Em diversas ocasiões já comentamos neste blog sobre diversos casos de phishing – técnica que consiste na obtenção de informação sensível como nomes de usuário e senhas através da utilização indevida da imagem de empresas conhecidas, simulando pedir esse tipo de dados utilizando ameaças verbais como a promessa de desativação da conta caso não insira as informações solicitadas. Diferente do malware, que pode roubar esse tipo de dados automaticamente, nos ataques de phishing é o usuário que entrega suas informações de forma manual, uma vez que o criminoso tenha conseguido o convencer a fazer isso.
No caso de hoje, o alvo escolhido pelos criminosos não é um banco, companhia aérea ou empresa de cartão de crédito, mas sim o Twitter, conhecida rede social que se caracteriza pelo tamanho curto de suas mensagens e o seu grande alcance midiático. Abusando de todas essas vantagens, os criminosos virtuais estão utilizando como tema de engenharia social afirmações que apelam diretamente para a curiosidade da potencial vítima. Tweets ou mensagens em inglês sobre supostos rumores mal-intencionados são os ganchos que buscam capturar o usuário para que clique no link fraudulento. Se a pessoa não for precavida e seguir o link, irá acessar um site malicioso que solicita as credenciais de acesso ao Twitter. Para tornar o golpe mais real, utiliza-se a desculpa que essa informação é necessária devido a ter se passado um período longo de inatividade do usuário e que a sessão tenha se encerrado como medida de segurança.
Ainda que até o momento só tenham sido detectadas mensagens em inglês, é possível que este ataque de phishing seja traduzido a outros idiomas como o português, com o objetivo de aumentar ainda mais a quantidade de vítimas. Realizando uma análise detalhada, encontramos ao menos 31 mil usuários que já foram vítimas deste phishing, deixando à mercê dos criminosos virtuais informações como nomes de usuário, e-mails e senhas. Neste último ponto, vale observar que o principal erro de toda a situação é a entrega de informação sensível em links suspeitos. As senhas que os usuários escolhem não costumam ser fortes – é o que podemos constatar novamente. Das 31 mil credenciais removidas, a maioria é formada por oito caracteres, contudo, em diversas oportunidades observamos que, apesar do tamanho das senhas ser relativamente grande, elas podem ser violadas em poucos segundos e, além disso, são formadas por palavras fáceis de adivinhar, como “twitter1” ou a repetição de uma palavra várias vezes como “girlsgirlsgirls”.
Por isso, é importante destacar que a quantidade de caracteres é somente um elemento entre os vários a se considerar para criar senhas mais seguras. Não é suficiente repetir várias vezes a mesma palavra para formar uma senha de 10 ou mais dígitos. Com base nisto, recomendamos seguir boas práticas para criar senhas mais seguras.
Voltando ao caso deste phishing de Twitter, também pudemos observar que existem vítimas cujo endereço de e-mail inclui domínios como .gov, .edu e .org, o que demonstra mais uma vez a falta de conscientização e educação não afeta somente os usuários finais, como também grandes empresas e fundações que não implementam um programa educacional que contemple o uso seguro e bem informado das tecnologias como redes sociais. Adicionalmente, recomendamos as medidas padrão para outros ataques similares: não clicar em nenhum link suspeito ou informar dados sensíveis ao abrir links. Também é importante comprovar cuidadosamente o endereço a ser acessado verificando a URL mostrada na barra de endereços do navegador. Como medidas complementares, recomendamos a leitura do Guia de Segurança em Redes Sociais e a utilização de uma solução antivírus com capacidade de detecção proativa para prevenir atuais e futuras ameaças virtuais.
André Goujon
Especialista de Awareness & Research