Se é um utilizador ativo do Twitter, pode ter visto ao longo da noite de ontem várias publicações fora do comum vindas de contas de figuras mediáticas, e até de algumas gigantes tecnológicas, desde Barack Obama à Apple, passando ainda por Bill Gates, Elon Musk, Jeff Bezos, Joe Biden ou até Kanye West.

Nas mensagens era pedido aos seguidores que fizessem transferências em Bitcoin para as carteiras de criptomoedas das personalidades ou empresas em questão, com a promessa de que iam receber o dobro da quantidade que enviassem. Os Tweets chegavam ainda de várias contas de bolsas de moedas digitais, como a Binance, a Gemini, a Coinbase ou a Coindesk.

A aparente generosidade escondia um avançado esquema de fraude com criptomoedas. Depois de ter detetado a situação, o Twitter bloqueou temporariamente a realização de publicações através de inúmeras contas verificadas, como forma de mitigar o problema. O SAPO TEK também foi afetado por esta medida.

Mais tarde, a empresa liderada por Jack Dorsey veio a público esclarecer que foi vítima de um ataque coordenado de engenharia social. Uma análise inicial permitiu chegar à conclusão de que os hackers conseguiram atacar alguns dos funcionários que tinham acesso aos sistemas informáticos e ferramentas internas.

Resposta do Twitter ao ataque
Resposta do Twitter ao ataque

Embora tivessem estado ativas durante mais de uma hora, as publicações acabaram por ser eliminadas, seguindo-se avisos por parte das figuras e das empresas afetadas a indicar que tudo se tratava de um esquema de fraude. Porém, estima-se que as consequências do ataque foram extensas, levando pelo menos 367 utilizadores a enviar 120 mil dólares em Bitcoin para a principal carteira indicada nos Tweets: tudo num espaço de horas.

A empresa afirma que está neste momento a verificar se os hackers conseguiram realizar outros tipos de atividades maliciosas com a informação a que tiveram acesso. Há ainda a possibilidade de os atacantes terem acedido, por exemplo, às mensagens privadas das contas afetadas e de usarem os dados recolhidos para aumentar a dimensão do esquema fraudulento.

O Twitter afirma que a maioria das funcionalidades bloqueadas já foram restauradas, embora, à medida que a investigação avança, possa tomar medidas mais “apertadas” para mitigar as consequências do ataque. Para já, o acesso às contas comprometidas ainda está vedado e estão a ser tomadas medidas para limitar o acesso aos sistemas informáticos e ferramentas internas.

Suborno ou “sequestro” de contas de funcionários? 

É verdade que a empresa acabou por revelar que se tratou de um ataque coordenado de engenharia social a determinados funcionários. Mas por responder ficou a questão de como é que os hackers conseguiram entrar em contacto com os colaboradores e levá-los a dar as informações que precisavam.

De acordo com fontes a que o website Motherboard teve acesso, os hackers subornaram um colaborador da empresa para mudar os endereços de email das contas através de uma ferramenta interna, dando-lhes acesso privilegiado aos sistemas informáticos do Twitter.

As quatro fontes que fazem parte de comunidades de hacking, ou que são muito próximas das mesmas, disponibilizaram à publicação várias screenshots da ferramenta que foi usada. As imagens revelam informações sobre o estado das contas comprometidas, indicando se foram suspensas, banidas permanentemente ou se estão protegidas.

Screenshots da ferramenta interna a que os hackers tiveram acesso
Screenshots da ferramenta interna a que os hackers tiveram acesso créditos: Motherboard

À medida que o Twitter começou a agir para lidar com o ataque, alguns utilizadores da plataforma começaram a publicar screenshots da ferramenta interna, levando o serviço a remover os tweets em questão e a suspender as contas.

Screenshots da ferramenta interna a que os hackers tiveram acesso
Screenshots da ferramenta interna a que os hackers tiveram acesso créditos: Tech Crunch

Já ao website Tech Crunch, uma fonte que faz parte da comunidade de hacking deu a conhecer que um hacker que usa o nome de Kirk é quem está por trás do ataque. A fonte confirma que o cibercriminoso teve acesso à ferramenta interna, usando-a para ganhar o controlo das contas comprometidas e “limpar” os endereços de email associados.

Ao que tudo indica, Kirk terá contactado um membro do OGUsers, um fórum popular entre quem tenta hackear contas nas redes sociais, para ajudar a vender as contas roubadas, apesar de ter decidido mais tarde que embarcaria na aventura a solo. No entanto, a fonte avança que o hacker conseguiu aceder à ferramenta ao “sequestrar” a conta interna de um funcionário da empresa, descartando a possibilidade de suborno avançada por outras fontes.

O que fazer para não cair na armadilha dos hackers

Em comunicado, Dmitry Galov e Dmitry Bestuzhev, especialistas da Kaspersky explicam que a prática de hackear contas para usá-las em esquemas de fraude não é nova. No ataque em questão, os cibercriminosos combinaram novos vetores de ataque com técnicas antigas e eficazes de engenharia social para ganhar a confiança das vítimas.

Engenharia social e cibercrime: Como é que os hackers se aproveitam dos utilizadores?
Engenharia social e cibercrime: Como é que os hackers se aproveitam dos utilizadores?
Ver artigo

Para Dmitry Galov, existem duas grandes lições a retirar do incidente: “A primeira, que os utilizadores devem ficar atentos a esquemas e manter-se cautelosos nas redes sociais; acima de tudo, devem estar preparados para saber reconhecê-los. A segunda, devem ter cuidado extra com todos os seus bens online, pois qualquer informação sensível deve ter, pelo menos, dois fatores de autenticação.”

Para reconhecer possíveis esquemas fraudulentos existem alguns aspetos que deverá ter em conta. Por exemplo, o elemento mais importante num ataque do género é o limite de tempo. “Não só impede que a vítima tenha tempo para comprovar em profundidade a veracidade do que está a acontecer, como também as pressiona psicologicamente, tornando mais provável que se ignorem detalhes”, afirmam os investigadores.

Os cibercriminosos por trás do ataque ao Twitter conceberam-no para se adaptar à personalidade do utilizador ou ao tom da conta hackeada para tornar a campanha mais legítima. “Há que ter em conta que as campanhas oficiais ou as iniciativas individuais de tal escala contam sempre com documentos para suportar as suas ofertas ou promoções de curta duração, e são publicados fora das redes sociais”, relembram os especialistas.

Além disso, é importante não esquecer que é muito improvável que qualquer empresa oficial ou figura mediática peça, de facto, transferências de dinheiro devido a possíveis implicações fiscais.

É recomendável usar palavras-passe únicas e fortes e alterá-las com alguma frequência para que, no caso de as suas credenciais serem filtradas por hackers e postas à venda, as suas contas se mantenham seguras.

A autenticação de dois fatores é também essencial, assim como fazer uma revisão exaustiva de todas as aplicações que têm acesso à conta do Twitter. Deve eliminar o acesso das mesmas à conta ou então daquelas que considera não terem proteção suficiente.