A notícia quase poderia parecer validar a justificação do Canadá para banir os Flipper Zero devido ao roubo de carros, mas não é isso que acontece. Esta técnica de roubo de Teslas não se deve a qualquer capacidade especial do Flipper Zero, podendo ser executada com qualquer outro equipamento que permita criar um hotspot WiFi.
Na verdade, não se trata de nenhum tipo de hacking via NFC, WiFi, UWB, mas sim da velha técnica de phishing. Criando-se uma rede WiFi com nome "Tesla Guest", o mesmo nome utilizado pela Tesla, pode direccionar-se a vítima para uma página (falsa) de login da Tesla onde se obtenha as suas credenciais. O passo crítico é que isso permite que o atacante crie uma nova "chave" de acesso ao veículo (algo que a Tesla diz que só poderia ser feito com acesso ao cartão físico do carro, mas que, como fica demonstrado, não é verdade).
🎬 With the rise of social engineering and phishing attacks thanks to #AI, Tesla fails to recognize them as a threat. We created a short demo showing the limits of what an attacker can do with the stolen credentials of a Tesla account.
— Mysk 🇨🇦🇩🇪 (@mysk_co) March 7, 2024
SPOILER ALERT: No limits
Tesla says it's… pic.twitter.com/CTzOjvpjke
É o exemplo perfeito de como um ataque de phishing não pode ter repercussões apenas no mundo digital, mas transformar-se num pesadelo na vida real.
Com acesso à conta Tesla, os atacantes nem sequer precisam de roubar o veículo no local onde foi feito o phishing, passando a ter acesso à sua localização, podendo estudar a rotina da vítima e onde costuma deixar o carro, e roubá-lo no momento mais oportuno.
Sem comentários:
Enviar um comentário (problemas a comentar?)