Muitos são os interesses que movem as pessoas nas redes sociais, sobretudo em âmbitos profissionais. Há os que buscam se diferenciar do resto, ocupando uma posição de destaque em sua atividade, os que querem formar redes para operar como influenciadores e aqueles que só querem encontrar formas de facilitar seu dia a dia no trabalho. É possível abusar de todos esses interesses (ou sentimentos) em ataques de phishing.
Recentemente identificamos um novo caminho para executar ataques direcionados simplesmente coletando endereços de e-mail que as pessoas publicam indiscriminadamente no LinkedIn. Mas, para explicar como esses ataques podem ocorrer – e eles não são nada complicados – precisamos falar sobre o compartilhamento de planilhas nas redes sociais.
Pessoas usam vários canais para compartilhar planilhas para a otimização da rotina, pois é comum a muitos profissionais a busca por formas mais eficientes de trabalhar, de controlar suas finanças, de fazer gestão de projetos, etc. Essas planilhas oferecem uma ajuda para quem não quer “reinventar a roda” e muitas delas possuem mecanismos avançados que dependem da ativação das macros do Excel para funcionar.
O LinkedIn se tornou uma rede eficiente para o compartilhamento dessas ferramentas pois, de um lado aglutina gente interessada em assuntos profissionais e de outro serve de canal para a disseminação de conteúdo especializado. É nessa rede social que vemos anúncios de planilhas com funções variadas e em muitos desses posts o autor pede que as pessoas deixem o endereço de e-mail para o envio do material.
Imagem 1: exemplo de post a respeito de uma planilha. Veja que o autor pede para o público deixar o endereço de e-mail nos comentários.
É comum os usuários atenderem ao pedido e publicarem seu endereço de e-mail nos comentários do post. Além de essas páginas se tornarem um dos canais de colheita para spammers, elas se tornam uma rica fonte de informação para criminosos interessados em realizar ataques de phishing, sobretudo ataques direcionados. O seja, aqueles construídos para atacar um alvo em especial, que pode ser um indivíduo ou uma empresa.
Imagem 2: respostas a um dos posts em que o autor pede o endereço de e-mail.
É comum as pessoas não terem consciência de como um canal de comunicação pode ser usado para atacá-las e acabam confiando excessivamente nas diversas entidades que fazem parte da rede ou na tecnologia.
Pudemos identificar em nossas buscas 2190 endereços de e-mail. Boa parte desses foram usados como login em sistemas cuja base de usuários e senhas foi vazada no passado. Tratam-se de endereços de agências governamentais, de empresas privadas e endereços de provedores de e-mail gratuito.
Para apontar os perigos da confiança excessiva nesses canais, demonstramos abaixo dois cenários em que é possível conduzir ataques abusando da troca de planilhas.
A tentativa de extorsão por e-mail é algo que não é novo, assim como é antiga a extorsão com o intuito de constranger pessoas por alguma questão ligada ao seu comportamento sexual. Entretanto, recentemente foi detectado o aumento nos ataques que juntam as duas coisas usando senhas vazadas para dar mais credibilidade ao ataque.
Nesse caso o atacante obtém acesso ao e-mail válido da vítima nos comentários das páginas do LinkedIn e contrasta com sua base de senhas vazadas. A publicação do endereço na página oferece a confirmação de que o endereço da pessoa é válido e está em uso, pois não há garantia de que as bases de dados vazadas possuem informações legítimas, sobretudo se elas são resultado do compartilhamento de dados entre fraudadores.
Com o endereço de e-mail válido e a suposta senha, os criminosos enviam uma mensagem (imagem abaixo) dizendo que tiveram acesso à senha da vítima, a seus contatos no WhatsApp, a imagens captadas de sua webcam e a evidências de um comportamento sexual moralmente repreensível e exibem a senha, obtida de bases vazadas.
Imagem 3: exemplo de Sextortion
O objetivo dos fraudadores é que a vítima reconheça a senha – ou imagine que cadastrou a senha uma vez na vida – e pague pela extorsão para evitar o constrangimento. Exibir o endereço em canais públicos, como o LinkedIn, oferece uma das peças para esse a ataque.
Aqui o atacante precisa ter uma conta falsa no LinkedIn e, assim como todos os outros interessados, pedir uma cópia da planilha para a fonte. Assim que o atacante recebe a planilha de quem fez o post original, ele pode ter acesso à estrutura do e-mail da fonte, como endereço, design, etc.
Imagem 4: resposta ao pedido da planilha
Com acesso à estrutura do e-mail, o atacante poderá construir uma mensagem falsa visualmente semelhante e bastante convincente, a qual poderia ser enviada a alvos de interesse (ou a toda lista) como uma atualização da planilha. A mensagem pode conter links maliciosos ou planilhas com macros maliciosas.
Imagem 5: exemplo de mensagem falsa
Há uma diferença entre dizer o seu endereço de e-mail para muitas pessoas e torná-lo público. No primeiro caso há uma relação de confiança no intercâmbio de informações entre uma pessoa e um grupo. No outro, trata-se de deixar uma informação em um lugar no qual ela pode ser coletada por qualquer um e isso pode ser perigoso, caso quem publica os dados não esteja preparado para as consequências.
Há muita gente bem-intencionada, que compartilha ferramentas nas redes sociais sem o interesse de obter algo em troca, mas muitas das pessoas que oferecem recursos como essas planilhas estão interessadas em formar redes de contatos em que possam atuar como influenciadores e/ou para vender produtos ou serviços. Vale a pena se perguntar se é isso mesmo que você quer, e também se compartilhar seu e-mail profissional em lugares como esse é o que sua empresa gostaria que você fizesse. Se mesmo assim o conteúdo for do seu interesse, não publique o seu endereço de e-mail e privilegie a comunicação no modo privado.
Também é importante ter cuidado com os arquivos que você baixa e executa em seu computador, eles podem ter componentes maliciosos ocultos, como scripts e macros maliciosas. Se não confia na fonte, não clique, não baixe e não execute.
