Na última quarta-feira (15), um incidente de segurança no Twitter fez com que diversas contas empresariais e verificadas espalhassem mensagens indevidamente, prometendo pagamentos em dobro através de uma carteira virtual de Bitcoins. O esquema afetou contas de empresas como Uber, Apple, e de personalidades como Elon Musk, Kanye West e Barack Obama, que possuem milhões de seguidores na rede social. Segundo comunicado do Twitter para o Gizmodo, um ataque de engenharia social a um funcionário pode ter deflagrada toda a ação.
Entenda o golpe
O dfndr lab, laboratório especializado em segurança digital da PSafe, analisou o golpe e explica que, ao mirar em contas de empresas e de celebridades, os cibercriminosos conseguiram atingir potencialmente 328 milhões de vítimas. As publicações resultaram em mais de 400 transações financeiras realizadas e uma soma que já ultrapassa US$ 122 mil em Bitcoins recebida pelos cibercriminosos, em menos de 24 horas do ataque.
De acordo com Emilio Simoni, diretor do dfndr lab, neste golpe os atacantes utilizaram técnicas de engenharia social para enganar as vítimas: “ao se passar por uma marca ou por uma celebridade que a pessoa já segue nas redes sociais, o cibercriminoso abusa da confiança das vítimas para persuadi-las a agirem de acordo com o que ele deseja, no caso receber o benefício financeiro. Essa tática é chamada de Engenharia Social e é amplamente utilizada em golpes virtuais”. Simoni complementa que, apesar de conhecida, a técnica foi utilizada de maneira diferente do que se vê: “neste caso, ocorreu um ataque de engenharia social coordenado, em que várias contas faziam publicações semelhantes de forma quase que simultânea e com o mesmo objetivo”.
Veja a mensagem publicada indevidamente nos perfis:
Segundo dados do dfndr lab, as redes sociais estão entre os focos principais dos cibercriminosos, por permitirem que os golpes ganhem escala rapidamente. Somente em 2020, o laboratório identificou mais de 677 mil golpes de phishing (links maliciosos) que roubam credenciais de acesso a redes sociais e mais de 145 mil perfis falsos nas redes.
Como proteger sua empresa contra ataques de hackers?
Ainda na noite desta quarta-feira, o Twitter se pronunciou sobre o ataque e comentou sobre as medidas tomadas para conter o que chamaram de “incidente de segurança”: limitar momentaneamente a possibilidade de contas fazerem publicações ou resetar senhas; remover as mensagens maliciosas e bloquear o acesso às contas afetadas; e por fim limitar o acesso a ferramentas e sistemas internos enquanto as investigações ocorrem.
Simoni explica que as medidas foram acertadas, mas reitera sobre a necessidade de prevenção. “Como medidas de urgência, o Twitter agiu corretamente, no entanto, o indicado é que as empresas tenham uma solução de segurança empresarial capaz de identificar e alertar sobre vulnerabilidades e falhas no sistema para que seja possível resolvê-las antes que se tornem um problema maior. Isso evita que dados sensíveis de clientes, colaboradores e fornecedores sejam expostos em caso de ataques de hackers”.
Ele sugere que empresas deveriam ter soluções como o dfndr enterprise, da empresa dele, que ele garante que é suficientemente poderoso para fazer alertas em tempo real sobre golpes de phishing, malware e ransoware.
Confira mais dicas de proteção dos especialistas do dfndr lab:
1 - É essencial que as empresas contem com uma a solução contra os vazamentos de dados.
2 - Antes de acessar dados corporativos através de dispositivos pessoais, tenha uma solução de segurança que proteja contra ameaças virtuais.
3 - Redes Wi-Fi de casa apresentam um nível de segurança menor que as redes corporativas. Por esta razão, é preciso sempre proteger seus dispositivos com uma solução de segurança.
4 - Crie senhas diferentes para cada serviço. Utilizar sempre a mesma aumenta a chance do cibercriminoso conseguir acesso a outras contas empresariais.