Dispositivos conectados à Internet podem ser comprometidos e a ESET apresenta 5 casos que afetaram dispositivos domésticos comuns.
ESET
O mundo da Internet das Coisas (IoT) cresceu na última década e cada vez mais dispositivos do dia a dia estão interligados entre si, formando esse universo. A ESET analisa os casos mais emblemáticos de ataques a dispositivos domésticos e compartilha chaves para evitar ser vítima.
"Tudo o que se conecta à internet pode ser hackeado, essa máxima não perderá validade e, nos últimos anos, houve casos que lhe deram crédito. Foram identificados ataques que visavam dispositivos que estão muito presentes nas residências e talvez a maioria não saiba que podem ser hackeados", diz Fabiana Ramirez Cuenca, pesquisadora de segurança de computadores da ESET América Latina.
Os dispositivos domésticos abriram novas portas para o crime cibernético. Um dos fatores que os facilita é o uso bastante difundido de senhas fracas ou padrão que podem ser facilmente adivinhadas.
A ESET analisa 5 histórias em que o cibercrime encontrou uma nova maneira de perpetrar ataques a dispositivos domésticos, com consequências importantes:
O espião cativante: em 2017, um ursinho de pelúcia inofensivo se tornou o fator-chave em vazamentos de conversas privadas e até mesmo dados confidenciais de menores.
A empresa Fisher-Price nos Estados Unidos lançou um brinquedo de pelúcia revolucionário que se conectava à Internet para enviar e receber mensagens de voz. Com o objetivo de melhorar a comunicação entre pais e filhos e aumentar seu vínculo mesmo à distância. O problema era que todas essas mensagens (familiares e privadas) eram armazenadas nos servidores da empresa que nunca previu um ataque informático, e por isso foi muito fácil para os ciberatacantes obter mais de dois milhões de gravações de voz, e também dados sensíveis sobre menores que foram registados na plataforma.
O banco saltou: este ataque refere-se ao hacking de um cassino de Las Vegas, através de um termostato de um aquário localizado em uma de suas salas.
Este aquário tinha sensores conectados a um computador para regular a temperatura, a quantidade de comida e até mesmo a limpeza do tanque. Os agentes mal-intencionados conseguiram se infiltrar na rede graças a uma vulnerabilidade no termômetro inteligente deste aquário localizado no saguão e, assim, acessar o banco de dados do cassino. Em 2017, eles quebraram o banco, obtendo informações confidenciais, como nomes de grandes apostadores do cassino.
Câmera traseira: Em dezembro de 2019, as câmeras de segurança Ring tiveram um boom de vendas, sem saber que isso colocaria em risco a privacidade de seus usuários. Conforme relatado por sites de notícias, uma família sofreu o hacking deste dispositivo que tinha uma senha fraca configurada. Graças a um software especial, explica o site Vice, os invasores conseguiram processar nomes de usuário, endereços de e-mail e senhas para fazer login nas contas das vítimas.
Os agentes mal-intencionados conseguiram acessar o controle da câmera e, portanto, o que deveria ter sido uma ferramenta para monitorar o quarto de sua filha a partir de um aplicativo móvel, acabou sendo uma janela para terceiros mal-intencionados. Embora existam vários casos, ele analisa o de uma mulher no Texas, que foi contatada por uma voz saindo da câmera, alegando ser da equipe de suporte do Ring, para relatar um problema com sua câmera. Para consertar, ele teve que pagar 50 Bitcoins. O problema aumentou e a mulher mais tarde recebeu ameaças, onde o agressor alegou estar muito perto de sua casa. A solução por parte da vítima foi desligar a câmera e até mesmo remover a bateria.
Um exército doméstico perigoso: Mirai era um botnet que foi descoberto em 2016 e logo se tornou conhecido por realizar um ataque DDoS quase sem precedentes. Nesse dia, o provedor de serviços Domain Name System Dyn foi vítima de um ataque DDoS sustentado, que teve consequências muito importantes, como interrupções em sites e serviços como Twitter, Airbnb, Reddit, Amazon, SoundCloud, Spotify, Netflix e PayPal, entre muitos outros.
Um botnet, uma combinação das palavras "robô" e "rede", refere-se a um grupo de computadores infectados por códigos maliciosos que se comunicam entre si e são controlados por um invasor, tendo seus recursos disponíveis para trabalhar juntos e distribuídos. A marca registrada do botnet Mirai era que seu "exército" de mais de 600.000 dispositivos era composto de roteadores domésticos, gravadores de vídeo, câmeras de vigilância e qualquer outro tipo de dispositivo inteligente, que não estavam devidamente protegidos, mal configurados ou tinham senhas fracas.
Nem tudo está indo bem: embora neste caso se destaque que não houve intenções maliciosas, mas por trás disso estavam dois hackers éticos que buscavam demonstrar como uma vulnerabilidade poderia ser a chave de entrada para assumir o controle de um carro remotamente.
Em 2015, quando Charlie Miller e Chris Valasek colocaram em prática uma técnica de hacking, que poderia dar-lhes o controle sem fio do veículo. Como resultado, as aberturas começaram a enviar ar frio ao máximo, as mudanças eram evidentes no mostrador do rádio e até os limpadores de para-brisa foram ativados, embaçando o vidro. Devido a esse teste, a montadora fez o recall de cerca de 1,4 milhão de veículos vendidos nos Estados Unidos.
ESET, eles comentam que uma das chaves para reduzir o risco desse tipo de hack é manter os dispositivos atualizados com suas respectivas atualizações, já que a maioria das vulnerabilidades costuma ser corrigida em muito pouco tempo. Eles também recomendam gerenciar a alteração das senhas que vêm de fábrica para uma mais robusta. Ou seja, deve incluir letras maiúsculas, números e caracteres especiais; e, obviamente, que não está sendo usado em outra conta ou dispositivo.
"Além disso, é fundamental configurar os dispositivos de forma correta e segura. Isso inclui desabilitar as portas e serviços que não estão sendo usados e evitar as configurações padrão. Como sempre mencionamos, é essencial ter o segundo fator de autenticação habilitado no maior número possível de dispositivos", acrescenta Ramirez Cuenca, da ESET Latin America.
