17 de ABRIL
Aqui no blog da Integrasul, já fizemos diversos posts sobre senhas, e também já comentamos da necessidade de utilizar uma senha forte e até mesmo da utilização de um cofre de senhas. Mas, conhecer os métodos utilizados por um atacante pode servir como uma forma alternativa de proteção. Afinal, como Sun Tzu escreveu: "Se você conhece o inimigo e conhece a si mesmo, não precisa temer o resultado de cem batalhas". Vamos conhecer, então, um pouco mais sobre como o inimigo cria seus ataques, através da figura hipotética do José, um analista financeiro de uma grande empresa.
Tudo começa com a coleta de informações a respeito do alvo, e não pense que aqui existe uma ferramenta utilizada por hackers experientes, digna de filmes de Hollywood. As melhores fontes de informação são as redes sociais. Sim, não existe nada de espetacular em acessar informações públicas, e isso não constitui nenhum tipo de crime.
Uma das principais fontes de pesquisa é o LinkedIn. Esta rede social possui diversas informações que são de grande valor para um atacante. Ao acessar o perfil da empresa, é possível ver os colaboradores que trabalham nela. Ao pesquisar uma vaga de emprego, é possível elencar as habilidades que os colaboradores precisam para trabalhar na empresa (por vezes, até revelando informações para outros tipos de ataques, mais técnicos, como o ERP utilizado ou, no caso de uma empresa que desenvolve o próprio software, a linguagem de programação e o banco de dados utilizado).
Uma rápida pesquisa no Google revela outras informações públicas que podem trazer valor para um ataque. Embora "endereço e telefone" não pareçam ter algum valor, quando associadas às buscas realizadas anteriormente, podem construir um ferramental interessante para novos ataques. Lembre-se que, ao consultar o LinkedIn da empresa, o atacante já conseguiu nomes de alguns funcionários. Com estes nomes, ele pode usar uma ligação telefônica iniciada por "Eu estava conversando com o seu analista financeiro, o José, e precisaria de mais algumas informações!". A informação (embora falsa) de que já existia uma conversa com o analista financeiro real da empresa já dá uma camada extra de credibilidade para a obtenção de informações. E nesta situação, um colaborador desatento pode acabar por passar mais informações sigilosas para um atacante.
Mas nem só de informações empresariais que vive o atacante. Um outro passo importante é traçar o perfil pessoal do José. Para isso, redes sociais pessoais como o Instagram, o Twitter (agora chamado de X) e o Facebook podem trazer informações importantes. Não é raro vermos postagens exaltando o time do coração (José torce para o Palmeiras), nem mesmo uma foto com a esposa (de quando José passou as férias na Bahia), ou aquele story bonitinho do fiel companheiro (José tem um cachorro chamado Buddy), ou até mesmo do prato preferido (José ama pizza).
Todas essas informações podem ser utilizadas não só para traçar um perfil de José para ataques às suas senhas, como também para um contato telefônico. Imagine receber a ligação de um atacante que se passa por Roberto, gerente de banco, e a ligação iniciar com um caloroso "E o nosso Palmeiras, hein José? Vai assistir ao jogo hoje comendo aquela pizza esperta?". Isso já cria na mente de José um senso de amizade e pertencimento, dando uma dose extra de credibilidade ao atacante, que, certo da confiança de José, poderá receber informações privilegiadas sobre a empresa ou até mesmo maiores detalhes sobre as informações já levantadas.
Ao assumir personalidades diferentes, o atacante pode obter informações mais ou menos privilegiadas e criar diferentes tipos de ataques. Hoje, nosso foco será analisar os ataques às senhas do José. Com o perfil de José traçado, um atacante pode se utilizar das informações recolhidas para gerar possíveis senhas que o José utiliza. Se José for um usuário descuidado, pode utilizar senhas extremamente simples, como "palmeirasmeutime" ou "euamoobuddy". No conceito popular, estas senhas são consideradas "grandes" e, consequentemente, são seguras.
Entretanto, são de fácil dedução por um atacante. Mas, se José já tiver algum tipo de cuidado com suas senhas, ele pode pensar que ao trocar uma letra "a" por um "@", pode ter um nível maior de segurança e facilidade ao recordar sua senha... Uma senha como "P@lm&ir@s*123" parece ser uma boa alternativa.
O problema aqui é que, já sabendo das possibilidades destas trocas comuns de caracteres ("a" por "@"; "e" por "3" ou "&"; "i" por "1"; "h" por "#"; e outras), atacantes criam ferramentas que automatizam todas as possibilidades destas trocas de maneira rápida. Ferramentas de código aberto, como o CUPP (https://github.com/Mebus/cupp), fornecem uma interface amigável para não só criar estas mutações, mas também para criar senhas baseadas em informações obtidas ao traçar o perfil, como traçamos anteriormente o de José.
Utilizando a ferramenta citada, apenas colocando as informações do time, comida favorita, nome do pet e cargo ocupado (financeiro), foi possível gerar uma lista com 15.132 possíveis senhas de José. Imagine as possibilidades da geração de senhas após o levantamento de mais informações a respeito de José.
Foi necessário criar o personagem José para elucidar alguns conceitos a respeito dos ataques. Aqui, tomamos como exemplo um analista financeiro de uma empresa fictícia. Em alguns casos, os atacantes têm como alvo os C-levels da empresa, ou colaboradores que ocupam posições importantes. Entretanto, dependendo do tipo de ataque a ser lançado, alguns podem mirar em outro perfil de colaborador, em que o time de segurança da empresa negligencia por não possuir acessos tão críticos a informações.
Se você se identificou com o personagem José, que utiliza senhas facilmente dedutíveis, pense em utilizar um cofre de senhas. Já comentamos diversas vezes aqui no blog da Integrasul sobre esta solução e como ela pode ser uma forte aliada a este tipo de ataque. A utilização desta ferramenta previne não somente ataques de descoberta, mas também dificulta muito a quebra das hashes destas senhas em caso de vazamento de terceiros (também já falamos sobre isso aqui no blog!).