Sabemos que um ataque informático é grande e importante quando surgem notícias nos principais jornais internacionais. Em Portugal, os ataques recebem menos destaque por parte da imprensa generalista, mas isso não quer dizer que a “infecção” não chegue cá.
A 8 de Agosto de 2015, a empresa Carphone Warehouse anunciou que as informações detalhadas de 2,4 milhões dos seus clientes foram acedidas por hackers. A rapidez no anúncio e as consequentes medidas de segurança permitiram evitar o pior. No entanto, os clientes foram notificados para prestarem atenção às suas contas e para avisarem a Carphone em caso de qualquer movimento suspeito.
Mas outras empresas têm sido menos responsáveis na resposta a ciberataques, por vezes escondendo ou levando meses a admitir que aconteceu. Este comportamento, ligeiramente vergonhoso, faz com que seja mais difícil ao cliente descobrir que foi uma das vítimas. Há casos em que os endereço de e-mail são roubados e usados pelos hackers durante meses sem que os verdadeiros donos saibam disso. É um pensamento assustador.
Descubra se foi pirateado
Felizmente, existem maneiras de verificar se o seu email foi violado. O método mais rápido é inserir o seu endereço de correio electrónico na caixa de pesquisa do site Have I Been Pwned?. O site verifica se o seu e-mail consta em alguma das listas de ataques publicadas nos últimos dois anos. Se a sua conta de e-mail tiver sido pirateada, surgirá a mensagem ‘Oh no – pwned!’ No fundo da página. O site Have I Been Pwned? verifica um total de 220 milhões de contas pirateadas, por isso, se a sua não for uma delas pode sentir-se sortudo.
No caso de ter uma conta Hotmail, a Microsoft fornece instruções sobre como a apagar. Outros ataques disponíveis para verificação no HIBP incluem a Yahoo, Sony, Vodafone, Tesco e o Snapchat. Se tem uma conta em qualquer uma destas empresas, visite o site o mais depressa possível. Mesmo que não tenha, deve guardar este site nos seus favoritos e visitá-lo sempre que tenha conhecimento de um ciberataque. Para receber uma notificação via e-mail quando for pirateado, clique no link ‘Notify me when I get pwned’.
Então e o ataque ao Ashley Madison?
Apesar da sua natureza delicada, não podíamos deixar este ataque de fora, especialmente porque alguns milhares de utilizadores são portugueses. Este foi o hack mais notório do ano – talvez de sempre! Se não ouviu falar do site de encontros que encoraja a traição (o slogan é ‘A vida é curta. Tenha um caso’), deve ter sido dos poucos, porque o Ashley Madison andou na boca de toda a gente e tem dado calafrios a muita gente. O site anunciava aos quatros ventos que tinha quarenta milhões de membros anónimos em todo o mundo – o problema é que, agora, essas pessoas já não são tão anónimas…
As informações roubadas diziam respeito a pessoas de todo o mundo e com todo o tipo de profissões, como os 92 utilizadores que fazem parte do Ministério da Defesa do Reino Unido, polícias, políticos, entre outros.
Michelle Thomson, recém-eleita membro do parlamento, viu o seu nome surgir na lista de vítimas do ataque ao site de encontros. No entanto, negou que alguma vez tivesse visitado o site e afirmou que um hacker usou uma conta de email antiga para se registar. O caso de Thomson chama a atenção para a ameaça do roubo de identidade e a fraca segurança do site Ashley Madison: a certa altura deixaram até de pedir a confirmação do endereço de email dos novos utilizadores, permitindo que fosse criadas contas falsas.
É possível que os piratas tenham criado uma conta no site com o nosso endereço de correio electrónico roubado, apesar de ser mais provável que apontem para celebridades ou pessoas em posições de poder. Os criminosos podem ganhar muito dinheiro interferindo com o email de quem tem uma reputação a manter. Também em Portugal existem milhares de registados neste site. Por isso, se é um deles, está na altura de confirmar que se mantém um utilizador anónimo.
Este ataque deixou Troy Hunt, que gere o site HIBP?, com um dilema. Se permitisse que as pessoas procurassem emails roubados neste hack, veriam os nomes de outros membros do site de traições. Hunt acabou por não permitir a busca e, em vez disso, decidiu enviar um email aos utilizadores pirateados. Mais sites quiseram ajudar os utilizadores a saber se foram vítimas, mas o Ashley Madison não é tão transparente e o seu departamento legal forçou o site CheckAshleyMadison a fechar.
Outra maneira de verificar se o seu e-mail foi pirateado é recorrer ao Pastebin, um repositório temporário de texto. É frequente surgirem listas de endereços de correio electrónico hackeados na página Trends do Pastebin. Não foi por isso surpresa quando surgiu uma lista do ataque ao site de encontros, aberta mais de 93 mil vezes em apenas dois dias. Vale a pena clicar no link a vermelho no topo da página, que diz ‘last 365 days’. Poderá ver as publicações mais populares dos últimos doze meses, muitas delas listas de contas pirateadas.
Quem está por trás dos ataques?
Sabemos quem reivindicou o ataque ao site de encontros para casados: um grupo chamado Impact Team. À parte do seu nome pomposo, pouco se sabe sobre os hackers. Parece que se juntaram apenas para este ataque, pois não existe qualquer registo da sua existência antes.
Já a empresa Ashley Madison suspeita de um trabalho interno. «Foi, sem dúvida, uma pessoa cá dentro, mas que já não trabalha connosco. De certeza que mexeu nos nossos serviços técnicos», disse Noel Bidderman, CEO.
Antes do ataque à Ashley Madison, recordamos o que foi feito à Adobe, em 2013. Ninguém reclamou a sua autoria, apesar de os investigadores de segurança que estavam a analisar o caso dizerem que os piratas falavam russo.
Estes terão feito parte de uma organização criminosa sem motivações ideológicas, como é o caso de muitos “hacktivistas”. Acredita-se que queriam marcar uma posição sobre as desigualdades mundiais em vez de ganhar muito dinheiro. Como este, a maioria dos grandes ataques dos últimos anos continuam por resolver.
Ninguém sabe, por exemplo, quem roubou os detalhes de 233 milhões de utilizadores do eBay, em 2014. Provavelmente faziam parte de um gang criminoso sombrio, que não ganharia nada com a sua exposição. Ao contrário dos hackers que apoiam o ISIS, os que interferem com sites e o grupo Anonymous (pode ver aqui a cronologia dos seus ataques), a grande maioria não procura publicidade.
A reacção tradicional dos especialistas em segurança depois da maioria dos ataques é olhar para a Rússia, especialmente se os ataques demonstrarem ter conotações políticas. Só em 2015, grupos russos terão pirateado a Casa Branca e lido os e-mails do presidente Obama, do Pentágono, do parlamento alemão e de televisões Francesas, supostamente com o apoio do Kremlin. Acredita-se ainda que um grupo de hackers russos atacou o próprio Ministério da Defesa para dar a conhecer a sua fraca segurança.
A não ser que esteja a planear uma oferta surpresa para o presidente dos EUA, não será vítima destes ataques patrocinados pelo Estado. Tem de estar mais preocupado e atento a cibercriminosos que querem o seu endereço de e-mail, e dados pessoais, para poderem roubar a sua identidade e cometer fraudes em seu nome.
Pode frustrar-lhes as tentativas verificando todas as suas contas no Have I Been Pwned? e no Pastebin, sempre que ler sobre um ataque substancial.