0
0
Um dos primeiros movimentos propostos por Elon Musk após sua aquisição no Twitter parece ter saído pela culatra, pelo menos do ponto de vista da segurança. Um teaser da plataforma que propõe cobrar dos usuários uma taxa mensal para ter contas verificadas, confirmando-os como uma pessoa ou entidade pública – e, assim, ganhar a distinção de uma cobiçada marca de seleção azul pelo nome da conta – gerou uma campanha de phishing com o objetivo de tirar proveito da controvérsia em torno do movimento.
Vários usuários do Twitter afirmam ter recebido e-mails de phishing que usam a isca de perder seu status verificado para tentar enganá-los a fornecer suas credenciais. O golpe funciona por meio de um documento do Google feito para parecer uma página de ajuda do Twitter, de acordo com os usuários.
Vários dos que foram alvos (natch) foram ao Twitter para alertar outros sobre isso na segunda-feira, incluindo dois repórteres: Zach Whittaker, editor de segurança do TechCrunch, e Kevin Collier, da NBC News.
“O caos de verificação em andamento do Twitter agora é um problema de segurança cibernética”, tuitou Whittaker , posteriormente postando um relatório no TechCrunch sobre o golpe. “Parece que algumas pessoas (inclusive em nossa redação) estão recebendo e-mails grosseiros de phishing tentando enganar as pessoas para que entreguem suas credenciais do Twitter.”
Collier relatou que o e-mail que ele recebeu “aparentemente escorregou pelas robustas proteções do Outlook”, embora ele próprio não tenha sido enganado. “Não me pegou, mas aposto que isso pega alguém”, escreveu Collier no post.
O e-mail, de acordo com as capturas de tela que Whittaker e Collier postaram, é enviado de uma conta do Gmail, twittercontactcenter [at] gmail.com, que Collier disse ser uma “doação inoperante” de que é falso. Ele avisa o usuário-alvo que “o selo de verificação será de US$ 19,99 por mês para alguns usuários após 2 de novembro de 2022” e que o Twitter atualmente não consegue verificar algumas “pessoas famosas ou conhecidas”.
O e-mail informa aos alvos que eles precisam fornecer uma confirmação de quem são para receber o selo de verificação “gratuitamente” e fornece um botão para “Fornecer informações” e um link para a “Central de Ajuda” para saber mais sobre regras atualizadas para o programa de verificação.
Clicar no botão leva a um Google Doc com outro link para um site do Google que permite aos usuários hospedar conteúdo da web, de acordo com o relatório de Whittaker. A própria página de phishing foi projetada para se parecer com a página de ajuda do Twitter e contém um quadro incorporado de outro site, que é hospedado pela Beget, um provedor russo de hospedagem na web, de acordo com o relatório.
A página solicita que os usuários forneçam seu nome de usuário, senha e número de telefone do Twitter, o que pode permitir que um invasor invada uma conta sem a autenticação de dois fatores ativada.
Para mitigar os danos da campanha, o Google tomou medidas rápidas para derrubar o site de phishing pouco tempo depois que o TechCrunch alertou a empresa, escreveu Whittaker.
Capitalizando a controvérsia
Profissionais de segurança observaram que não é surpreendente que um agente de ameaças tenha aproveitado a comoção que atualmente envolve o Twitter. Aproveitar uma situação controversa que provoca uma resposta emocional não apenas significa uma oportunidade cibercriminosa, mas também aumenta a chance de sucesso de uma campanha de phishing, Patrick Harr, CEO da SlashNext, uma empresa anti-phishing, escreveu em um e-mail para Dark Reading.
“Esses tipos de tentativas de phishing de engenharia social são muito eficazes porque jogam com a emoção e instigam a ação imediata”, disse ele. “Antes que a vítima tenha tempo de pensar se isso é phishing, ela rapidamente entra em ação.”
As táticas de ofuscação usadas na campanha também facilitam a ocultação dos mecanismos de detecção de ameaças porque provavelmente não sinalizarão o Google Docs, um serviço confiável – o que, pelo menos no caso de Collier, foi exatamente o que aconteceu, observaram os profissionais de segurança.
De fato, a campanha e sua capacidade de contornar os scanners de e-mail enfatizam por que é importante que as pessoas permaneçam vigilantes ao receber e-mails de fontes desconhecidas e protejam todas as suas contas com autenticação multifator (MFA) e outros buffers de segurança, observou Joseph Carson, chefe de segurança cientista e consultor CISO na Delinea, um provedor de gerenciamento de acesso privilegiado (PAM).
“Certifique-se de sempre usar o MFA, um gerenciador de senhas que cria senhas fortes e exclusivas para cada conta e nunca forneça informações pessoais ou detalhes de credenciais em sites sem primeiro verificar a autenticidade”, aconselhou ele em um e-mail para Dark Reading.
Êxodo do Twitter?
De sua parte, Musk em um tweet na terça-feira parecia corroborar que a implementação da controversa taxa de verificação seria uma primeira ordem de negócios – cuja notícia surgiu pela primeira vez em um relatório no The Verge na segunda-feira.
No entanto, depois que alguns titulares de contas verificadas alegaram que sairiam em vez de pagar a taxa relatada de US $ 20 por mês por sua marca de seleção azul – incluindo usuários de alto perfil como o autor Stephen King – Musk sugeriu reduzir o preço.
“O atual sistema de senhores e camponeses do Twitter para quem tem ou não uma marca de seleção azul é besteira”, ele twittou. “Poder para as pessoas! Azul por US$ 8/mês.”
A mera compra de Musk do Twitter em um acordo de US$ 44 bilhões – depois de uma discussão altamente divulgada de meses entre a empresa e o multibilionário fundador da Tesla – já atraiu o escárnio de usuários famosos da plataforma, alguns dos quais já disseram aos seguidores que estavam fechando suas contas.
O desastre de verificação que ocorre agora é apenas combustível para o fogo, aumentando uma controvérsia crescente que provavelmente é música para os ouvidos dos atores de ameaças, que prosperam em conflitos sociais, políticos e econômicos como uma oportunidade para cometer crimes cibernéticos, observaram os profissionais de segurança.
“Os cibercriminosos há muito exploram situações voláteis para seu próprio benefício, especialmente eventos atuais e dignos de notícia”, observou Darren Guccione, CEO e cofundador da Keeper Security, fornecedora de software de segurança cibernética de confiança zero e conhecimento zero com sede em Chicago. “A recente aquisição e agitação no Twitter é o exemplo mais recente.”
FONTE: DARK READING