Apenas com e-mails, hackers sírios sequestram sites e perfis de Twitter

Na semana passada, os sites do “New York Times” e do “Huffington Post” foram sequestrados e redirecionados para uma página controlada por hackers do Exército Eletrônico Sírio (Syrian Electronic Army, SEA na sigla em inglês). O sequestro dos sites, que também foi acompanhado de uma modificação no registro do domínio de Twitter, é mais um capítulo da onda de ataques realizados pelo SEA, todos contra alvos populares. O detalhe: a principal arma dos hackers é o e-mail.

Os hackers do SEA são ativistas favoráveis ao regime de Bashar al-Assad, ditador sírio que enfrenta uma guerra civil no país. A agência de notícias “Associated Press”, a “BBC”, o jornal “The Guardian” e até o perfil do Twitter da Copa do Mundo da FIFA já foram alvos do grupo.

Os nomes, claro, não param por aí: houve ainda uma invasão ao site da rede de rádios norte-americana NPR, o site de humor “The Onion”, a rede de notícias ITV, e também a rede de publicidade Outbrain, que deu ao SEA o controle sobre páginas da CNN, da revista Time e do jornal “Washington Post”. O grupo ainda teria obtido acesso ao banco de dados dos aplicativos Truecaller e Viber.

O SEA também já conseguiu até balançar o mercado financeiro com seus ataques: ao invadir o perfil do Twitter da “Associated Press”, os hackers tuitaram uma mensagem informando que o presidente Barack Obama teria sido assassinado. As bolsas de valores norte-americanas despencaram até que a informação falsa fosse retificada.

Apesar disso, o SEA não parece ter qualquer conhecimento privilegiado de falhas de segurança. Embora alguns dos ataques do grupo ainda não estejam bem explicados, muitos deles foram possíveis graças a uma arma simples: e-mails.

O roteiro é simples: o SEA descobre os endereços de e-mail dos alvos – como os repórteres que têm acesso a um perfil de Twitter – e enviam uma mensagem especial ao alvo, tentando convencê-lo a clicar em um link, acessar uma página clonada e digitar a senha, sem saber que está entregando suas credenciais aos hackers.

A invasão está pronta.

A simplicidade dos ataques ilustra a confiança que ainda é depositada na autenticação do acesso. Todas essas organizações teriam condições de utilizar sistemas próprios para gerenciar pelo menos os seus perfis de Twitter – que não teve culpa pelos ataques. Os perfis não viram apenas postagens não autorizadas, mas sim uma perda total do controle para os hackers, forçando a rede de microblog a suspender as contas e tomar medidas para devolvê-las aos seus legítimos donos.

Mesmo assim, o Twitter acrescentou um mecanismo de autenticação de dois fatores, com um código de uso único enviado para o celular. Essa segurança adicional encobre os problemas mais complexos com o gerenciamento inadequado de senhas, mas não os resolve.

Outra especialidade do SEA está na utilização de falhas já conhecidas. Após ser revelado que uma revendedora da registradora de domínios australiana Melbourne IT havia sido comprometida, permitindo o sequestro dos domínios do New York Times, Twitter e Huffington Post, o próprio site do Melbourne IT virou alvo de um ataque. O blog da empresa, que usava o sistema WordPress, foi invadido. Curiosamente, a página do blog tinha em destaque um texto sobre como proteger sites feitos no WordPress.

O SEA não demonstra o grande conhecimento técnico de hackers e a falência dos sistemas de segurança das empresas, mas é o resultados de repetidas tentativas de enganação com mensagens de e-mail e outros meios simples de comunicação.

Fonte: G1