Especialistas em segurança dizem que um aumento nos golpes por email vinculados ao coronavírus é o pior que eles já viram em anos.
Os criminosos cibernéticos têm como alvo indivíduos e indústrias, incluindo aeroespacial, transporte, manufatura, hospitalidade, saúde e seguros.
Foram encontrados e-mails de phishing escritos nos idiomas inglês, francês, italiano, japonês e turco.
1. Clique aqui para uma cura
Vítimas à procura de uma cura com detalhes pessoais roubados.
Pesquisadores da empresa de segurança cibernética Proofpoint notaram um e-mail estranho sendo enviado aos clientes em fevereiro. A mensagem supostamente era de um médico misterioso que afirma ter detalhes sobre uma vacina sendo encoberta pelos governos chinês e do Reino Unido.
A empresa diz que as pessoas que clicam no documento em anexo são levadas para uma página da web criada para coletar detalhes de login. Diz que até 200.000 dos e-mails estão sendo enviados por vez.
“Vimos mais de 35 dias consecutivos de campanhas maliciosas de email de coronavírus, com muitos usando o medo de convencer as vítimas a clicar”, diz Sherrod DeGrippo, da equipe de pesquisa e detecção de ameaças da empresa.
A Proofpoint diz que três a quatro variações são lançadas a cada dia.
“É óbvio que essas campanhas estão devolvendo dividendos para os cibercriminosos”, diz DeGrippo.
A melhor maneira de ver para onde o link o levará é passar o cursor do mouse sobre ele para revelar o verdadeiro endereço da web. Se parecer desonesto, não clique.
2. Reembolso de imposto Covid-19
É falso que a HM Revenue and Customs esteja oferecendo um desconto de imposto Covid-19
Pesquisadores da empresa de segurança cibernética Mimecast sinalizaram esse golpe algumas semanas atrás. Na manhã em que o detectaram, viram mais de 200 exemplos em apenas algumas horas.
Se um membro do público clicasse em “acesse seus fundos agora”, ele seria levado a uma página do governo falsa, incentivando-o a inserir todas as informações financeiras e fiscais.
“Não responda a nenhuma comunicação eletrônica em relação ao dinheiro via e-mail”, diz Carl Wearn, chefe de crime eletrônico da Mimecast. “E certamente não clique em nenhum link em nenhuma mensagem relacionada. Não é assim que o HMRC o aconselha sobre um possível reembolso de impostos.”
3. Algumas armadilhas
A Organização Mundial da Saúde está sendo usada indevidamente por muitas campanhas de hackers.
Os hackers que pretendem representar a Organização Mundial da Saúde (OMS) afirmam que um documento em anexo detalha como os receptores podem impedir a propagação da doença.
“Esta pequena medida pode salvá-lo”, afirmam eles.
Mas a Proofpoint diz que o anexo não contém nenhum conselho útil e, em vez disso, infecta os computadores com software malicioso chamado AgentTesla Keylogger.
Isso registra cada pressionamento de tecla e o envia aos atacantes, uma tática que lhes permite monitorar on-line todos os movimentos de suas vítimas.
Para evitar esse golpe, tenha cuidado com os e-mails que alegam ser da OMS, pois provavelmente são falsos. Em vez disso, visite o site oficial ou os canais de mídia social para obter os conselhos mais recentes.
4. O vírus agora está no ar
A linha de assunto diz: Covid-19 – agora no ar, maior transmissão da comunidade.
Os hackers estão usando táticas anti-medo para incentivar cliques e downloads.
Ele foi projetado para parecer com os Centros de Controle e Prevenção de Doenças (CDC). Ele usa um dos endereços de email legítimos da organização, mas na verdade foi enviado por meio de uma ferramenta de falsificação.
A Cofense, o fornecedor de defesa cibernética, detectou o golpe pela primeira vez e o descreve como um exemplo de hackers “armando o medo e o pânico”.
Ele diz que o link direciona as vítimas para uma página de login falsa da Microsoft, onde as pessoas são incentivadas a digitar seus emails e senhas. Em seguida, as vítimas são redirecionadas para a página real de conselhos do CDC, fazendo com que pareça ainda mais autêntico. Obviamente, os hackers agora têm o controle da conta de email.
Cofense diz que a combinação de uma “falsificação bastante boa” e uma “situação de alto estresse” cria uma armadilha potente. Uma maneira de se proteger é habilitar a autenticação de dois fatores, para que você precise digitar um código enviado por texto ou fornecido a você, para acessar sua conta de email.
5. Doe aqui para ajudar na luta
O CDC não está pedindo doações no Bitcoin
Este exemplo foi relatado aos especialistas em malware Kaspersky. O e-mail falso do CDC pede doações para desenvolver uma vacina e solicita pagamentos no Bitcoin de criptomoeda.
A premissa é obviamente ridícula, mas o endereço de e-mail e a assinatura parecem convincentes.
No geral, a Kaspersky diz que detectou mais 513 arquivos diferentes com coronavírus em seus títulos, que contêm malware.
“Esperamos que os números cresçam, é claro, à medida que o vírus real continua a se espalhar”, diz David Emm, principal pesquisador de segurança da empresa.
Grupo de pessoas usa smartphone em Berlim, em 12 de agosto passado.ANNEGRET HILSEREUTERS
A tentação é forte: seu companheiro esquece o celular sobre a mesa, e você morre de vontade de xeretar o WhatsApp, as ligações recebidas e os sites que ele visitou, sobretudo se tem dúvidas sobre a fidelidade. Esse desejo não é novo, mas, em vez de pegar o telefone da vítima e navegar no conteúdo, agora existem ferramentas que fazem esse trabalho sujo sem o conhecimento (nem o consentimento) dela. É o chamado stalkerware (algo assim como “vírus do assediador”), e a má notícia é que qualquer um pode ser espionado sem ter consciência disso. Como detectar se o seu celular foi afetado por esse programa?
“Ao contrário dos aplicativos de controle parental, estes não são visíveis no celular da vítima”
Antes de analisar as chaves para detectar esse espião no smartphone, é bom conhecer como o stalkerware funciona. Esses aplicativos operam de forma muito similar à do malware (código malicioso): uma vez instalados no aparelho da vítima, começam a registrar todo tipo de atividade que for enviada posteriormente a um servidor ao qual o espião tenha acesso. Mas a técnica não é exatamente igual. “Ao contrário do malware, que é instalado de forma maciça, esse software é instalado por alguém que tem acesso ao celular”, disse ao EL PAÍS Fernando Suárez, vice-presidente do Conselho Geral de Associações de Engenharia Informática da Espanha. Ele cita também outra importante peculiaridade desse tipo de programa: “Ao contrário dos aplicativos de controle parental, esses não são visíveis no celular da vítima.” Mas… como saber se o aparelho está sendo espionado por um stalkerware?
Pop-Upsinesperados aparecem no navegador
Segundo o TheKim KomandoShow, programa de rádio dos Estados Unidos sobre tecnologia, uma maneira de descobrir se o celular foi vítima dessa espionagem é através da súbita aparição de janelas emergentes (Pop-Ups) no navegador. Trata-se de comportamentos fora do normal que não devem ser minimizados pela vítima. Do mesmo modo, um súbito aumento de spam no e-mail e na recepção de mensagens de texto de desconhecidos, com excessiva frequência, devem ser motivos de preocupação.
O celular sumiu temporariamente?
Se o seu smartphone desapareceu por um tempo antes de ter um comportamento estranho (por exemplo, se você o deixou no quarto e ele apareceu na sala horas depois), então pode ser que alguém tenha instalado o programa espião nele.
A bateria de repente dura muito menos
Um celular com stalkerware trabalha muito mais que os outros – e essa atividade tem um impacto sobre a duração da bateria. Se você detectar uma súbita queda no rendimento, acompanhada das situações descritas acima, pode suspeitar e tomar as medidas necessárias.
O celular esquenta constantemente
Além do maior consumo da bateria, os aparelhos afetados pelo programa espião precisam desempenhar muito mais tarefas – o que gera um aumento da temperatura.
Instalar apps fora das lojas oficiais
Não se trata de um sintoma em si. Mas se você perceber algum desses comportamentos atípicos após ter instalado um aplicativo fora das lojas oficiais (App Store e Google Play), a chance de que o celular tenha sido infectado é muito maior. Tanto a Apple como o Google levam muito a sério a segurança de suas plataformas, e por isso é extremamente recomendável instalar apps das lojas oficiais. A boa notícia para os donos do iPhone é que esse dispositivo dificilmente se torna vulnerável aos ataques, já que a Apple obriga os usuários a instalar todos os apps através da loja. Já o Android é mais suscetível, pois as pessoas podem instalar os aplicativos sem o controle do Google.
O que fazer se você tem suspeitas?
O mais recomendável é restaurar o aparelho para padrão de fábrica. Além disso, convém instalar um software que possa detectar os invasores. “Em 2018, identificamos mais de 26.000 aplicativos de stalkerware”, afirma Daniel Creus, da Kaspersky Security, dando uma dimensão real do problema. Esta empresa modificou recentemente seus apps de segurança em celulares para enfrentar o fenômeno.
ElPais
Pesquisadores encontraram em 2018 rastro digital de mecanismo vendido por empresa israelense a Governos como arma de guerra.
O WhatsApp descobriu uma ampla vulnerabilidade que permitiu a instalação —silenciosa e sem qualquer descuido do usuário— de um software de espionagem política em celulares. Segundo revelou o Financial Times nesta segunda-feira, ao infectar o aparelho por meio de uma chamada de voz, o vírus é capaz de acessar informações sensíveis e executar ações, como ativar remotamente a câmera e o microfone.
O Facebook, dono do WhatsApp, acusou a NSO Group, uma empresa israelense que fabrica cyber warfare (softwares de guerra cibernética), de ser a responsável pelo vírus infiltrado, chamado Pegasus. O WhatsApp não informou quantas pessoas foram afetadas no Brasil, mas já há rastros do uso do Pegasus no país entre agosto de 2016 e agosto de 2018, em plena corrida eleitoral.
Em setembro de 2018, o Citizen Lab, um renomado laboratório da Universidade de Toronto, publicou o relatório Hide and Seek, um exaustivo estudo no qual foram identificados 45 países com suspeita de infecção pelo mesmo vírus da NSO Group. Um dos países do informe é justamente o Brasil. Não se sabe quem teria comprado a ferramenta de guerra cibernética para usar em território brasileiro. A empresa israelense não a vende para clientes privados —só para Governos nacionais.
O Citizen Lab identifica pelo menos 33 possíveis clientes da empresa, entre eles, países já conhecidos pelo uso abusivo destas ferramentas de vigilância contra a sociedade civil, mas os pesquisadores optaram por não revelar quais são eles. Eles dizem que os Estados que consomem o produto podem o estar utilizando para finalidades lícitas, como combate ao terrorismo e crimes virtuais.
À diferença de outros escândalos envolvendo dados pessoais, como o da Cambridge Analytica, que explodiu após eleições norte-americanas de 2016 e obrigou o Facebook a repensar radicalmente sua política de privacidade, programas como o Pegasus não se dedicam à coleta massiva de dados, mas são empregados para monitorar alvos específicos. Trata-se de espionagem política perpetrada pelos Governos e suas Agências, podendo ser vigilância doméstica ou internacional.
O que se sabe é que o mesmo comprador que usou o Pegasus no Brasil também deixou rastro digital em Bangladesh, Hong Kong, India e Paquistão. As infecções em território brasileiro foram associadas a Telemar Norte Leste S.A., que pertence a Oi e fornece serviço de telefonia e banda larga para dezenas de milhões de pessoas, especialmente no Nordeste.
A Oi é a única provedora de telecomunicações brasileira que aparece no relatório. Questionada pela reportagem, a empresa informou que não há qualquer relação entre a segurança de seus serviços e suposto impacto do Pegasus para clientes da companhia. E ressaltou, ainda, que não controla nem tem responsabilidade legal sobre os conteúdos acessados e transações realizadas por seus clientes.
Alvos políticos e controvérsia no México
O estudo dos canadenses apontou que a estratégia dos espiões para infectar seus alvos, inclusive no Brasil, era a inserção de links maliciosos em conteúdos políticos. Quando o alvo clica no link, tem seu aparelho infectado. O principal link associado ao vírus no Brasil é o ‘signpetition[.]co’, o que, para o pesquisadores, é mais um indício de que os objetivos da espionagem seriam ativistas políticos.
O caso agora revelado pelo Financial Times transforma a operação em potencialmente muito mais grave. Segundo o WhatsApp, a NSO Group ão precisa mais nem que o usuário descuidado clique no link esquisito. A empresa, segundo a reportagem, encontrou um atalho para operar por meio de uma falha de segurança no próprio Whatsapp —não importa o tipo, se para uso de negócios, Androide, Apple ou Windows.
A empresa israelense negou qualquer envolvimento com o episódio, mas essa não é a primeira vez que a NSO Group se envolve em polêmicas. A empresa já foi acusada de fornecer programas de espionagem para Estados com histórico de violações de direitos humanos, como a Arábia Saudita. O Governo do México também foi acusado de utilizar a tecnologia israelense para espionar jornalistas, advogados e defensores de direitos humanos.
ElPais
Um estudo envolvendo mais de 1.700 aparelhos de 214 fabricantes revela os sofisticados modos de rastreamento do software pré-instalado neste ecossistema
Um usuário compra um celular Android novo. Tanto faz a marca. Abre a caixa, aperta o botão de ligar, o celular se conecta à Internet e, sem fazer nada mais, ele acaba de iniciar a mais sofisticada máquina de vigilância da sua rotina. Não importa se você vai baixar o Facebook, ativar sua conta do Google ou dar todas as permissões de acesso a qualquer aplicativo esquisito de lanterna ou antivírus. Antes de executar qualquer ação, seu celular novo já começou a compartilhar detalhes da sua vida. O software pré-instalado de fábrica é o recurso mais perfeito desse celular para saber sua atividade futura: onde está, o que ele baixa, quais mensagens manda, que arquivos de música guarda.
“Os aplicativos pré-instalados são a manifestação de outro fenômeno: acordos entre atores (fabricantes, comerciantes de dados, operadoras, anunciantes) para, em princípio, agregar valor, mas também para fins comerciais. O elemento mais grave nisso é a escala: falamos de centenas de milhões ou de bilhões de telefones Android”, diz Juan Tapiador, professor da Universidade Carlos III e um dos autores, junto com Narseo Vallina-Rodríguez, do IMDEA Networks e do ICSI (Universidade de Berkeley), da investigação que revela esse submundo. Os celulares Android representam mais de 80% do mercado global.
O elemento mais grave nisso é a escala: falamos de centenas de milhões ou de bilhões de telefones Android
Juan Tapiador, professor
O novo estudo comandado pelos dois acadêmicos espanhóis revela a profundidade do abismo. Nenhuma das conclusões é radicalmente nova por si só: já se sabia que os celulares andam no limite das autorizações de uso na hora de colher e compartilhar dados. A novidade da função dos aplicativos pré-instalados está em sua extensão, falta de transparência e posição privilegiada dentro do celular: foram analisados 1.742 celulares de 214 fabricantes em 130 países.
“Até agora as pesquisas sobre os riscos de privacidade em celulares se centravam em aplicativos que estão listados no Google Play ou em amostras de malware”, diz Vallina. Desta vez, foram analisados os softwares que os celulares trazem de série, e a situação parece fora de controle. Devido à complexidade do ecossistema, as garantias de privacidade da plataforma Android podem estar em xeque.
O artigo, que será publicado oficialmente em 1º de abril e ao qual o EL PAÍS teve acesso, já foi aceito por uma das principais conferências de segurança cibernética e privacidade do mundo, o IEEE Symposium on Security & Privacy, da Califórnia.
Nossa informação pessoal é enviada a uma ampla rede de destinos, que muda segundo o celular, e alguns são polêmicos: para servidores do fabricante do celular, para empresas habitualmente acusadas de espionar nossas vidas —Facebook, Google— e para um obscuro mundo que vai de corporações a start-ups que reúnem a informação pessoal de cada um, empacotam-na com um identificador vinculado ao nosso nome e a vendem a quem pagar bem.
Nossa informação pessoal é enviada a uma ampla rede de destinos, alguns deles polêmicos
Ninguém até agora havia se debruçado sobre este abismo para fazer uma investigação dessa magnitude. Os pesquisadores criaram o aplicativo Firmware Scanner, que recolhia o software pré-instalado dos usuários voluntários que o baixavam. Mais de 1.700 aparelhos foram analisados nesse estudo, mas o aplicativo está instalado em mais de 8.000. O código aberto do sistema operacional Android permite que qualquer fabricante tenha sua versão, junto com seus apps pré-instalados. Um celular pode ter mais de 100 aplicativos pré-instalados e outras centenas de bibliotecas, que são serviços de terceiros incluídos em seu código, muitos deles especializados em vigilância do usuário e publicidade.
Ao todo, um panorama internacional de centenas de milhares de aplicativos com funções comuns, duvidosas, desconhecidas, perigosas ou potencialmente delitivas. Essa quase perfeita definição do termo caos levou os pesquisadores a mais de um ano de exploração. O resultado é só um primeiro olhar para o precipício da vigilância maciça de nossos celulares Android sem conhecimento do usuário.
Mais de um fabricante
Um celular Android não é produto apenas do seu fabricante. A afirmação é surpreendente, mas na cadeia de produção participam várias empresas: o chip é de uma marca, as atualizações do sistema operacional podem estar terceirizadas, as operadoras de telefonia e as grandes redes de varejo que vendem celulares acrescentam seu próprio software. Os atores que participam da fabricação de um celular vão muito além do nome que aparece na caixa. É impossível determinar o controle definitivo de todo o software lá colocado, e quem tem acesso privilegiado aos dados do usuário.
O resultado é um ecossistema descontrolado, onde atualmente ninguém é capaz de assumir a responsabilidade do que ocorre com nossa informação mais íntima. O Google criou a plataforma a partir de código livre, mas agora ele é de todos. E o que é de todos não é de ninguém: “O mundo Android é muito selvagem, é como um faroeste, especialmente em países com escassa regulação de proteção de dados pessoais”, diz Tapiador.
“Não há nenhum tipo de supervisão sobre o que se importa e comercializa em termos de software (e em grande medida de hardware) dentro da União Europeia”, diz Vallina. O resultado? Um caos, onde cada versão de nossos celulares Android conversa com sua base desde o primeiro dia, sem interrupção, para lhe contar o que fazemos. O problema não é só o que contam sobre nós, mas que o dono do celular não controle a quem dá permissões.
O jardim fechado do Google Play
As empresas que reúnem dados de usuários para, por exemplo, criar perfis para anunciantes já têm acesso aos dados do usuário através dos aplicativos normais do Google Play. Então que interesse um comerciante de dados tem em chegar a acordos com fabricantes para participar do software pré-instalado?
Imaginemos que nossos dados estão dentro de uma casa de vários andares. Os aplicativos do Google Play são janelas que abrimos e fechamos: às vezes deixamos os dados sair, e às vezes não. Depende da vigilância de cada usuário e das autorizações concedidas. Mas o que esse usuário não sabe é que os celulares Android vêm com a porta da rua escancarada. Tanto faz o que você fizer com as janelas.
O software pré-instalado está sempre lá, acompanha o celular para cima e para baixo, e além do mais não pode ser apagado sem rootear o dispositivo – romper a proteção oferecida do sistema para fazer o que quiser com ele, algo que não está ao alcance de usuários comuns.
O usuário não sabe que os celulares Android vêm com a porta da rua escancarada
Os aplicativos que o usuário baixa do Google Play dão a opção de ver as permissões concedidas: autoriza seu novo jogo gratuito a acessar seu microfone? Permite que seu novo app acesse a sua localização para ter melhor produtividade? Se nos parecerem permissões demais, podemos cancelá-las. Os aplicativos que o Google fiscaliza têm seus termos de serviço e devem pedir uma autorização explícita para executar ações.
O usuário, embora não repare ou não tenha outro remédio, é o responsável final por suas decisões. Ele está autorizando alguém a acessar seus contatos. Mas os aplicativos pré-instaladas já estão lá. Vivem por baixo dos aplicativos indexados na loja, sem permissões claras ou, em muitos casos, com as mesmas permissões que o sistema operacional – quer dizer, todas. “O Google Play é um jardim fechado com seus policiais, mas 91% dos aplicativos pré-instalados que vimos não estão no Google Play”, diz Tapiador. Fora do Google Play ninguém vigia em detalhe o que acaba dentro de um celular.
Dois problemas agregados
O software pré-instalado tem outros dois problemas agregados: fica junto do sistema operacional, que tem acesso a todas as funções de um celular, e, dois, esses aplicativos podem ser atualizados e podem mudar.
O sistema operacional é o cérebro do celular. Sempre tem acesso a tudo. Independe que o aplicativo esteja acionado ou que o usuário possa apagá-la. Estará sempre lá e, além disso, é atualizado. Por que as atualizações são importantes? Aqui vai um exemplo: um fabricante autorizou uma empresa a colocar no celular um código que comprove algo inócuo. Mas esse código pode ser atualizado e, dois meses depois, ou quando a empresa souber que o usuário vive em tal país e trabalha em tal lugar, mandar uma atualização para fazer outras coisas. Quais? Qualquer coisa: gravar conversas, tirar fotos, olhar mensagens…
Os aplicativos pré-instaladas são fáceis de atualizar por seu criador: se muda o país ou as intenções de quem colocou lá um sistema de rastreamento, manda-se um novo software com novas ordens. O proprietário de seu celular não pode impedi-lo e nem sequer lhe pedem permissões específicas: atualiza-se o seu sistema operacional.
Essa informação às vezes é descomunal: características técnicas do telefone, identificadores únicos, localização, contatos, mensagens e e-mails
JUAN TAPIADOR, PROFESSOR
“Alguns desses aplicativos ligam para casa pedindo instruções e mandam informação sobre onde estão instalados. Essa informação às vezes é descomunal: relatórios extensos com características técnicas do telefone, identificadores únicos, localização, contatos na agenda, mensagens e e-mails. Tudo isso é reunido num servidor, e é tomada uma decisão sobre o que fazer com esse celular. Por exemplo, segundo o país no qual se encontre, o software pode decidir instalar um ou outro aplicativo, ou promover determinados anúncios. Verificamos isso analisando o código e o comportamento dos aplicativos”, diz Tapiador.
O servidor que recebe a informação inclui desde o fabricante, uma rede social que vende publicidade, um desconhecido comerciante de dados ou um obscuro endereço IP que ninguém sabe a quem pertence.
Um perigo é que esses obscuros aplicativos pré-instalados usam as permissões personalizadas (custom permissions) para expor informação a aplicativos da Play Store. As permissões personalizadas são uma ferramenta que o Android oferece aos desenvolvedores de software para que os aplicativos compartilhem dados entre si. Por exemplo, se um operador ou um serviço de banco tem várias, é plausível que possam falar entre si e compartilhar dados. Mas às vezes não é simples verificar quais dados algumas peças desse software compartilham.
Dentro de um celular novo há por exemplo um aplicativo pré-instalado que tem acesso a câmera, aos contatos e ao microfone. Esse aplicativo foi programado por um sujeito chamado Wang Sánchez e tem um certificado com sua chave pública e sua assinatura. Aparentemente é legítima, mas ninguém comprova que o certificado de Wang Sánchez seja real. Esse aplicativo está sempre ligado, capta a localização, ativa o microfone e conserva as gravações. Mas não manda isso a nenhum servidor, porque o aplicativo de Wang Sánchez não tem permissão para enviar nada pela Internet. O que ele faz é declarar uma permissão personalizada que regula o acesso a esses dados: quem tiver essa permissão poderá obtê-los.
Aí um dia o proprietário desse celular vai à Google Play Store e encontra um aplicativo esportivo magnífico. Que permissões oficiais lhe pedem? Só acessar a Internet, o que é perfeitamente comum entre aplicativos. E também pede a permissão personalizada do aplicativo de Wang Sánchez. Mas você não percebe, porque estas permissões não são mostradas ao usuário. Então, a primeira coisa que o app esportivo recém-chegado dirá ao pré-instalado é: “Ah, você mora aqui? Me dá acesso ao microfone e à câmera?”. Era aparentemente um app sem risco, mas as complexidades do sistema de permissões tornam possíveis situações desse tipo.
Os Governos e a indústria há anos conhecem esse emaranhado. As agências federais dos Estados Unidos pedem seus celulares com sistemas operacionais livres deste software pré-instalado e adaptados às suas necessidades. E os cidadãos? Que se virem. Seus dados não são tão secretos como os de um ministério.
“Exercer controle regulatório sobre todas as versões possíveis do Android do mercado é quase impraticável. Exigiria uma análise muito extensa e custosa”, explica Vallina. Esse caos lá fora permite que sofisticadas máquinas de vigilância maciça vivam em nossos bolsos.
OS AUTORES DOS APLICATIVOS
Os autores desses aplicativos são um dos grandes mistérios do Android. A investigação encontrou um panorama similar ao submundo da Dark Web: há, por exemplo, aplicativos assinados por alguém que diz ser “o Google”, mas não tem jeito de sê-lo. “A atribuição aos atores foi feita quase manualmente em função do vendedor no qual se encontram, quem as assina e se têm, por exemplo, alguma cadeia que identifique alguma biblioteca ou fabricante conhecido”, diz Vallina. O resultado é que há muitas que mandam informação aceitável a fabricantes ou grandes empresas, mas muitas outras se escondem detrás de nomes enganosos ou falsos.
Essa informação é facilmente vinculada a um número de telefone ou dados pessoais como nomes e sobrenomes, não a números identificativos tratados de forma anônima. O telefone sabe quem é o seu dono. O chip e dúzias de aplicativos vinculados ao e-mail ou à sua conta em redes sociais revelam facilmente a origem dos dados. ElPais
Remoto distrito do Alasca foi atacado por malware que o forçou a ficar offline
Não se sabe de onde vieram. Mas, quando chegaram, foram logo seis malwares – softwares maliciosos – que atacaram o distrito Matanuska-Susitna, do Alasca.
Eles rapidamente se espalharam pelas redes de computadores da região, interrompendo uma quantidade desconcertante de serviços. Centenas de funcionários não conseguiram acessar seus sistemas de trabalho. Bibliotecários receberam alertas para desligar urgentemente todos os computadores públicos. O abrigo de animais perdeu o acesso aos dados sobre medicamentos de seus inquilinos peludos.
E não parou por aí. Um sistema de reservas online para aulas de natação caiu, obrigando os interessados a formarem uma fila. Um escritório passou a usar máquinas de escrever. E Helen Munoz, uma mulher de 87 anos que faz campanha por melhorias no sistema de esgoto da área, recebeu uma resposta inesperada a uma de suas frequentes ligações a administradores locais: “Nossos computadores estão desligados”.
“O ataque cibernético, meu Deus, quase parou tudo”, diz ela. “Na verdade, o distrito ainda não resolveu todos os problemas com seus computadores”.
Matanuska-Susitna, conhecida como Mat-Su, ainda tenta se recuperar do que aconteceu em julho de 2018. Quando os primeiros sinais de malware apareceram, ninguém esperava a turbulência que se seguiu. A equipe de TI trabalhava até 20 horas por dia, encarregada de restaurar 150 servidores.
Mat-Su é um distrito em grande parte rural que abriga apenas cem mil pessoas. Por isso seria um alvo improvável de um ataque cibernético.
Esta é a história do que aconteceu.
Direito de imagem GETTY IMAGESO ataque virtual prejudicou várias atividades administrativas
Na manhã de 23 de julho de 2018, funcionários do vilarejo de Palmer, no distrito Matanuska-Susitna, chegaram para trabalhar como de costume. Em poucas horas, um programa antivírus sinalizou uma atividade incomum em alguns computadores.
O diretor de TI local, Eric Wyatt, pediu a sua equipe para dar mais atenção àquilo. Eles, então, encontraram arquivos maliciosos e, portanto, seguiram o procedimento padrão: pedir à equipe para alterar suas senhas e, enquanto isso, preparar um programa para limpar automaticamente o software suspeito.
Quando lançaram o mecanismo de defesa, entretanto, houve uma resposta não esperada.
Resposta automática
Wyatt observou a rede se iluminar. Parecia que um ataque maior ou de segundo estágio havia sido acionado. Talvez alguém estivesse monitorando as ações do departamento de TI ou foi uma resposta automática do malware.
De qualquer maneira, ele começou a se espalhar ainda mais e, em alguns casos, bloqueou mais arquivos de funcionários e exigiu pagamentos de resgate.
Essa forma de malware é conhecida como “ransomware” – uma ameaça cada vez mais comum e perigosa aos sistemas de computadores. Nos últimos anos, surtos de ransomware em todo o mundo interromperam temporariamente hospitais e fábricas, confundiram as operações nos principais portos e levaram centenas de escritórios ao caos.
O custo total anual dos eventos de ransomware está estimado em vários bilhões de dólares, segundo a empresa de pesquisa Cybersecurity Ventures.
A escala desses ataques cibernéticos foi certamente nova para Wyatt, que iniciou sua carreira em TI na Força Aérea dos EUA.
Direito de imagem GETTY IMAGESMalwares geram milhões de dólares em prejuízos para empresas
“Tenho mais de 35 anos neste negócio e sempre lidei com esse tipo de coisa”, disse Wyatt. “Esse (ataque) foi certamente o maior que eu já vi, o mais sofisticado”.
Quando percebeu que o incidente causaria dor de cabeça, ele se dirigiu ao gestor do distrito, John Moosey, que, por sua vez, informou o FBI sobre o que parecia um grande ataque cibernético. “Isso realmente nos afetou muito”, contou Moosey.
Quase todos os telefones de escritórios do distrito tiveram que ser desligados. Especialistas em TI foram recrutados para ajudar na recuperação dos sistemas. Mais de 700 dispositivos, entre impressoras e computadores, foram verificados e limpos.
“Todos os dados são considerados suspeitos”, dizia uma atualização publicada pouco tempo depois.
No departamento de compras do distrito, a equipe preenchia formulários à mão quando alguém teve uma ótima ideia. Foram até o depósito e resgataram duas antigas máquinas de escrever eletrônicas. Tiraram seu pó e passaram a usá-las, um movimento que chegou às manchetes internacionais.
Como os sistemas foram colocados offline e a equipe mudou para telefones celulares e serviços temporários de webmail, as atividades do distrito foram forçadas a desacelerar. Programas de computador haviam sido projetados para ajudar a processar tudo, desde dados em canteiros de obras até pagamentos com cartão de crédito no aterro sanitário local. Mas agora estavam todos sem ação.
Direito de imagem GETTY IMAGESFuncionários de escritório recuperaram máquinas de escrever
“O vírus foi terrível”, disse Peggy Oberg, da Biblioteca Pública de Big Lake, no centro-sul de Mat-Su.
No período de uma semana, a biblioteca acolheu entre 1,2 mil e 1,5 mil pessoas em busca de serviços de internet e computadores.
Oberg ainda se lembra da ligação recebida do departamento de TI, que pediu que a biblioteca desconectasse todos os computadores e impressoras – não apenas desligando-os, mas desconectando-os. O wi-fi público também foi desligado. Em 20 anos, Oberg nunca tinha recebido uma ligação como aquela.
Perda de arquivos
Equipes de outras bibliotecas também não conseguiram catalogar livros, procurar novos itens solicitados por usuários ou se comunicar por canais habituais com colegas de Mat-Su. Por algumas semanas, eles ficaram parcialmente isolados. Oberg passou dois meses preocupada de que dados e serviços da biblioteca fossem perdidos para sempre.
“Eu estava enlouquecendo de imaginar que eles não fossem recuperados”, lembra. Felizmente, mais tarde ela soube que os arquivos haviam sido restaurados, nove semanas depois do último acesso antes do ataque.
O abrigo local de animais de Mat-Su recebe entre 200 e 300 animais por mês – desde animais de estimação perdidos até gado retirado das estradas. Os computadores da equipe do abrigo foram levados.
Sem registros de medicamentos ou outras informações de casos antigos, os funcionários não sabiam quanto cobrar das pessoas que vinham coletar os animais. O site com fotos de animais para adoção também não pôde ser atualizado.
Direito de imagem GETTY IMAGESAbrigo de animais perder dados sobre hóspedes peludos
Moradora de Palmer, Helen Munoz, de 87 anos, gerenciava um negócio de tanque séptico e esgoto. Hoje ela faz parte de um comitê que supervisiona a construção de uma nova estação de tratamento de águas residuais.
Munoz estava frustrada pela maneira como a comunicação ineficiente vinha prejudicando o distrito.
“Eu não me importo com a tecnologia, mas, quando não consigo garantir a construção de um sistema de esgoto, fico muito irritada.”
Outros estavam igualmente preocupados. Um morador chegou a postar no Facebook sobre o ataque cibernético: “É incrível como isso pode afetar o nosso dia-a-dia.”
“Até agora, isso mudou a forma como eu pagava pelo depósito de lixo; não recebi o email provando que meu cachorro tomou a vacina anti-rábica e imagino que também será diferente quando for pagar meus impostos.”
Agentes imobiliários de Mat-Su, que se conectam a um sistema online para ter acesso a dados cadastrais locais, viram-se sem ter o que fazer. E até o sistema de inscrição de crianças para aulas de natação sofreu impacto.
“Todo mundo tinha que ficar na fila, tudo foi feito à moda antiga”, diz Nancy Driscoll Stroup, advogada local.
Até agora, o incidente custou à Mat-Su mais de US$ 2 milhões (R$ 7,4 milhões).
Logo após o início do ataque, os investigadores encontraram evidências de que o malware estava nos sistemas do município desde maio.
Isso aumenta a curiosidade de Stroup, que lembra que uma delegação do bairro visitou a China em uma missão comercial naquele mês. Embora ninguém tenha feito qualquer ligação oficial com os chineses, houve alegações de envolvimento chinês em outros episódios recentes de hackers.
Direito de imagem GETTY IMAGESBibliotecas não conseguiram acessar seu banco de dados
Enquanto vasculhavam os destroços digitais, Wyatt e seus colegas perceberam que o malware havia depositado dados em arquivos com um número específico nos computadores atacados. Depois perceberam que o número 210 identificou Mat-Su como a 210ª vítima dessa versão específica do malware; as outras 209 vítimas ainda são desconhecidas.
Eles também recolheram pistas sobre como o ataque começou. Wyatt acredita ter sido um ataque de phishing direcionado, no qual uma organização trabalhando para o distrito foi comprometida em outro ataque.
Isso permitiu, diz ele, que alguém enviasse um email malicioso, contendo o primeiro lote de malware, para um funcionário de Mat-Su.
Os criadores do malware encobrem ataques em mensagens aparentemente inofensivas para aumentar as chances de que um clique no link ou download de um anexo infecte o computador. A partir daí, ele atinge outras máquinas da rede.
Ações de reparação
Mas Wyatt não culpa ninguém por ter sido enganado. “Os únicos culpados são os que escrevem os vírus”, diz ele.
Nas dez semanas seguintes, uma equipe restaurou a maioria dos serviços afetados em Mat-Su.
Em agosto de 2018, Wyatt apareceu em um vídeo oficial no YouTube explicando a extensão da operação de recuperação. Especialista em TI, Kurtis Bunker também afirmou no vídeo que o FBI estaria “surpreso” com a forma como a equipe de Mat-Su reagiu ao ataque.
Nem todo o público estava entendendo. “Quem ou por que alguém iria ‘hackear’ uma pequena cidade?”, zombou um usuário do Facebook. Mas muitos apoiaram as ações. E várias organizações que têm relações comerciais com o distrito fizeram um esforço para garantir que o ataque cibernético não se estendesse ainda mais.
Direito de imagem GETTY IMAGESInvestigações revelam que equipe visitou a China antes do ataque
O único motivo plausível para o ataque é o de os criadores do malware pensarem que poderiam cobrar por um resgate. Mas o conselho do FBI foi claro, segundo Wyatt: “Não pague”.
William Walton, agente do FBI que investiga o que aconteceu em Mat-Su, diz que esse tipo de ataque pode ter sérias consequências. Sendo uma comunidade pequena, Mat-Su tem menos estrutura de segurança de rede.
“Em termos de infraestrutura, ela não tem o mesmo nível de recursos de uma grande área metropolitana, por isso consideramos esse como um evento crítico de infraestrutura”, diz Walton.
Talvez nunca saibamos quem atacou Mat-Su ou o porquê. Mas tais incidentes são inquietantemente comuns. Como comunidades e empresas dependem de computadores para as tarefas mais básicas, a periculosidade de um criminoso cibernético só aumenta.
