2023/08/17

Grupo Lapsus$ dominou a arte dos ataques SIM-swap

Uma análise às tácticas usadas pelo grupo de hackers Lapsus$ revela como exploravam os ataques SIM-swap para infiltrarem a conta das vítimas.

Apesar dos especialistas de segurança alertarem, há anos, para que não se deva usar o número de telefone (e consequentemente, telefonemas ou mensagens SMS) como forma de validação, isso é algo que continua a ser feito de forma bastante frequente, e este grupo de hackers sabia tirar partido disso com grande mestria.

Antes das autoridades terem detido vários dos seus membros e interromperem a sua operação, o grupo Lapsus$, que era constituído maioritariamente por adolescentes, teve múltiplos casos de grande visibilidade, tendo-se infiltrado em empresas como a Microsoft, Cisco, Nvidia, Samsung, Vodafone, Uber, e até deu que falar por cá, com um ataque ao grupo Impresa.

As autoridades dos EUA já divulgaram um relatório que analisa as tácticas usadas pelo grupo, e onde os ataques SIM Swap, em que se apoderam do número de telefone de uma vítima - e a partir daí ficando com acesso aos métodos de recuperação e validação de conta de serviços que usam o telefone para esse efeito - tinham papel privilegiado.
O grupo fazia uma grande aposta nesta técnica, e se nuns casos isso era feito através de ataques direccionados a funcionários das empresas de telecomunicações que tinham acesso a esse tipo de procedimento; noutros casos isso era feito através de suborno directo a funcionários. Havia casos em que o grupo tinha acesso directo às ferramentas de gestão das operadoras, podendo eles próprios roubar o número de telefone a qualquer pessoa que quisessem, e pelo qual pagavam cerca de 20 mil dólares por semana.

Terá havido um caso em que o grupo se terá tentado apoderar do número de telefone de um agente do FBI, mas que acabou por falhar devido a um bloqueio especial que tinha sido aplicado à conta. Uma funcionalidade que tem sido recomendada que os operadores de telecomunicações disponibilizem aos clientes que quiserem protecção adicional contra ataques SIM Swap.

Aliás, as principais conclusões do relatório são exactamente as que têm sido repetidas incessantemente há anos: de não se utilizar SMS ou telefonemas como método de validação segura; exigir segurança adicional em todos os casos de transferência de cartões SIM; adoptar modelos de segurança zero-trust; evoluir para sistemas de login sem password (como as Passkeys); e além da prevenção, recomendar que as empresas também não descurem a parte da reposição e recuperação em caso de ataques, para que retomem a actividade normal no menor espaço de tempo possível e minimizem o impacto negativo.

Sem comentários:

Enviar um comentário (problemas a comentar?)