Recentemente, analisei os 10 principais aplicativos gratuitos da App Store e decidi usar um deles como alvo para ver se eu poderia assumir o controle da conta de outra pessoa. Esses experimentos não são apenas para demonstrar a facilidade com que um invasor pode realizar o roubo de uma conta, mas também para aproveitar a oportunidade de mostrar os métodos de prevenção disponíveis aos usuários para proteger todas as suas contas.

O Snapchat chamou minha atenção por causa de seu público-alvo de 18 a 24 anos (embora acredite-se que muitos de seus usuários sejam mais jovens). A Geração Z é geralmente considerada "experiente em tecnologia", tendo sido a primeira geração a crescer com a tecnologia desde seus primeiros anos de vida.

Por outro lado, essa geração também é vista, às vezes, como aquela que opta pelo caminho mais fácil sem medir as consequências do ponto de vista da segurança. Isso envolve tudo, desde a não configuração da autenticação de dois fatores até o compartilhamento de senhas com amigos. Por isso, decidi verificar como era a segurança do Snapchat e ver se ela poderia ser contornada.

Desta vez, usei uma técnica chamada "shoulder surfing", que eu gosto de chamar de "shoulder jacking" e que envolve alguém olhando por cima do ombro de outra pessoa sem ser notado a fim de roubar suas informações confidenciais, como senhas, PINs ou códigos de confirmação. Essa técnica simples e eficaz ainda é um grande problema nas redes sociais e em outros serviços, mas será que alguém poderia usá-la para sequestrar sua conta do Snapchat?

O experimento

Eu não tenho uma conta no Snapchat, mas alguns de meus amigos têm. Eu precisava de uma conta para fazer o teste e, sem surpresa, gosto de pedir permissão aos meus colegas primeiro. Minha amiga, que chamarei de "Júlia", estava realmente interessada na minha hipótese, então, quando perguntei se poderia tentar comprometer sua conta do Snapchat, ela concordou em nome da consciência cibernética, desde que eu não publicasse nada de sua conta, caso conseguisse.

Paguei um almoço para a Júlia em troca da realização dos meus testes. Na mesa, eu estava sentado ao lado da Júlia e ambos estávamos usando nossos smartphones, embora estivéssemos conversando. Eu já tinha instalado o Snapchat no meu celular, mas ainda não tinha configurado ou feito login em uma conta. Abri o aplicativo no meu celular e vi a seguinte tela de login. Ela tem o link favorito de todos os cibercriminosos bem no centro e exibido com destaque: "Esqueceu sua senha?".

Figure-1.-Snapchat-login-form.jpg

Esse costuma ser o primeiro ponto de partida para quem tenta invadir uma conta para testar a segurança e os possíveis métodos de login. Cliquei em "Esqueceu sua senha?" e o aplicativo me pediu para escolher como eu queria redefinir a senha. As opções eram "via telefone ou via e-mail". Escolhi via telefone e, em seguida, o aplicativo solicitou um número.

Figure-2.-Snapchat-forgotten-password.jpg

Como Júlia estava com o smartphone sobre a mesa, digitei seu número de telefone e esperei ansiosamente ao lado dela pelo momento de "olhar por cima do ombro" para ver o código de confirmação. Enquanto ela olhava para o telefone em uma conversa de bate-papo, o código de confirmação apareceu como uma notificação pop-up na parte superior da tela do iPhone e eu pude ler rapidamente o número de seis dígitos.

Pensei que, a essa altura, ela tivesse percebido, mas simplesmente ignorou a notificação e continuou enviando mensagens para um amigo. Na verdade, quando lhe contei mais tarde o que eu havia feito, ela disse que nem percebeu a mensagem do Snapchat, pois recebe "muitas notificações".

Digitei o código de confirmação no meu telefone e imediatamente o aplicativo me pediu para adicionar uma nova senha. Digitei: "JakeIsAwesome.1". Parecia uma boa opção, pois eu teria que digitá-la para recuperar a conta da Júlia logo depois. Nesse momento, tudo foi tão fácil, mas o Snapchat tinha uma camada adicional de segurança para permitir o controle total da conta.

Embora não tenha solicitado uma senha (presumivelmente porque a Júlia conseguiu criar uma conta sem um e-mail e nome de usuário), essa camada adicional de segurança era outro código de confirmação, que foi enviado para o número de telefone da Júlia novamente por mensagem de texto. Embora eu não estivesse me preparado para isso, ainda assim consegui ver o SMS através das notificações da Júlia enquanto ela ainda estava com o telefone na mão (e também sem estar ciente disso). Com esse código, obtive acesso à conta dela e assumi o controle total, conseguindo até mesmo bloquear o acesso dela à sua conta em seu próprio telefone.

Eu havia prometido a Júlia que não publicaria nada nem entraria em contato com seus amigos, mas minha prova de conceito funcionou. Isso foi feito de forma bastante fácil, apenas com o número de telefone dela e estar ao alcance de seu celular. Os usuários do Snapchat devem estar cientes de que suas contas estão em risco, caso alguém ao seu redor queira roubá-las e, possivelmente, até mesmo manter o acesso às suas contas em troca de um resgate.

Indo um pouco além, acredito que esse ataque poderia ser feito remotamente se um invasor com engenharia social decidisse telefonar para a vítima e persuadi-la a entregar os códigos de confirmação por meio de uma chamada de voz. Essa é uma prática que temos visto crescer à medida que as pessoas não tomam as devidas precauções.

Se a única opção tivesse sido verificar a conta por e-mail, esse experimento teria sido quase impossível. Isso significaria que eu precisaria que Júlia clicasse no e-mail que foi enviado a ela e, em seguida, clicasse no link da mensagem; duas coisas que presumo que ela não teria feito. O mecanismo de recuperação de senha do Snapchat, que usa um código enviado por meio de um serviço de mensagens não criptografado que aparece no painel de notificações do telefone, simplesmente abre um vetor de ataque que é muito mais fácil de ser explorado.

E como recuperar sua conta do Snapchat?

Recuperar uma conta do Snapchat que foi roubada nem sempre é fácil. Tudo depende das alterações que o invasor fez na conta. Se apenas a senha tiver sido alterada, você poderá recuperar sua conta seguindo as mesmas etapas acima.

No entanto, se o invasor alterou seu número de telefone, endereço de e-mail ou ativou a autenticação de dois fatores, suas opções são muito limitadas e, como acontece com a maioria das redes sociais, é difícil entrar em contato com essas empresas e obter ajuda para se recuperar de tais ataques. Se a sua conta for comprometida, o Snapchat sugere algumas ações que podem fazer com que você possa recuperar a sua conta.

Como você pode proteger sua conta do Snapchat?

Além de usar uma senha forte e exclusiva (o ideal é usar uma senha diferente em todas as suas contas on-line), certifique-se de ativar a autenticação de dois fatores (2FA) nas configurações do Snapchat, bem como implementá-la em todos os outros aplicativos que disponibilizam esta opção. No Snapchat, vá para as configurações e localize a opção de autenticação de dois fatores: embora não haja problema em usar a 2FA baseada em SMS, é muito melhor usar um aplicativo de autenticação, como o Microsoft Authenticator ou o Google Authenticator.

Figure-3.-Snapchat-two-factor-authentication.jpg

Talvez você não tenha uma conta do Snapchat, mas conheça alguém que tenha. Certifique-se de que esses usuários estejam cientes desse modus operandi para o roubo de contas e sugira para eles a aplicação dessas medidas de segurança para todas as suas contas on-line.

A melhor maneira de evitar que alguém espie por cima do seu ombro é ficar atento ao inserir informações confidenciais em um aplicativo ou site, especialmente em locais públicos. Além disso, você também pode desativar as visualizações de notificações para que elas fiquem ocultas de olhos curiosos quando o telefone estiver bloqueado. Para finalizar, certifique-se de monitorar ativamente suas mensagens SMS ao usar seu telefone ou tablet com outras pessoas - isso também teria impedido meu ataque à conta do Snapchat da Júlia.