Geral 3min de Leitura - 30 de abril de 2020

Milhares de dados de usuários do Zoom foram compartilhadas em fóruns de hackers

Uma captura de tela de lingagem de programação borrada.

This post is also available in: Português

Vendidos ou fornecidos de graça, esses logins e senhas criaram brechas para invasores – que nem precisaram explorar vulnerabilidades do software.

Os hackers têm um novo tópico favorito nas conversas em fóruns clandestinos: como conseguir credenciais valiosas para o Zoom, Skype, Webex e outras plataformas de conferência pela web, cada vez mais usadas por trabalhadores em home office.

Foi o que Etay Maor, diretor de segurança da IntSights, descobriu nas últimas semanas em suas análises de vários fóruns do tipo. Ele encontrou um grande número de logins e senhas do Zoom sendo compartilhadas. São milhares, partindo de 2.000 credenciais e crescendo sem parar. As descobertas de Maor são semelhantes às de outros pesquisadores, que já haviam encontrado até 500.000 credenciais sendo vendidas por cibercriminosos.

Além da comercialização de logins, os fóruns clandestinos também estão repletos de discussões sobre o lançamento de ataques de preenchimento de credenciais, campanhas de phishing, ataques DDoS e ataques de extração de dados contra trabalhadores remotos – criando uma imagem sombria para os usuários de plataformas de conferência na web que não são atualizadas com as melhores práticas de segurança.

Estragos

Houve vários bancos de dados significativos que foram compartilhados. E essas credenciais possuem um nome de usuário e senha, neste caso, para contas do Zoom. Em alguns casos, também incluem informações como a chave do host, a senha que o proprietário possui e sua sala virtual e o URL da sala virtual. Ficou claro que isso não era um hack no Zoom, ou seja, ninguém roubou o banco de dados do software. E, depois de mais pesquisas, descobriu-se que os invasores estão usando nomes de usuário e senhas antigos e tentando ataques de preenchimento de credenciais.

Como o submundo dos crimes virtuais é um ecossistema altamente colaborativo, nem sempre os dados são vendidos. Às vezes, são compartilhados de graça. Em muitos casos, esses tipos de compartilhamento são apenas para mostrar poder, e em outras situações somente com o intuito de obter alguma credibilidade com outros membros.

No caso do Zoom, que se aplica também a outras ferramentas de colaboração, se um invasor tiver um nome de usuário e senha na conta do Zoom de uma empresa, pode-se pensar em várias modalidades de agressão. Existem situações com o objetivo único de importunar, entrando em reuniões virtuais colocando músicas ou vídeos aleatórios para irritar os participantes. Mas também pode ser enviado um ataque de negação de serviço, inviabilizando todo o processo.

Mas também é possível usar esse nome de usuário e senha com intenções mais devastadoras. Pode-se entrar na reunião e ficar “apenas” ouvindo. Em alguns contextos, o invasor pode pedir a transferência de dinheiro para a compra de determinado insumo ou material. Como está usando o login de um funcionário, o pedido parece autêntico. Há também a chance de roubar apresentações confidenciais e vendê-las para concorrentes.

Movimentos antecipados

É preciso estar ciente de que há uma comunidade “underground” de hackers muito ativos que falam sobre esses temas e compartilham informações. Eles publicam entre si reportagens de grandes temas e discutem como tirar proveito disso. Foi o que aconteceu com o Covid-19. No início de janeiro, houve comentários em fóruns do tipo “Essa situação do Coronavírus parece estar ficando maior. Alguém tem um modelo de phishing que eu possa usar?”. Ou seja, os cibercriminosos começaram muito cedo, cerca de três meses atrás, já projetando os cenários atuais.

Esse tipo de oportunidade não passa despercebida, e vive no radar dos hackers. A pandemia e suas consequências têm sido um prato cheio para eles, mas são situações passageiras – e as atenções vão migrar para tópicos recorrentes, como os períodos de entrega de declaração de imposto de renda, por exemplo. Afinal, com ou sem Coronavírus, os grandes temas da sociedade serão explorados por cibercriminosos.

Acompanhe as OSTEC nas redes sociais para ficar por dentro de todo nosso conteúdo: Instagram, Facebook, Linkedin, Twitter.

This post is also available in: Português