Início » Antivírus e Segurança » Golpe de phishing rouba senha do Gmail e SMS de autenticação em duas etapas

Golpe de phishing rouba senha do Gmail e SMS de autenticação em duas etapas

Graças a um sofisticado esquema de phishing, invasores descobriram senha e código de autenticação em duas etapas de serviços como Gmail e Yahoo Mail

Emerson Alecrim Por

Depois de criar uma senha forte, a orientação de segurança mais recorrente nos meios online é a de usar a autenticação em duas etapas, sempre que possível. Mas nada é 100% seguro: recentemente, um grupo de hackers simpatizante ao governo do Irã conseguiu burlar esse tipo de proteção em serviços como Gmail e Yahoo Mail.

two-step-verification-gmail / Panda Security

A autenticação em duas etapas em si não foi quebrada. O que os invasores fizeram foi executar uma sofisticada campanha de phishing direcionada a políticos, ativistas e jornalistas ligados ao governo dos Estados Unidos e outros países para, assim, acessar as contas de email dessas pessoas.

O primeiro passou consistiu em coletar informações sobre as vítimas para enviar mensagens de alertas com dados suficientes para convencê-las de que aquele aviso era legítimo — quando não passava de uma cilada.

Na maioria das vezes, o email dizia que a conta havia sido acessada por terceiros e perguntava se o usuário reconhecia aquela atividade. Quando a pessoa clicava em “não”, normalmente era levada a uma falsa página de segurança hospedada no Google Sites, no caso de vítimas com conta no Gmail. Como o endereço desse serviço é sites.google.com, parecia que a página era mesmo verdadeira.

Falso alerta no Gmail

Mas não era. O usuário se deparava com uma página de login muito parecida com a do Google, mas falsa. Então, ao informar email e senha, essas informações acabavam sendo enviadas aos invasores. Mas, por conta da autenticação em dois fatores, não havia motivo para preocupação, certo? É aí que está o grande truque.

As falsas mensagens de alerta continham uma imagem oculta que, quando carregada, avisava os hackers de que o email acabara de ser lido. Então eles ficavam de prontidão. Quando as vítimas digitavam os dados de login no site falso, eles imediatamente recebiam essas informações e as inseriam em uma página verdadeira do Gmail ou, dependendo do caso, do Yahoo Mail.

Se um código de autenticação em dois fatores fosse pedido, o usuário era redirecionado a outra página falsa para digitar essa informação. Quase que instantaneamente, os invasores recebiam o código e, com isso, conseguiam ter acesso à conta da vítima.

A Certfa, organização de segurança que investiga incidentes online no Irã, comprovou em sua pesquisa que o truque funcionou com contas protegidas via autenticação em dois fatores que tinham o código enviado por SMS.

Falsa página de autenticação em duas etapas

Falsa página de autenticação em duas etapas

Não houve registro de vítimas entre usuários que obtém o código via aplicativos como o Google Authenticator. Os pesquisadores da Certfa alertam, no entanto, que a cilada também pode funcionar com apps do tipo. A única diferença é que as chances de problemas acabam sendo muito menores aqui, pois os códigos são renovados em intervalos de tempo muito curtos, geralmente na casa dos 30 segundos.

É por isso que a Certfa recomenda que a autenticação em duas etapas via aplicativo seja usada no lugar do SMS. No caso de empresas ou profissionais que lidam com informações altamente sigilosas, a dica é a de reforçar a segurança com chaves físicas U2F/FIDO 2. Com essa proteção, o risco de acesso não autorizado cai enormemente.

Com informações: Ars Technica.

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Josh

I SERIOUSLY DONT KNOW WHATS GOING ON WITH THESE GUYS BUT ANYWAY NICE UPDATE

disqus_TvQisE5oDc

disqus_4VCF89aWld ):

ziazpaps

disqus_4VCF89aWld important

Jayson Silva

Pode crer.

To fazendo o teste do Bitwarden.
Fiz a exportação do Lastpass e importação pro Bitwarden, e eles avisaram desse bug, mas aparentemente foi corrigido (não encontrei nenhum daqueles códigos de caracter html).

Mas mesmo assim, ele é bem mais leve e responde bem mais rápido.
Vou continuar o teste, mas por enquanto to gostando. =)

Gaius Baltar

O One Safe estava em promoção na Black Friday po 3,90, se não me engano. E é pagamento único, sem mensalidade.

João

Quando eu migrei do LastPass pro Bitwarden já de cara eu vi a superioridade do Bitwarden: a exportação de senhas do LP vinham bugadas (um bug que não corrigiram tem anos), até isso eles fizeram meia boca. Os caracteres especiais vinham em HTML, tipo o & como "& amp;" nas senhas e assim vai.

Olha só: https://help.bitwarden.com/...

Depois dessa pérola eu passo longe do Lastpass hauhahuahu,. Fiquei possesso quando eu tinha que editar toda senha importada.

Jayson Silva

Pode crer. O fato de ser open source me agrada também.
Vou fazer um teste, vamos ver se vale à pena fazer a transição.

João

Tem várias: https://blog.lastpass.com/2... - são alguns bugs que acharam. E em 2017 teve um vazamento tb (procure pelo artigo da PCWorld | edit: aqui, aqui e aqui (essa última é matéria aqui do TB). Obviamente que nenhum serviço é 100% seguro mas, na minha opinião, como o LastPass é o mais popular de todos, é bem mais mirado pra ataques.

O que curto do Bitwarden é que, além de todos os apps e extensões serem gratuitos e bons, ele é open source.

Jayson Silva

Eita. Agora fiquei curioso: quais vulnerabilidades?
Vou dar uma pesquisada nesse Bitwarden.

Felipe Liʍa

deve ser tudo automatizado hoje em dia

João

Bitwarden é melhor e não tem alguns bugs e vulnerabilidades do LP.

Caleb Enyawbruce

2FA via SMS é um lixo. "Tem q acabar" (by Rogerinho)

Heitor89

Acabei de fazer um teste aqui. O aviso que recebo no celular para confirmar o login diz sim onde estou (município e estado). Então acredito que essa informação seja mais uma medida de segurança. A não ser que os hackers consigam burlar isso também, mas acho que aí não.

Jayson Silva

Você conseguiria impedir se o alerta mostrar informações do acesso (normalmente endereço IP, localização física do computador, nome da rede conectada ou algo do tipo).
Com isso, vc veria que o cara tá acessando de um local e IP estranhos e não aprovaria o login.

Só que não só esse alerta não mostra essas informações como o usuário já automaticamente toca no "sim" por supostamente ter acabado de tentar logar no Google.

Jayson Silva

Lastpass é gratuito. Funciona bem em todos os sistemas que usei (Firefox e Chrome pra Windows, iOS e Android).

Exibir mais comentários