É comum ver notícias sobre tecnologia em que o termo hacker é utilizado para denominar alguém que causou danos a computadores ou redes, e isso está errado. A aplicação mais adequada para a palavra hacker é empregá-la para se referir a alguém que tem conhecimento elevado sobre aspectos mais internos de dispositivos, programas e redes de computadores.

Quando aparece na mídia ou em conversas em redes sociais que alguém foi hackeado, isso normalmente quer dizer que a vítima sofreu algum tipo de perda tecnológica, seja por ter sua conta de algum serviço sequestrada ou por ter seu computador invadido. Como o termo é abrangente, as hipóteses são inúmeras, explicaremos a seguir alguns dos “significados” para a palavra hackeado falando sobre os métodos mais comuns utilizados pelos criminosos para atacar suas vítimas.

#Roubo de Link de internet

Como: Esta é uma das práticas de fácil execução que permite que criminosos usem a rede ou a internet de suas vítimas sem o consentimento das mesmas. Pode ocorrer em redes empresariais e domésticas, por meio de Wi-Fi ou cabo, sendo o segundo modo mais difícil de acontecer pois depende de que os criminosos tenham acesso à rede que provê o link, e na rede Wi-Fi basta que ele esteja próximo ou tenham uma boa antena.

Detecção: A detecção deste tipo de ataque não é tão usual, para que seja facilmente detectado é necessário que o criminoso use de forma excessiva os recursos que está roubando, a ponto de ser perceptível que haja algum tipo de lentidão. Também é possível identificar através das configurações do modem/roteador Wi-Fi, analisando a lista de dispositivos conectados à rede.

Proteções: O modo mais eficiente é configurar uma senha robusta para acesso a rede Wi-Fi e proteger o acesso físico a todos os pontos de rede.

Observação: Ocultar o nome da rede Wi-Fi não é considerado um modo de proteção pois os softwares que visam comprometer ambientes Wi-Fi conseguem identificar estas redes.

#Invasão

Como: É importante entender que qualquer ponto de um ambiente tecnológico, seja em uma residência ou empresa, pode estar sujeito a algum tipo de ataque. Os dispositivos focados pelos criminosos variam de servidores de última geração, até estações de trabalho obsoletas, passando por smartphones, impressoras e qualquer outro item que seja acessível no momento do ataque. Os tipos de invasões mais comuns ocorrem através de um dos dois meios:

  • Vulnerabilidade – Um software presente no dispositivo da vítima possui uma vulnerabilidade que permite que o criminoso consiga algum tipo de vantagem, algumas vezes até acesso completo ao sistema.
  • Arquivo malicioso – A vítima recebe um arquivo de aparência inofensiva que ao ser aberto executa códigos maliciosos. Os códigos podem ser os mais variados e geralmente permitem a conexão remota do criminoso.

Detecção: É muito difícil perceber que um equipamento foi invadido se não houver nenhum software de segurança previamente instalado e devidamente configurado. Invasões são silenciosas e podem passar anos até que algo de visivelmente anormal aconteça. Para identificar a presença de uma invasão de forma “manual” é necessário que a vítima tenha conhecimentos sobre o Sistema Operacional que está utilizando, tenha um ótimo controle sobre os softwares e serviços instalados e saiba como interromper o progresso da invasão enquanto estiver em curso.

Mesmo com o conhecimento necessário para remover softwares indevidos e interromper a invasão, esta seria uma ação reativa. O ideal é que ela seja interrompida antes mesmo de começar, para isso é necessário a utilização de softwares de segurança devidamente configurados e que permaneçam sempre ativados. Para que haja uma proteção mais robusta é recomendável que haja várias camadas de proteção por toda a rede.

#Trojan bancário

Como: Os trojans bancários são exemplos de malware que normalmente são vinculados a outros softwares para tentar burlar sistemas de defesa. Apesar de citarmos especificamente os bankers por serem as ameaças mais comuns no Brasil, muitas ameaças seguem o mesmo caminho, spywares, adwares, droppers, entre outras. No caso dos trojans bancários, após infectar o equipamento, eles ficam aguardando determinadas ações da vítima para que realmente comece a atuar, como por exemplo abrir um site de um banco específico.

Detecção: Identificá-los manualmente não é fácil, pois eles costumam agir muito pouco e apenas em camadas mais profundas do Sistema Operacional, quase nada do que eles fazem chega a ser visível para o usuário. Por serem complexos e polimórficos não há meios comuns de detecção destas ameaças.

#Ransomware

Como: Os ransomware ganharam grande notoriedade por explorarem uma característica do protocolo SMBv1 da Microsoft, mesmo com a vulnerabilidade sendo facilmente corrigida manualmente ou através de updates. O ransomware costuma se propagar via Phishing e, após ter suas etapas concluídas, impede que a vítima tenha acesso ao seu equipamento, exigindo um resgate para que o acesso seja novamente possível.

Detecção: O ransomware é muito silencioso, após comprometer um host, ele consome pouco processador e memória, criptografando o equipamento aos poucos e permitindo que o usuário continue a utilizá-lo. Entre os exemplos citados é o de mais fácil identificação, mas sua identificação só é evidente quando ele já concluiu seu intento. A detecção manual é dificultada por não exigir muito dos recursos de hardware para concluir a criptografia, mas um monitoramento constante de disco, memória e processamento pode trazer indícios da presenta do malware.

#App malicioso

Como: Aplicativos maliciosos têm os mais diversos fins, todas as ameaças que citamos acima podem vir também em forma de aplicativo, independente de qual seja o sistema operacional do dispositivo, iOS ou Android.

Detecção: Monitorar o funcionamento de aplicativos em smartphones e tablets é mais complexo que em computadores. As ferramentas que permitiriam a identificação não são tão usuais.

Para evitar que o dispositivo seja contaminado é recomendável sempre baixar apps de lojas oficiais, não executar procedimentos que modifiquem a estrutura do sistema operacional, como Root ou JailBreak.

Fui hackeado, e agora?

Caso você tenha percebido em algum equipamento indícios de que ele foi comprometido de alguma forma e tem dúvidas sobre o que pode ser feito para que a ameaça seja removida, veja alguns procedimentos que indicamos como remediação contra as ameaças.

Importante: Existem diversas formas de tratar incidentes deste tipo e seria impossível listar todas elas em uma única publicação, destacaremos alguns procedimentos mais abrangentes para que possam ajudar a maior quantidade de pessoas possível.

Sendo assim, vamos a eles:

#1 Isole o equipamento comprometido

Se um equipamento foi comprometido de alguma forma é recomendável considerar a ameaça como sendo a pior possível e assumir que ela tentará se propagar para outros equipamentos. Para isolar o equipamento, basta remover todas as possibilidades de comunicação com outros dispositivos, isso costuma ser facilmente conseguido removendo cabos de rede, desligando o Wi-Fi ou qualquer outro meio de comunicação sem fio que o equipamento tenha. Caso seja um equipamento corporativo, considere isolá-lo também fisicamente, impedindo que pessoas tenham acesso a ele e possam religá-lo. Isso evitará que a ameaça se espalhe.

#2 Instale um software de proteção em seu equipamento

Quando um equipamento é considerado suspeito de ter sido comprometido, devemos remover a ameaça presente nele o quanto antes. Para isso, instale uma *solução robusta de proteção de endpoits e faça uma varredura completa de todo o sistema para que seja possível remover as ameaças encontradas pela solução.

*para boa parte das ameaças presentes hoje em dia apenas uma solução de antivírus não basta, é necessário que a solução escolhida tenha ao menos capacidades de identificação de ameaças baseadas em comportamentos, pois o malware que infectou o equipamento pode ainda não ter sido catalogado.

#3 Assuma que a ameaça se espalhou        

A menos que haja um bom nível de controle sobre tudo que acontece com o equipamento infectado, é difícil precisar quando a ameaça fez o primeiro contato. Sendo assim, considere que a ameaça já está percorrendo o ambiente e trate todos os dispositivos como possivelmente infectados, faça varreduras em todos os equipamentos e deixe todas as defesas habilitadas e configuradas para bloqueio.

Isso fará com que, caso a ameaça tenha começado a se espalhar, seu ciclo de infecção seja interrompido. Caso o malware ainda não tenha começado a se espalhar, essa ação evitará que aconteça.

#4 Fique em alerta com o Ransomware

Como citamos nos exemplos anteriores, boa parte dos malwares não dão demonstrações de que estão presente no sistema de suas vítimas, bem diferente do ransomware. Apesar de seu estágio inicial ser igualmente silencioso como boa parte das demais ameaças, quando o ransomware conclui seu intento, ele exibe uma mensagem que impede que o usuário faça qualquer coisa em seu equipamento e só devolve o acesso após o pagamento do resgate.

Neste caso, como o sistema está inacessível, as possibilidades de tratamento diminuem bastante. Existem algumas ferramentas que se propõe a remover alguns tipos de ransomwares, é possível encontrá-las através de buscas na Internet, mas como normalmente não é possível garantir que estas ferramentas foram desenvolvidas apenas com o intuito de auxiliar as vítimas, não recomendamos a utilização das mesmas.

O ideal é que backup das informações mais importantes do equipamento sejam feitos periodicamente, tenham sua integridade validada e, em casos como esse, possam ser recuperados minimizando drasticamente os danos causados, em alguns casos até zerando-os.

#5 Em hipótese alguma paguem o resgate exigido pelos criminosos

O cenário de um ambiente inteiro completamente travado por ransomware pode parecer desesperador, mas pagar o resgate não garante a recuperação dos dados, e ainda mostra aos criminosos que eles podem comprometer novamente o ambiente e conseguir ainda mais dinheiro. Recomendamos que o dinheiro do resgate seja empregado em proteções para o ambiente, para que ameaças não consigam entrar, sistemas de backup para casos de desastre e educação, instruir todos os funcionários sobre a importância do uso adequado dos recursos tecnológicos e que eles são sempre a primeira linha de defesa de um ambiente, usuários adequadamente instruídos fazem com que ambientes de rede se tornem mais seguros e produtivos.

#6 Troque as senhas

Por características de segurança já é recomendado trocar as senhas periodicamente, sempre utilizando senhas complexas e de difícil adivinhação. Em caso de suspeita de ter o computador comprometido, o mais adequado é trocar imediatamente todas as senhas que estejam presentes naquele dispositivo, mesmo que não estejam salvas em lugar nenhum dentro dele. Como por exemplo senhas de e-mails, contas de serviço da Internet, senhas do Windows e senhas bancárias.

Proceder com a troca das senhas imediatamente após uma desconfiança de que algo está errado pode evitar que o criminoso tenha acesso efetivo aos dados que ele roubou. Caso uma troca de senhas se faça necessária nunca utilize o mesmo computador com suspeita de infecção para esta troca, utilize um dispositivo que possua as últimas atualizações de segurança instaladas e que todos os softwares de proteção estejam ativos e configurados para bloquear ameaças.

#6 Cuidado com a Sextorsão

Agora que listamos algumas das dicas que poderão auxiliá-los a lidar de forma mais adequada com diversos tipos de ameaça, não podemos deixar de mencionar uma forma bem mais específica de ataque, igualmente perigosa e com características bem mais íntimas.

A sextorsão, tradução do termo em inglês sextortion, pode acontecer de diversas formas. Seguindo nossa linha de exemplos, o criminoso conseguiu acesso ao smartphone ou computador de sua vítima através do qual pode coletar fotos e vídeos íntimos. Apropriando-se desses dados, o criminoso entra em contato para chantagear suas vítimas e comumente exigem favores sexuais, dinheiro ou até mesmo mais conteúdo íntimo, ameaçando divulgar o material obtido para amigos e familiares caso o “preço” não seja pago.

Ela também acontece quando a vítima passa conteúdo íntimo para alguém de forma voluntária e este alguém decide obter vantagens adicionais, normalmente após términos de relacionamentos.

Em qualquer uma das duas formas, a extorsão deve ser combatida. Para isso, produza conteúdo que comprove que a chantagem está acontecendo, isso pode ser feito com prints da tela do celular e eventualmente extração de áudios em que o criminoso demonstra seu intento de prejudicar a vítima.

Sempre denuncie, devido ao cunho íntimo da ameaça, algumas vítimas não se sentem confortáveis em pedir ajuda sobre o tema, mas é importante sempre denunciar o criminoso. Apesar da denúncia poder ser feita em qualquer delegacia hoje em dia, já existem várias delegacias especializadas em crimes digitais.

Sites como a Safernet produzem conteúdo voltado ao auxílio de pessoas que passaram por este tipo de ameaça com diversas outras dicas úteis sobre como proceder.

 

Gostaria de ver algum conteúdo sobre segurança da informação que ainda não falamos? Deixe nos comentários suas sugestões.  Ah... Participe do DesafioESET #01 e coloque em prática suas habilidades!