Mais de 20 mil contas de Instagram terão mudado de mãos sem que ninguém tivesse de adivinhar uma palavra-passe ou explorar uma falha no código. Bastou conversar com o serviço de apoio ao cliente da Meta, que hoje é uma inteligência artificial, e pedir-lhe com as palavras certas para trocar o email associado a uma conta.
Não vale a pena ler isto como mais um caso de «hackers atacam rede social». O que aconteceu é mais incómodo. A Meta substituiu o operador humano do apoio por um agente automático com poder real, capaz de mudar emails e repor palavras-passe, e descobriu da pior maneira que uma máquina treinada para ser prestável não sabe desconfiar.
Como funcionou, passo a passo
A 31 de maio começaram a circular no Telegram instruções com a receita, acompanhadas de um vídeo de atacantes pró-Irão a demonstrar o método. Era simples ao ponto de ser constrangedor:
- usar uma VPN, uma ligação que mascara a localização, com um endereço de internet perto da cidade da vítima;
- pedir a reposição da palavra-passe da conta-alvo;
- em vez de falar com um humano, abrir conversa com o «assistente de apoio de IA» da Meta e convencê-lo a associar um novo email à conta;
- receber, nesse email do atacante, o código de uso único que a Meta enviava para confirmar a alteração.
Com o código na mão, o botão de repor a palavra-passe ficava à distância de um clique. A conta passava para o atacante sem que a base de dados da Meta tivesse sido sequer tocada.
O resultado foram desfigurações de altíssimo perfil. A conta da Casa Branca da era Obama, hoje dormente, a da retalhista de cosmética Sephora e a de um alto oficial da Força Espacial dos Estados Unidos apareceram com imagens e mensagens pró-iranianas. Pelo caminho, os atacantes apanharam nomes de utilizador curtos e cobiçados, com um valor de revenda alegado acima do meio milhão de dólares. O caso chegou à imprensa portuguesa, sinal de que não fica num nicho técnico: qualquer pessoa com Instagram percebe o que está em jogo.
Porque isto é diferente de um ataque normal
Um operador humano de apoio, com formação, levanta uma sobrancelha quando alguém liga de uma localização estranha a pedir para trocar o email de uma conta verificada. Pede prova adicional, escala o caso, recusa. Uma inteligência artificial pensada para resolver e agradar faz exatamente o que lhe pedem, com a confiança de quem nunca foi enganado. O atacante deixou de precisar de manipular uma pessoa e passou a manipular um sistema sem instinto e sem memória de fraude. Continua a ser engenharia social, a arte de obter acessos enganando quem está do outro lado, só que o outro lado agora é uma máquina que não suspeita.
Há um detalhe que diz tudo. A base de dados nunca foi violada, não houve intrusão no sentido clássico. Houve uma transferência de propriedade que o próprio sistema autorizou. A conta ficou intacta e só o dono mudou. Para quem tem de reconstruir o que aconteceu depois, é a diferença entre uma fechadura arrombada e uma chave entregue à pessoa errada com um sorriso.
Ian Goldin, investigador de ameaças nos Black Lotus Labs da Lumen, resumiu o que aí vem: «os chatbots de inteligência artificial criam uma superfície de ataque nova e interessante, e é provável que vejamos muitos mais ataques deste género».
Como te proteges
A boa notícia, e a lição mais importante, é que o ataque falhou sempre que a conta tinha autenticação multifator ativa, o tal segundo código pedido além da palavra-passe. Em concreto:
- Ativa a autenticação multifator em todas as contas que a ofereçam, de preferência por aplicação autenticadora e não apenas por SMS.
- Desconfia de qualquer pedido para mudar o email ou o número associado à conta, mesmo que pareça vir do apoio oficial.
- Confirma de vez em quando, nas definições de segurança, que emails e telemóveis estão ligados à tua conta e remove o que não reconheces.
- Nunca partilhes códigos de uso único com ninguém, nem com «o apoio ao cliente». Nenhum suporte legítimo os pede.
As empresas estão a pôr inteligência artificial na linha da frente do apoio ao cliente mais depressa do que estão a pensar em como a proteger. Enquanto isso, o velho e aborrecido segundo fator continua a ser a fechadura que separou quem perdeu a conta de quem ficou com ela.
Fonte original: Krebs on Security.
#StaySafe
🙏🖖
