O trabalho digital é responsável por um volume cada vez maior de todo o valor produzido pelos trabalhadores em 2023: desde funcionários em regime de home office, mantendo seu emprego tradicional através do trabalho remoto em casa, até categorias inteiras que existem somente no universo online como a produção de vídeos para o YouTube e TikTok, lojas digitais, entre tantas outras atividades que dependem completamente da internet.
O problema é que quando novas tecnologias se tornam populares, criminosos e hackers buscam formas de abusar dos sistemas para comprometer dados pessoais de usuários, chantagear ou roubar empresas, vazar fotos pessoais, ou até mesmo acessar diretamente dados bancários e outros tipos de transação financeira. De acordo com dados publicados pela ExpressVPN uma grande porcentagem dos trabalhadores remotos ainda não possuem bons hábitos de segurança online, colocando em risco diversas empresas no Brasil.
No começo de 2023, no entanto, uma notícia chocou especialistas em tecnologia e a comunidade online: um dos canais mais bem-sucedidos da plataforma YouTube, dedicado à tecnologia e com equipes de segurança digital, foi completamente dominado por hackers e passou horas fora do ar. Aprenda como o golpe ocorreu e como proteger seus dados.
LinusTechTips é hackeado
Criado pelo canadense Linus Sebastian, o canal Linus Tech Tips é um dos maiores exemplos de sucesso comercial na plataforma de vídeos YouTube. Iniciando suas atividades há mais de uma década com poucos equipamentos e apenas alguns colaboradores, hoje o canal conta com mais de 200 funcionários, um laboratório de testes avaliado acima dos 5 milhões de reais, e diversos estúdios de produção, além de uma loja própria com fabricação de produtos como um conjunto de ferramentas, mochilas, garrafas térmicas e outros acessórios.
Conhecido por explicar de forma acessível diversas tecnologias complicadas e por realizar diversos vídeos com dicas de segurança digital para seus usuários, a notícia de que o canal havia sido hackeado no dia 24 de março de 2023 espantou os usuários. Durante diversas horas, os canais de Linus foram renomeados para “Tesla” e passaram a exibir uma transmissão ao vivo falsa criada pelos hackers com a imagem de Elon Musk e um link que prometia um investimento incrível em criptomoedas mas que, na verdade, roubava o dinheiro dos usuários. Após horas de duras tentativas de recuperação das contas, a equipe do Linus Tech Tips foi capaz de reverter os danos e recuperar o canal – mas a pergunta mais importante é como os hackers foram capazes de invadir uma conta do YouTube protegida por uma senha segura, autenticação de dois fatores, e outros mecanismos que deveriam garantir a segurança? A resposta é o golpe do session hijack que tem crescido de forma alarmante no mundo, atacando diversos influencers brasileiros no YouTube e TikTok e que recentemente começou a atuar para roubar empresas e outros trabalhadores remotos.
Cookies de autenticação
O golpe de session hijack é extremamente perigoso e eficiente pois é capaz de burlar a necessidade de uma senha, autenticação via SMS, ou qualquer outro mecanismo de login. Isso acontece porque ao invés de tentar comprometer os dados de acesso, o hacker ataca diretamente os cookies do navegador da vítima.
Cookies são pequenos arquivos que websites podem armazenar no computador para oferecer recursos adicionais ou mecanismos de autenticação. Por exemplo, ao navegarmos em um site de compras, é possível fazer login e adicionar produtos livremente ao carrinho – indo de página em página, desistindo e voltando mais tarde, sem restrições. Sem o recurso de cookies, nada disso seria possível pois a cada ação feita no site o navegador se esqueceria do usuário ativo.
Os cookies também são utilizados em redes sociais e plataformas como o YouTube para garantir uma experiência mais fluída: após entrar no site e digitar o login e senha pela primeira vez, um cookie conhecido como token de sessão é armazenado e utilizando um grande código representa que aquele usuário está autorizado a acessar a conta, assim, é possível continuar usando a plataforma por vários dias sem precisar constantemente digitar a própria senha.
O golpe de session hijack captura este cookie de autenticação e o insere no computador do hacker, permitindo que o navegador acesse a conta da vítima sem pedir usuário ou senha, e burlando qualquer necessidade de códigos de autenticação, SMS, perguntas de segurança e outras medidas usadas para impedir um acesso não autorizado. Se nem mesmo uma senha segura é capaz de impedir o golpe, é preciso que todos os usuários conheçam seu mecanismo de prevenção.
Evitando o golpe
O grande poder do session hijack é sua capacidade de acessar uma conta sem conhecer a senha, no entanto, sua fraqueza é depender da extração de um arquivo do computador da vítima. O hacker precisa, portanto, encontrar alguma forma de executar um programa malicioso no computador do usuário e enviar os dados para sua própria máquina. Como programas de antivírus como o Windows Defender já são capazes de identificar vírus tradicionais como cavalos de Tróia, e usuários avançados já são capazes de reconhecer links falsos e outras ameaças, a versão moderna do golpe abusa do funcionamento simplificado de plataformas como o Windows e da força dos hábitos que criamos durante nosso cotidiano profissional.
O mecanismo utilizado para atacar o canal LinusTechTips com sucesso é o mesmo utilizado em quase todos os outros casos, com alterações no conteúdo das mensagens ou contexto para se camuflar, e funciona da seguinte forma:
O hacker identifica um endereço de email de um funcionário da empresa a ser atacada, de algum setor comercial, ou do próprio proprietário da máquina-alvo. Simulando o envio de uma proposta de orçamento, planilha comercial, ou outro documento importante, o hacker inicia uma conversa convincente e bem-escrita e envia um arquivo em anexo – e aí está o perigo, como o Windows esconde a extensão dos arquivos, o documento é na verdade um arquivo de protetor de tela com o ícone de um PDF e nomeado com o final .pdf – isso faz com que para o computador da vítima, o script aparente ser um PDF comum mas, na realidade, é um arquivo executável capaz de executar código. Ao abrir o documento, o vírus cria diversos processos e modifica a memória para camuflar suas ações de programas antivírus, captura o cookie, e envia para o hacker.
Dessa forma, a solução para evitar o golpe pode parecer a antiga recomendação “não abra arquivos de desconhecidos” mas, no cotidiano de diversos trabalhos, isso seria impossível. O ideal é, portanto, ativar a exibição do nome completo dos arquivos no Windows e ao invés de clicar duplamente para abrir novos downloads, baixar o arquivo, abrir o programa responsável (por exemplo, o Microsoft Word ou Adobe Reader) e pedir que o programa abra manualmente o arquivo. Dessa forma, arquivos falsos não serão abertos e nem executados, e você imediatamente identifica o golpe. Apesar de recente, o session hijack já foi identificado em atividade no Brasil e é crucial estar preparado antes de virar mais uma vítima dessa armadilha digital.