Da Redação

Do 33Giga



08/02/2022 | 14:55



Nos últimos 18 meses, pesquisadores da ESET analisaram diferentes medidas de segurança e mostraram que uma conta do WhatsApp ou Snapchat pode ser invadida se o usuário não tiver as configurações de segurança apropriadas.

Nesse caso, eles analisaram se é possível obter o controle de uma conta de plataforma financeira usando táticas semelhantes. O resultado foi que, com a técnica “olhar por cima do ombro”, alguém poderia roubar o acesso a uma conta do PayPal e, assim, perder milhares de dólares.

“Os ataques de engenharia social estão se tornando mais comuns e estão crescendo em popularidade entre os criminosos” diz Jake Moore, Consultor de Segurança Global da ESET. “Por outro lado, eles são difíceis de usar para experimentar em alguém em condições de teste, simplesmente porque as “vítimas” estão cientes do vetor de ataque proposto, o que invalida imediatamente o teste e sua viabilidade.

No entanto, o especialista informa que encontrou uma maneira de tentar acessar a conta do PayPal de alguém e provar isso em um experimento legítimo e legal.

Testando a segurança do PayPal

Para realizar esta última prova de conceito (PoC), o pesquisador da ESET testou sua hipótese com um especialista do setor de segurança, que concordou em fazer um hack para contribuir para uma maior conscientização sobre o assunto de cibersegurança e melhorar a prevenção de fraudes.

Uma vez reunidos, começaram a conversar e o especialista deixou o celular sobre a mesa com a tela voltada para cima. O que o analista da ESET fez foi acessar o site do PayPal, selecionar a opção: “Esqueci minha senha” e inserir o endereço de e-mail pessoal do especialista.

“Em um ataque genuíno, o criminoso precisaria saber o endereço de e-mail da vítima em potencial, mas hoje, os endereços de e-mail de muitas pessoas podem ser encontrados por meio de algumas pesquisas. De fato, Google, LinkedIn e até Instagram podem exibir seu endereço de e-mail, o que é suficiente para lançar esse ataque em qualquer usuário em plataformas semelhantes”, acrescenta Moore.

Em seguida, a plataforma do PayPal pede o envio de uma “verificação rápida de segurança”, que pode ser por meio de mensagem de texto, e-mail, telefonema, aplicativo autenticador, WhatsApp ou até mesmo perguntas de segurança.

Neste caso, a opção foi uma mensagem de texto. Uma vez clicado em “Próximo”, um código de seis dígitos era gerado e enviado para o telefone do especialista, que continuava com o celular desacompanhado sobre a mesa.

Então você só tinha que se inclinar para o telefone, tocar na tela para ligá-lo e, não tendo desativado a visualização da mensagem na tela de bloqueio, ver o código. No caso de inseri-lo no site de verificação, você pode escolher uma nova senha e acessar os dados da conta.

Uma vez lá, qualquer pessoa com acesso pode facilmente vincular um banco ou cartão de crédito ou até mesmo visualizar seus dados pessoais, como endereço residencial, até mesmo alterar o endereço de e-mail da conta, endereço ou nome.

“Recapitulando, neste momento, eu poderia ter enviado milhares de euros para qualquer uma das 300 milhões de contas do PayPal em todo o mundo apenas vendo um código no telefone de alguém”, aponta o especialista da ESET. “Para mim, isso não faz sentido e acho que os usuários precisam estar cientes desse ataque simples.”

A barreira que alguém tem que pular para comprometer uma conta dessa maneira parece muito baixa, especialmente quando se compara a segurança com a de um banco online típico. No entanto, foi demonstrado que funciona e pode ter danos potenciais consideráveis.

Aprenda a proteger sua conta no PayPal

A ESET aponta que existem muitas técnicas de prevenção que o usuário mesmo pode aplicar e reduzir consideravelmente as possibilidades que os cibercriminosos tentam aproveitar. Portanto, aprenda a proteger sua conta no PayPal: