Hackers burlam autenticação em dois fatores do Gmail e Yahoo
Um novo método de ataque se mostrou capaz de burlar sistemas de autenticação em dois fatores de serviços de e-mail como Gmail e Yahooo. Os hackers, que estariam ligados ao governo iraniano, teriam como alvo ativistas políticos, oficiais de governos rivais e jornalistas contrários, em golpes direcionados que envolvem o monitoramento e roubo em tempo real de credenciais, senhas e códigos de acesso.
O golpe foi revelado pelos especialistas da Certfa Lab. Um e-mail fraudulento é enviado às vítimas em nome do serviço de e-mail, escrito de forma dedicada a elas e com o maior nível de autenticidade possível. Uma imagem oculta na mensagem alerta os hackers sobre a visualização, enquanto um link igualmente falso, contido na comunicação, que os leva a um simulacro da página de login oficial dos serviços.
É aí que entra a parte mais arrojada do golpe, com os criminosos permanecendo em uma vigília em tempo real pela inserção de informações de login e senha. Uma vez que elas são digitadas na página falsa, um dos envolvidos no golpe as insere no serviço oficial. Caso a autenticação em dois fatores esteja ativada, a página falsa exibe o alerta de mensagem enviada para o celular, com campo para digitação do código, e um SMS efetivamente é mandado a partir da tentativa real de login.
O processo se repete novamente, com o código sendo inserido e, depois, reproduzido pelo hacker no serviço oficial. De forma a não levantar suspeitas, a página falsa redireciona o usuário para a caixa de entrada real e, agora, tanto o próprio usuário quanto o criminoso passam a ter acesso às informações. A partir daí, estão abertas as portas para roubo de informação ou invasões a redes sociais, sistemas corporativos e outras plataformas.
Os especialistas comprovaram a eficácia do método em plataformas que usam o SMS como método de verificação na segunda etapa, mas ainda não puderam confirmar que ele funciona, também, com códigos que venham de apps como o Googlee Autenticador. A ideia, entretanto, é que o golpe deve ser eficaz também contra esses métodos, já que, em sua essência, eles não são tão diferentes de uma autenticação por SMS.
A única comprovação de invasão, no final das contas, acabam sendo os registros de login, que conterão o IP e região dos hackers responsáveis pela brecha. Entretanto, esse é um campo dificilmente verificado pelos usuários e, como o login foi feito a partir da autenticação em dois fatores, os serviços também não alertarão as vítimas sobre o acesso indevido à conta.
De acordo com a Certfa, os ataques não estão sendo realizados em grande escala, mas existe uma campanha governamental com alvos específicos. O golpe contaria com mais de 20 domínios diferentes e diversas contas de e-mails fraudulentos, além de sites falsos hospedados até mesmo nos servidores da própria Google, tudo em prol de passar uma aparência de legitimidade ao golpe.
Os ataques estariam ligados a um grupo chamado Charming Kitten, que já participou de outras operações ao lado do governo iraniano. Em novembro, por exemplo, oficiais do governo, contratados por ele ou ativistas a favor das sanções impostas pelos EUA ao país foram alvo de tentativas de phishing dessa categoria, o que incluiu também agentes do tesouro americano e funcionários de empresas com ligações à administração pública. Como naquela ocasião, o Irã não se pronunciou sobre o suposto envolvimento nestas operações.
Fonte: Ars Technica