0
0
Você é seu próprio pesadelo de privacidade, hackers usam Netflix para roubar dados bancários. Analista de segurança diz que ter uma conta de serviço de assinatura online pode ser a porta de entrada para um invasor roubar informações financeiras
Existem muitos riscos à privacidade pessoal, mas um dos maiores pode ser o próprio usuário. É exatamente isso o que afirmou a analista de segurança da GuidePoint Security, Cat Murdock, em uma sessão na conferência de segurança DefCon, que este ano está sendo realizada online em razão da pandemia de covid-19. Ela descreveu um cenário de pesadelo aparentemente saído de um episódio de Black Mirror — coincidentemente sua sessão foi batizada de “Black Mirror: Você é seu próprio pesadelo de privacidade – a ameaça oculta de pagar por serviços de assinatura”.
Cat Murdock falou sobre como ela usou informações de serviços de assinatura online como o Netflix, Apple Music ou Spotify para acessar uma conta bancária e roubar informações financeiras confidenciais.
A analista de segurança detalhou como simplesmente ter uma conta do Netflix pode ser a chave de abertura da porta para um invasor obter acesso às informações bancárias do usuário. Ela ressaltou que aproximadamente 60% da população adulta paga por algum tipo de serviço de assinatura online, seja Netflix, Spotify ou qualquer outro. E observou que todos com uma assinatura online têm uma conta bancária.
“60% da população adulta dos EUA tem pelo menos um serviço de assinatura em seu nome e 30% dos 40% restantes estão usando as informações de login dos 60%!”
Uma forma de uma instituição financeira verificar o titular da conta quando ele tenta obter acesso é verificar uma transação recente. Cat observou que há tantos planos que um serviço de assinatura oferece e os pagamentos normalmente ocorrem na mesma hora todos os meses.
A analista de segurança também observou que muitas pessoas comentam sobre suas assinaturas nas redes sociais, identificando que acabaram de pagar novamente ou que continuam com as assinaturas. “As pessoas adoram falar sobre suas assinaturas”, disse Cat. “Isso é inteligência obtida através de dados e informações disponíveis e acessíveis a qualquer pessoa [OSINT].”
Para testar sua teoria, durante a apresentação ela abriu uma nova conta bancária e reproduziu as gravações de áudio de suas interações com o banco, usando OSINT e habilidades de engenharia social para obter acesso, o que ela acabou conseguindo. “Não é culpa do seu banco que você use o Netflix e não é culpa do Netflix que você carregue o dinheiro do banco”, disse ela. “É nossa obrigação, como usuários, prestar atenção a essas coisas, entender o que está acontecendo.”
“Lembre-se de que qualquer provedor de serviços que você usa é responsável apenas por seus próprios termos de privacidade e, francamente, como vimos, eles nem sempre fazem isso bem”, acrescentou Cat. Como resultado, ela sugeriu que, em última análise, cabe a cada indivíduo cuidar de sua privacidade. Ela recomendou que as pessoas estejam bem cientes do que estão escolhendo compartilhar com o mundo e quem pode ver isso.
“Certifique-se de que você possui sua própria privacidade e tente fazer verificações de higiene de rotina”, disse Cat. “Escolha um dia a cada trimestre ou mês e pergunte: Em o que eu estou inscrito? O que há de novo? O que eu vou compartilhar ou outra pessoa compartilhou algo sobre mim? ”
Veja como ela descreveu a maneira como um invasor pode usar sua conta Netflix para acessar suas informações bancárias:
“O que acontece é que muitas instituições financeiras têm políticas para quando os usuários esquecem o número da conta. Portanto, se você ligar e disser: ‘Ei, estou viajando, estou tendo problemas com o pagamento da hipoteca, por favor, confirme o número da conta, não o memorizei’. Eles então têm um conjunto de regras a seguir sobre como liberar esse número de conta. E isso vai variar de instituição para instituição. Mas geralmente, em vários casos, eles pedem primeiro os últimos quatro dígitos do seu número de seguro social, mas muitas vezes as pessoas não sabem disso ou você pode estar em um lugar onde não quer divulgue isso. Então, se o consumidor não tiver e não tiver cartão de crédito ele vai fazer uma série de perguntas. E se você apenas pesquisar Netflix no Twitter, você tem um monte de pessoas que postaram recentemente tipo, ‘Ei, acabei de receber uma nova assinatura da Netflix’, e você disse, é 1º de agosto e eles acabaram de comprar uma nova assinatura da Netflix hoje. Você pode então calcular o dia do mês em que essa assinatura da Netflix, ou qualquer assinatura que será renovada, e usar essa informação com uma instituição bancária para provar a propriedade de uma conta. Portanto, a vulnerabilidade surge quando você liga para obter mais informações sobre uma conta, mas não exatamente o número da conta, eles não verificarão com tanta dificuldade. As instituições bancárias usarão informações publicamente disponíveis, como sua data de nascimento, seu endereço, seu nome completo, mesmo onde você abriu a conta no banco, o que é muito fácil de descobrir, principalmente se o usuário não se movimentar muito. Então, quando você ligar primeiro, você não t peça o número da conta primeiro e você usará o fato de que conhece os serviços de assinatura que foram cobrados recentemente na conta para provar que tem conhecimento sobre a conta. E você dirá: ‘Ei, recebi uma mensagem de texto estranha, um dos números curtos, você sabe, e dizia que minha assinatura do Netflix foi renovada ontem, essa deve ser minha cobrança mais recente nesta conta, você poderia verifique o equilíbrio. E eles vão ficar tipo, claro, aqui está o saldo da sua conta, você está tipo, ótimo. Agora, você sabe, a cobrança mais recente (Netflix) e você sabe o saldo da conta, duas informações críticas. E então você pode continuar ‘Você pode apenas verificar algumas cobranças anteriores para mim, eu só quero ter certeza de que nenhuma cobrança pendente irá alterar o saldo. E muitas vezes a pessoa a ser útil entregará com muita facilidade todas as informações aparentemente sem importância. E você, como o invasor, diga ‘Ótimo, agora tenho as últimas cobranças e o saldo da conta’. Então, você lentamente usa a primeira chamada para construir sua base de conhecimento em torno da conta: você já tem conhecimento sobre quanto esse usuário gasta em serviços de assinatura e outras informações disponíveis abertamente. Então você liga de volta uma segunda vez e está armado com todos esses detalhes e diz ‘Ei, posso verificar o número da conta? Mas eu não sei meu número de seguro social ‘, e eles dizem, Ok, deixe-me verificar esta lista. E a lista de verificação é bastante semelhante entre várias instituições financeiras, incluindo qual é a sua cobrança mais recente? Você pode verificar esta solicitação pendente? Você tem cartões de crédito na conta? Portanto, agora com todas essas informações, você pode praticamente retirar a pasta da sua conta de identificação e a instituição financeira confirmará o número da conta para você.“
Embora o hack seja um ataque multicamadas envolvendo várias chamadas para a mesma instituição financeira, “a ameaça é que os serviços de assinatura geralmente têm um valor fixo e qualquer pessoa que faça pesquisas sobre o fornecedor pode descobrir qual é essa taxa fixa“.
Além disso, com todas as informações disponíveis após as violações do Equifax e do Capital One, os invasores agora têm um perfil realmente robusto em uma grande parte da população americana. “E então é importante lembrar que do lado do atacante, essas são organizações criminosas inteiras, não apenas uma pessoa, com muita mão de obra e tempo para gastar, já agregando informações sobre os indivíduos”, explicou Murdock.
FONTE: MINUTO DA SEGURANÇA