Várias agências policiais se uniram para derrubar o Genesis Market, um site que vende acesso a “mais de 80 milhões de credenciais de acesso à conta”, que incluía nomes de usuário e senhas padrão, além de dados muito mais perigosos, como tokens de sessão. De acordo com um comunicado de imprensa do Departamento de Justiça dos EUA, o site foi apreendido na terça-feira. A Agência da União Europeia para a Cooperação Policial (ou Europol) diz que 119 dos usuários do site foram presos.
O Genesis Marketplace existe desde 2018, de acordo com o Departamento de Justiça, e foi “um dos corretores de acesso inicial (IABs) mais prolíficos no mundo do cibercrime”. Ele permite que os hackers pesquisem certos tipos de credenciais, como contas de mídia social, contas bancárias, etc., bem como pesquisem credenciais com base em seu local de origem.
As agências se uniram ao HaveIBeenPwned.com para tornar mais fácil para o público verificar se suas credenciais de login foram roubadas, e eu recomendo fazer isso – devido à maneira como o Genesis funcionava, esse não é o típico “apenas mudar sua senha e você ficará bem no cenário.” Para obter instruções sobre como verificar se o Genesis estava vendendo suas informações roubadas, confira o artigo de Troy Hunt, que dirige o HaveIBeenPwned.
(O TL;DR é que você deve se inscrever no serviço de notificação por e-mail do HIBP com todos os seus endereços de e-mail importantes e, em seguida, clicar no botão “Verificar e-mail” no e-mail de confirmação. Basta pesquisar seu e-mail no site não vai dizer se você foi impactado.)
Veremos o que você pode fazer para se proteger se suas credenciais estiverem disponíveis no Genesis – aqui está um link para pular para essa seção, caso você tenha algumas contas realmente importantes – mas primeiro, é útil para entender como o mercado funcionava. Geralmente, esses tipos de empresas vendem combinações de nome de usuário e senha, juntamente com outras informações pessoais. E embora você certamente não queira que eles fiquem por aí, a autenticação de dois fatores pode ajudar a protegê-lo, mesmo que sua senha tenha sido comprometida.
Embora o Genesis Marketplace negociasse nomes de usuário e senhas, também vendia acesso aos cookies dos usuários e às impressões digitais do navegador, o que poderia permitir que os hackers contornassem proteções como a autenticação de dois fatores. Cookies — ou tokens de login, para ser específico — são arquivos que os sites armazenam em seu computador para mostrar que você já fez login digitando corretamente sua senha e informações de autenticação de dois fatores. Eles são a razão pela qual você não precisa fazer login em um site toda vez que o visita. (Eles também são a razão pela qual o esforço conjunto para derrubar o Genesis recebeu o delicioso codinome “Operação Cookie Monster”.)
Eles, sem dúvida, tornam a web conveniente de usar, mas representam um risco de segurança se alguém os obtiver – digamos, fazendo com que um usuário baixe um malware e, em seguida, envie-o para os servidores de um hacker. De acordo com o DOJ, os dados vendidos no Genesis vieram de “mais de 1,5 milhão de computadores comprometidos em todo o mundo”.
Os desenvolvedores da Web, no entanto, sabem dessa possibilidade e geralmente criam proteções adicionais. Uma delas é chamada impressão digital, que é uma técnica que analisa uma tonelada de informações sobre seu computador, como qual navegador você está usando, quais fontes você instalou, qual hardware você possui etc. útil para segurança também; se um cookie estiver associado a um Mac executando o Firefox, seria um pouco suspeito se de repente fosse usado para acessar uma conta usando o Chrome em um PC com Windows.
Então Genesis também roubou as impressões digitais. Além do mais, ele até forneceu uma extensão de navegador que permitia que hackers falsificassem a impressão digital da vítima enquanto usavam seu cookie de login para obter acesso a uma conta, de acordo com um relatório de 2019 da ZDNET.
O YouTuber Linus Tech Tips tem um ótimo detalhamento de como funciona esse tipo de ataque, já que a técnica foi usada recentemente para assumir o controle do canal. (Embora, para ser claro, parece que o hacker obteve suas credenciais visando-os diretamente, não por meio de um mercado como o Genesis.)
Então você recebeu um e-mail de Have I Been Pwned dizendo que seus dados foram encontrados no conjunto de dados Genesis. De acordo com o FBI e a polícia holandesa, seu primeiro passo deve ser sair de todas as suas contas em todos os navegadores da web em seu computador antes de limpar seus cookies e caches. (Veja como fazer isso no Chrome, Edge, Firefox e Safari.) Se você tiver a opção, certifique-se de excluir os dados de todos os tempos, não apenas na semana passada, apenas para garantir. Isso garantirá que você esteja desconectado de tudo e que todos os tokens de sessão que você tinha sejam inválidos.
Após esta etapa, você não terminou. Se seus dados foram roubados por malware, é muito possível que ainda esteja em execução no seu dispositivo, pronto para roubar os novos cookies de login e carregá-los em outro mercado. É por isso que você precisa executar uma verificação de vírus ou redefinir completamente o computador antes de fazer login novamente. Pessoalmente, eu uso Malwarebytes sempre que preciso caçar vírus, mas aqui estão alguns guias rápidos sobre como se livrar de malware no Windows e em Macs. (Sim, os Macs também pegam vírus.)
Depois disso, você deve estar bem para fazer login novamente em suas contas. Vale a pena conferir o tópico Mastodon do especialista em segurança Brian Krebs para obter informações sobre como exatamente os computadores são infectados, porque nem sempre é por meio de métodos óbvios e fáceis de detectar, como arquivos chamados “ClickMe_NOTAVirus.exe”. Conhecer alguns dos sinais de alerta a serem observados e vetores de infecção comuns, como sites de compartilhamento de arquivos, pode ajudar a evitar que você seja infectado novamente por malware de roubo de login.
0 comentários:
Postar um comentário