Muitos hacks bem-sucedidos começam com uma postagem desavisada nas redes sociais.
É comum as pessoas postarem fotos e vídeos de suas vidas cotidianas em seus perfis de mídia social, mas esse conteúdo gerado pelo usuário pode representar grandes problemas de segurança. A mídia social é ótima para coletar informações sobre as pessoas. Veja como os hackers coletam e exploram precisamente essas informações.
Coletar inteligência é o primeiro passo para hackear
A primeira coisa que os hackers fazem antes de atacar um sistema é coletar informações. Às vezes, esse processo pode levar minutos, horas, meses ou anos. Este período de tempo varia de acordo com a capacidade do sistema de destino, o número de funcionários, o tamanho do ataque e as medidas defensivas. O objetivo aqui é identificar todos os pontos fracos do sistema alvo e criar uma estratégia de ataque.
Por exemplo, imagine uma pessoa cujo nome de usuário do Instagram é vítimausuário tem um e-mail da empresa com a extensão exemplo.com, e compraram uma passagem de avião para uma viagem de negócios ao exterior. Acontece que o usuário vítima está muito animado com isso e decide enviar uma foto para compartilhar a emoção com seguidores e amigos no Instagram. Nesta foto que o usuário da vítima carregou, uma certa parte da passagem de avião pode ser vista. ah ah. Esta é uma informação muito útil para um hacker.
Embora a passagem aérea inteira não esteja visível na foto compartilhada pelo usuário vítima, como a passagem de cada empresa é diferente, o hacker consegue entender a qual companhia essa passagem pertence. Em seguida, o hacker lerá a descrição abaixo da foto. Se o usuário vítima compartilhar a data e hora do voo, o trabalho do hacker será mais fácil. Mas mesmo que essa informação não esteja disponível publicamente, o hacker pode se passar por um cliente, entrar no site oficial da empresa aérea e examinar os planos de voo. Isso significa que os hackers podem prever o dia e a hora do voo pertencente ao usuário vítima.
Nesse ponto, o hacker começa a pensar em vetores de ataque enquanto o usuário-vítima continua pensando que está fazendo uma postagem inocente.
Usando o poder do Google, o hacker começa a pesquisar as passagens da companhia aérea aprendidas com o usuário vítima. Então, o primeiro passo que o hacker dará é para fazer o Google idiota.
Com o Google dorking, você pode pesquisar extensões de arquivo específicas em um determinado site. Nesse caso, o hacker pesquisa arquivos PDF da companhia aérea do usuário vítima. O hacker baixa esse arquivo PDF e o manipula para atender às suas necessidades.
Alguns hackers enganam e fraudam os usuários-alvo através de um processo conhecido como engenharia social. Nesta fase, o hacker criará um endereço de e-mail realista e o corpo do texto que o acompanha. Eles podem então anexar um arquivo PDF modificado contendo malware. Se o usuário vítima abrir este e-mail, o hacker atingiu seu objetivo.
Se o hacker souber o horário e o dia do voo do usuário-vítima, claro, o e-mail falso será muito mais realista, mas na maioria das vezes, isso pode nem ser necessário. Se houver um sistema de adesão no site da companhia aérea, o hacker pode se tornar um membro e receber um e-mail da companhia aérea. Isso ajudará o hacker a aprender o layout e estilo HTML do e-mail utilizado pela companhia aérea.
Depois de preparar o e-mail falso, o hacker agora precisará obter um endereço de e-mail com um domínio pertencente à companhia aérea, mas isso é quase impossível de fazer. É por isso que o hacker prepara um endereço de e-mail falso da empresa aérea. Eles podem colocar um endereço de e-mail diferente na frente de uma conta de e-mail normal para mascará-lo e, a menos que o usuário-alvo clique nesse endereço, ele não verá o endereço de e-mail real por trás dele. É um truque fácil de cair.
Depois que o hacker preparou um endereço de e-mail falso, resta apenas um passo: descobrir o endereço de e-mail do usuário-vítima. O hacker pode recorrer à opção de senha esquecida para isso.
Após a opção de senha esquecida, o hacker pode descobrir o nome de domínio de e-mail do usuário visado. Neste exemplo, o usuário-vítima tem um domínio chamado exemplo.com e parece ter um endereço de e-mail como v******[email protected]. Claro, o hacker pode entender imediatamente que a parte marcada com * é o nome de usuário do usuário-vítima. Se não fosse tão simples, o hacker poderia ter pesquisado com o Google idiota para ver se existem outros endereços de e-mail com o domínio exemplo.com. No entanto, agora o hacker tem o e-mail do usuário-vítima.
Como as coisas parecem da perspectiva da vítima
Um e-mail urgente chega ao usuário-vítima, e esse e-mail é tão convincente que o usuário-vítima cai nessa armadilha. Afinal, este e-mail contém a passagem aérea, as informações do voo e as políticas importantes do voo. Além disso, o endereço de e-mail se parece com o endereço de e-mail da companhia aérea. Tudo parece legítimo.
Além disso, como o usuário vítima fará este voo para uma viagem de negócios, ele leva este e-mail a sério. Na parte inferior do e-mail, há um link como "documentos que você precisa preencher para concluir seus procedimentos de voo". Assim que o usuário vítima clicar nesse link, o hacker consegue o que procura.
O que esta história nos diz?
A maioria de nós não é diferente do usuário-vítima, e é importante estar ciente disso. O erro que o usuário-vítima cometeu neste cenário de exemplo foi compartilhar publicamente as informações do ticket, que são informações pessoais e privadas. E aqui está a coisa: esta foi uma história verdadeira. Portanto, pense duas vezes antes de compartilhar informações relacionadas ao seu negócio ou à sua vida pessoal.