Nas últimas semanas, relatos sobre uma nova tática de phishing viralizaram mundialmente. Nessa nova modalidade de golpe, os cibercriminosos têm acesso a dumps antigos de vazamentos de dados e usam as senhas encontradas para conferir veracidade às ameaças. Ou seja, enviam um e-mail para a vítima ameaçando publicar tudo que ela tem guardado e, para mostrar que estão falando sério, apresentam uma senha que a pessoa realmente já usou. Pode ser que essa senha nem seja usada mais. Porém, apenas pelo fato de o criminoso mencionar um dado sigiloso que a pessoa vai reconhecer é um fator que influencia na estratégia de engenharia social.
Basicamente, trata-se de uma tentativa de chantagem, em que o cibercriminoso se aproveita de vazamentos de dados antigos para ameaçar suas vítimas e, com isso, obter lucro financeiro. Alguns brasileiros também sofreram este tipo de ataque.
“A vítima desta tentativa nos procurou em busca de orientação. Ele estava intrigado pelo fato do cibercriminoso possuir sua senha que, mesmo não sendo a de uso atual, havia sido utilizada anteriormente”, explica Oliveira Lima Jr., pesquisador em Cybersecurity no Real Protect Security RedTeam.
O especialista afirmou ainda que o usuário pode tomar algumas precauções para evitar esse tipo de investida, como evitar qualquer tipo de dado pessoal ao criar a senha: não usar nomes, sobrenomes, contas de usuário, números de documentos, placas de carros, números de telefones e datas. Esse tipo de informação pode ser facilmente descoberta e usada por pessoas que queiram usar uma identidade falsa.
Infelizmente, frequentemente surgem notícias de vazamentos de senhas do LinkedIn, Netflix e outros serviços. Muitas vezes esses dados, além de serem comercializados na deep web, são armazenados e disponibilizados em alguns sites, como o Pastebin, por exemplo.
Como em qualquer outra tentativa de extorsão, seja por meios digitais ou não, o usuário precisa ter calma. Ao invés de fazer o que o criminoso está pedindo, uma transferência de dinheiro, por exemplo, deve verificar se a ameaça é verdadeira.
“Se ele está apresentando uma senha antiga, será que realmente tem acesso a algo que você publicou ou alguma conta de redes sociais ou é só intimidação?”, alerta Oliveira Lima Jr.
Atualmente, é difícil mensurar a quantidade de ataques como esse que ocorrem todos os dias. Os cibercriminosos buscam executar esses ataques em grande volume, o que aumenta a possibilidade de sucesso na aplicação do golpe. Podemos dizer que, caso ele tenha acesso a uma database de dados vazados de 2 milhões de usuários, que ele vai automatizar o ataque para que seja feito a todos esses 2 milhões de usuários.
“Reforçamos que os usuários devem estar atentos e trocar periodicamente as suas senhas, além de criar senhas adequadas”, finaliza Oliveira Lima Jr.
Além disso, algumas dicas podem ajudar na hora de escolher uma senha:
– Escolha números aleatórios: quanto mais ao acaso forem os números usados melhor, principalmente em sistemas que aceitem exclusivamente caracteres numéricos.
– Grande quantidade de caracteres: quanto mais longa a senha for, mais difícil será descobri-la. Apesar de senhas longas parecerem, a princípio, difíceis de serem digitadas, com o uso frequente elas acabam sendo digitadas facilmente.
– Diferentes tipos de caracteres: quanto mais “bagunçada” a senha for, mais difícil será descobri-la. Procure misturar caracteres, como números, sinais de pontuação e letras maiúsculas e minúsculas. O uso de sinais de pontuação pode dificultar bastante que a senha seja descoberta, sem necessariamente torná-la difícil de ser lembrada.
– Evite sequências do teclado: não aproveite a proximidade entre os caracteres no teclado, por exemplo, “1qaz2wsx” e “QwerTAsdfG”, pois são bastante conhecidas e podem ser facilmente observadas ao serem digitadas.
– Palavras que façam parte de listas: evite palavras presentes em listas publicamente conhecidas, como nomes de músicas, times de futebol, personagens de filmes, dicionários de diferentes idiomas, etc. Existem programas que tentam descobrir senhas combinando e testando estas palavras e que, portanto, não devem ser usadas.
