2019/12/09

Hack de uma conta Gmail com 2FA custa €350


Quem se sentir protegido pelo recurso à autenticação de 2-factores (2FA) no acesso a coisas como o Gmail, poderá gostar de saber que o roubo de contas idênticas é algo à distância de 350 euros em serviços de aluguer de hackers.

A autenticação 2FA é, hoje em dia, indispensável para quem quiser ter um mínimo de segurança no acesso a serviços online. A dependência numa única password, por muito complexa que seja, acaba por ser sempre de risco elevado (bastará algo como um keylogger, por exemplo, para a deixar em risco - para não falar daqueles que usam passwords repetidas, que eventualmente podem ser revelados em leaks de outros sites). No entanto, nem o 2FA deverá ser visto como uma forma de segurança absoluta.

Existem sites que disponibilizam serviços de "hacks" a contas, e o acesso a uma conta Gmail com protecção 2FA é algo que actualmente está na tabela por um valor de cerca de 350 euros.


Ora, sabendo que não há falta de promessas falsas neste submundo da internet, os repórteres contrataram o serviço, criando todo um cenário com contas falsas para dar credibilidade ao pedido, e monitorizando todo o processo.

Sem surpresas, o método de ataque foi o phishing direccionado (spear-phishing), com o envio de emails que tentavam fazer com que a vítima fosse parar a uma páginas controlada pelos atacantes.


Alguns dos emails de phishing faziam-se passar por emails da própria Google a alertar para a tentativa de acesso não-autorizado, tentando fazer com que a vítima trocasse a password - e no processo a revelasse aos hackers.

No caso da autenticação 2FA o método não chegava ao roubo da conta do telefone, optando por uma versão mais básica em que o código 2FA era pedido à vítima em páginas a simular o login oficial ou a troca de password. Mas que, mesmo assim, poderá revelar-se moderadamente eficaz - e que, tal como os especialistas de segurança têm dito há anos, serve para promover a adopção de chaves de segurança como forma de acesso realmente seguro (não é possível ceder uma chave física a um atacante remoto, por muito que ele tente).

Fica por isso o alerta lançado... que toda e qualquer pessoa pode facilmente estar no lado da vítima de um destes ataques, e que importa manter atenção permanente sobre tudo o que se recebe via email, e ainda mais cuidado com aquilo em que se clica.

2 comentários:

  1. Este até é um ataque simples, e fácil de ser evitado já que a maior parte deste tipo de e-mail's deve ir parar ao spam.
    Para quem quiser maior protecção, a Google disponibiliza o "Advanced Protection Program - Google": https://landing.google.com/advancedprotection/ que dificulta bastante «este» tipo de ataques comuns.

    ResponderEliminar
    Respostas
    1. Eu diria que com bom senso estes ataques são praticamente todos evitados. Há mais de 10 anos que ouço que não se deve abrir emails desconhecidos, nem utilizar a mesma palavra-passe em vários sites, se calhar faz falta um bocado de "educação tecnológica" seja para os mais novos que nascem com tudo à distancia de um clique como para os mais velhos que viram as coisa a evoluir sem ligarem muito e de um dia para o outro se aperceberam que está tudo online.

      Eliminar

[pub]