Mais de 100 mil Foram Atingidos por uma Nova Campanha de Spam

De acordo com a Statista, em média, nós enviamos e recebemos mais de 280 bilhões de e-mail todos os dias. Qualquer tipo de análise de tal quantidade astronômica de informação seria difícil, mas apesar disso, os pesquisadores estimaram que em torno da metade desses e-mails podem ser classificados como spam.

A maioria de nós gosta de acreditar que não temos problemas em distinguir um e-mail de spam de um real, e de fato, é seguro afirmar que os usuários com mais experiência aprenderam a ignorar mensagem vindas de um príncipe nigeriano como também aquelas promovendo produtos e serviços que podem alegadamente melhorar a sua vida amorosa.

No entanto, alguns e-mails de spam são mais espertos. O pesquisador de segurança Bob Diachenko e Zack Whittaker da TechCrunch, por exemplo, recentemente examinaram uma campanha spam que visava os usuários do Reino Unido. Eles descobriram que entre o dia 8 e 18 de março os fraudadores conseguiram enganar mais de 100.000 pessoas, faze-las morder a isca e clicar no e-mail.

Como você induz 100.000 pessoas a clicar em um link em um e-mail de spam?

A parte realmente esperta sobre a campanha é que era relativamente simples sob a perspectiva de engenharia social de uma técnica. Aqui está como ela funcionava.

Primeiro, os fraudadores usariam credenciais de login roubadas para entrar nas contas de e-mail das vítima. Eles, então, liam algumas das mensagens enviadas recentemente e as mandariam para os seus próprios servidores. Um script automatizado leria os destinatários dos e-mails e o assunto e criaria uma nova mensagem que parecia estar vindo do dono da conta comprometida. Encaminhando a conexão através de um servidor proxy que consistia em inúmeros telefones móveis conectados à internet, os fraudadores usariam novamente os usuários e senhas roubados para entrar nos servidores de e-mail dos remetentes e enviariam uma mensagem gerada automaticamente para o destinatário.

Um total de 3 milhões de contas de e-mail foram comprometidas, e embora Diachenko e Whittaker não pudessem estimar o número exato de mensagens enviadas, eles disseram que a operação descrita acima foi repetida “centenas de vezes por segundo”.

Diachenko e Whittaker conseguiram ter um desses e-mails nas suas mãos, e imediatamente viram o porquê de tanta gente cair no spam. O email estava aparentemente vindo de uma pessoa que o destinatário conhecia, ele continha seu nome, e o assunto sugeria que era a continuação de uma conversa anterior. Não havia nada imediatamente óbvio para indicar que clicando no link era arriscado.

Felizmente, não havia nenhuma carga desagradável, também. Um link redirecionaria os usuários através de inúmeros websites e determinaria a sua geolocalização. Os cidadãos dos EUA iriam para uma página promovendo um remédio falso para a saúde, e as pessoas do Reino Unido seriam redirecionadas para uma página falsa da BBC que eventualmente os levaria a um golpe com Bitcoin. Conforme mencionamos antes, a maioria era do Reino Unido.

Embora ela tenha sido definitivamente um sucesso, não estamos falando sobre a maior ou mais impactante campanha no mundo. Mesmo assim, o exame feito por Bob Diachenko e Zack Whittaker nos deu uma boa ideia de como uma genuína operação de spam funciona. Mas como eles conseguiram ter acesso a toda essa informação?

Os fraudadores falham em proteger os seus próprios dados

Leitores comuns dos nossos artigos de notícias provavelmente sabem quem Bob Diachenko é. Em setembro de 2018, ele descobriu que o provedor de soluções para gestão de dados Veeam deixou alguns dos dados dos seus clientes em um banco de dados acessível de qualquer lugar no mundo. Em janeiro, ele encontrou outro banco de dados desprotegido, dessa vez contendo o currículo de mais de 200 milhões de chineses procurando trabalho. Vários dias depois, Diachenko se juntou a Zack Whittaker para analisar outro servidor que estava lidando com a internet e não estava bloqueado por uma senha. O servidor exposto continha ”uma mina de ouro” de nomes, endereços, números de CPF, e informação de crédito pertencendo a um grande número de indivíduos desconhecidos.

Como você pode ver, Bob Diachenko é um expert em encontrar instalações de bancos de dados e servidores que foram postos na internet e não estão protegidos de nenhuma forma. Foi assim que ele encontrou a campanha de spam mencionada acima.

Os fraudadores usaram um banco de dados Elasticsearch para manter registros dos seus dados, e os mecanismos eram bem documentados o que deu a Diachenko e Whittaker a chance de ver como tudo isso era feito. Havia até mesmo um painel que mostrava a eles quantos spams eram entregues com sucesso, quantos retornavam, e quantos usuários clicavam nos links. Além disso, o servidor desprotegido mantinha os usuários e senhas roubadas, o que permitiu que os fraudadores comprometessem mais de 3 milhões de contas de e-mail. Todos aqueles dados estavam disponíveis para qualquer um que soubesse onde olhar.

As credenciais comprometidas eram dadas a Troy Hunt que carregava-os no Have I Been Pwned. Embora o serviço de notificação de violações tenha perto de 8 bilhões de contas, incríveis 55% dos endereços de e-mail eram completamente novos. Por enquanto, pelo menos, ninguém pode dizer quantos usuários e senhas foram roubadas.

Infelizmente, quando Diachenko se deparou pela primeira vez com o servidor dos fraudadores, a campanha já havia encerrado. Mesmo assim, o provedor da hospedagem foi informado, e os servidores postos offline.

Servidores e bancos de dados mal configurados podem ser um problema real para organizações legítimas com a tarefa de lidar com os dados das pessoas. Uma pesquisa recente da 4iQ revelou que perto de dois terços das informações pessoais expostas que são trocadas online foram retiradas de dispositivos que eram acessíveis a qualquer um com uma conexão com a internet, e as últimas descobertas de Bob Diachenko mostram que mesmo os estelionatários não estão imunes de cometerem erros bobos.