Quem diria, não é mesmo? O Signal é um aplicativo de mensagens cuja proposta é ser o mais seguro e privativo possível. Mesmo assim, isso não impediu que um golpe de phishing “fisgasse” 1.900 números de telefone de usuários do aplicativo. Entretanto, o ataque não foi direcionado ao Signal em si, mas à Twilio, que é a empresa responsável pela autenticação de dois fatores por SMS. Nos próximos parágrafos explico melhor o que aconteceu.
Leia também
Conheça o Signal, alternativa mais segura ao WhatsApp
O que é e como se proteger do Phishing, um dos golpes mais frequentes na internet
Golpe usou de engenharia social
Os sistemas computacionais estão ficando cada vez mais seguros, isso é um fato. Mas nenhum esquema de segurança e proteção resiste a uma boa engenharia social. Os seres humanos são extremamente falhos. Portanto, ao invés de atacar o sistema em si, por que não mirar nos humanos que podem dar acesso ao sistema? Foi mais ou menos isso o que aconteceu com a Twilio.
Os hackers tinham acesso (não se sabe como) aos números de telefone dos funcionários da empresa e também dos parentes deles. Daí eles enviaram mensagens falsas para os funcionários. Essas mensagens serviam como isca. Elas diziam, por exemplo, que um determinado compromisso havia sido remarcado ou que uma senha usada no ambiente de trabalho fora alterada.
Como todo bom golpe de phishing, as mensagens tinham links que redirecionam para sites falsos. Além disso, os domínios usados tinham sido criados a menos de uma hora. Isso permite driblar certos mecanismos de proteção, como aqueles que validam a reputação do domínio.
Com a arapuca montada, bastava que um dos funcionários caísse na armadilha. E foi justamente isso o que aconteceu. O pobre funcionário digitou seus dados no site falso e, dessa forma, abriu a porta para os hackers instalarem um software de acesso remoto. Não faltava mais nada para eles conseguirem entrar nos sistemas da Twilio.
Signal acalma usuários
De acordo com a própria Twilio, os invasores tiveram acesso a dados de 125 de seus clientes, dentre eles o Signal. No entanto, eles não conseguiram chegar nas informações de autenticação.
No caso do mensageiro Signal, “apenas” os números de telefones de 1.900 usuários foram expostos. Mas eles podem ficar tranquilos, segundo a empresa:
“Todos os usuários podem ficar tranquilos com a garantia de que seu histórico de mensagens, lista de contatos, informações de perfil, contatos bloqueados e outros dados pessoais continuam privados e seguros e não foram afetados”.
É verdade que o Signal foi desenvolvido de maneira tal que é difícil ter acesso aos dados pessoais dos usuários. Por exemplo, o histórico de mensagens fica salvo apenas no celular da pessoa e não em um servidor central. Os demais dados, como contatos e informações de perfil só podem ser acessados mediante uma senha, que também é salva localmente.
Mesmo assim as contas não estão totalmente protegidas
Mesmo com todas as camadas de segurança do Signal, as contas expostas ainda correm risco. Como os hackers têm acesso ao console de suporte da Twilio, eles podem ver códigos de verificação e também ativar o aplicativo em outros dispositivos. Isso permite aos hackers enviarem e receberem novas mensagens. Apenas o histórico de conversas fica impossibilitado de ser acessado.
Como uma maneira de proteção preventiva, o Signal desconectou todas as sessões ativas. Isso obriga os usuários a realizarem o login novamente. Além disso, a companhia está enviando mensagens SMS explicando o que aconteceu e ensinando como proceder.
“O tipo de ataque de telecomunicações sofrido pela Twilio é uma vulnerabilidade contra a qual o Signal desenvolveu recursos, como os Signal PINs e a trava de registro”, finaliza a empresa em seu comunicado.
Fontes: Ars Technica e Bleeping Computer
Veja também
Sobre o Autor
Deixe seu comentário