja tentador descartar isto como um problema para diplomatas e generais (e as agências que emitem estes alertas mencionam primeiro os alvos de alto perfil), as técnicas escalam muito facilmente. Uma vez que manuais como esses se tornam públicos, eles tendem a ser copiados por cibercriminosos em busca de novas maneiras de roubar dinheiro ou contas.
Como proteger suas contas
Como diz o PSA:
“O phishing continua sendo um dos meios menos sofisticados, porém eficazes, de comprometimento cibernético, muitas vezes tornando outras proteções irrelevantes”
Esta chamada exige medidas básicas de segurança:
- Trate as mensagens não solicitadas do “Suporte” dentro dos aplicativos como suspeitas por padrão. O suporte legítimo para aplicativos como Signal e WhatsApp não solicita que você, em uma mensagem de bate-papo, envie códigos de verificação, PINs ou senhas. Se você receber um aviso sobre problemas na conta, não siga os links da mensagem. Abra diretamente as configurações do aplicativo ou visite o site oficial por outros meios.
- Nunca compartilhe códigos de verificação por SMS ou PINs de aplicativos. Os códigos SMS existem para provar que você controla um número de telefone. Qualquer pessoa que tenha o código pode fingir ser você. PINs ou senhas específicos do aplicativo existem para proteger alterações de conta. Entregá-los é como entregar as chaves da sua conta. Considere qualquer pessoa que peça que ele seja um golpista.
- Tenha cuidado com o que você discute e com quem. Tanto os avisos holandeses como os norte-americanos lembram-nos que, mesmo com encriptação de ponta a ponta, algumas conversas são demasiado sensíveis para aplicações de chat comerciais.
- Use os recursos extras de segurança que esses aplicativos oferecem. Ative opções como bloqueio de registro, PIN de registro e alertas de mudança de dispositivo para que sua conta não possa ser registrada novamente silenciosamente sem um segredo extra. Armazene seu PIN em um gerenciador de senhas em vez de escolher algo fácil de adivinhar ou reutilizar um código comum, para reduzir a chance de engenharia social ou surf de ombro.
- Outro recurso útil são as mensagens que desaparecem. Mensagens de curta duração e que desaparecem reduzem a quantidade de conteúdo disponível se um invasor entrar em um bate-papo posteriormente ou se alguém obtiver acesso de longo prazo a um dispositivo ou backup. Não são uma solução completa, mas podem limitar os danos.
O que fazer se você acha que sua conta foi invadida
Se você suspeitar que um invasor assumiu o controle de sua conta de mensagens:
- Tente registrar novamente seu número no aplicativo imediatamente para expulsar outros dispositivos.
- Revogue todos os dispositivos vinculados e altere PINs ou códigos de bloqueio específicos do aplicativo.
- Avise seus contatos que alguém pode ter se passado por você e peça-lhes que tratem as mensagens recentes com cautela.
- Revise conversas recentes em busca de sinais de roubo de dados (por exemplo, IDs compartilhados, documentos ou senhas que agora devem ser considerados expostos).
- Relate o incidente ao provedor do aplicativo e, quando apropriado, aos centros de denúncia nacionais, como o Internet Crime Complaint Center (IC3) do FBI em ic3.gov ou à autoridade relevante em seu país.
Quanto mais cedo você agir, menor será a janela na qual os invasores poderão explorar sua conta.
Não informamos apenas sobre a segurança do telefone: nós a fornecemos
Os riscos de cibersegurança nunca devem ultrapassar as manchetes. Mantenha as ameaças longe de seus dispositivos móveis baixando o Malwarebytes para iOS e o Malwarebytes para Android hoje mesmo.
Deseja saber mais sobre Segurança Clique Aqui!
cisa,fbi,sinal,whatsapp
Perito em Computação Forense e Crimes Cibernéticos
Investigação Digital | Laudos Técnicos | Resposta a Incidentes
Bacharel em Sistemas da Informação, Certificado Microsoft Azure IA e MOS. Trabalho como Administrador de Redes, Firewall e Servidores Windows e Linux!
Minhas atividades favoritas são: Caminhar, Fazer Trilhas, Natureza, Insetos e claro ler sobre Tecnologia.