Comecemos este artigo por um cenário hipotético. Conseguiram aceder ao sistema de gestão de cartões SIM de uma operadora e os seus dados de cliente foram expostos. Nome, morada, dados de faturação. Caiu tudo nas mãos dos hackers responsáveis pelo ataque que agora podem fazer com eles o que lhes apetecer: vender, destruir ou... conseguir toda a informação possível. Mas, que informação é possível retirar de um simples número de telemóvel? Muita.
"O telefone é uma chave única muito relevante porquê? Porque normalmente é aquele aparelho que utiliza para autenticar homebanking, MBway, Continente. Quando metemos o número de telefone na pesquisa na internet, do outro lado vamos descobrir estas contas", explica Bruno Castro, CEO da empresa de cibersegurança Visionware à CNN Portugal.
E não só. Através de técnicas de OSINT (Open Source Intelligence), ou seja, de forma legal e sem recorrer a hackers, tendo acesso a informações como número de telemóvel, email e o nome, consegue-se descobrir informação. E quanto mais dados se tiver (como por exemplo, número de contribuinte, IBAN, morada) mais coisas se conseguem descobrir.
"Perguntamos à internet, em grosso modo, diz-me com este NIF, com esta nome, com este email, com este telefone, o que é que podes encontrar na internet? E a resposta é 'encontrámos que teve um perfil no Hi5, tem uma conta no Facebook, no Twitter, já morou aqui, teve outra morada em tempos. E isso chama-se profiling. Quanto mais informação tivermos, como o número de telefone que é uma chave única, com essa informação vamos buscar muita outra informação. E por aí em diante".
Informação angariada é hora de "montar o profile da pessoa". E aí começam novos problemas.
Phishing, Spear phishing e fraudes
Consegue contabilizar quantos emails ou mensagens de phishing recebeu no último ano? Dez, cinquenta, cem? Já lhes perdeu a conta (só no site dos CTT há mais de 35 alertas)? Sabia que alguns são dirigidos diretamente para si graças ao seu perfil criado através de informação recolhida online?
"Depois de montado o profile pessoa, podemos direcionar ataques de hishing, ou de Spear phishing, ou de fraudes de SMS. E isso é muito valioso para muitos criminosos. Há phishing para organizações e outros para indivíduos em particular. Com esta informação, conseguimos redirecionar para as pessoas conteúdos muito bem afinados para que caiam na fraude", explica o especialista em cibersegurança.
Também Rui Duro, gestor da Checkpoint Software Portugal, lembra que "quando toca a hackers, nunca sabe bem", principalmente se tiverem acesso "a dados considerados sensíveis pelo RGPD (o Regulamento Geral sobre a Proteção de Dados).
"Eles são muito criativos. Todos nós, todos os dias, recebemos SMS de phishing. E o que eles fazem é aleatoriamente vão gerando SMS para números sequencialmente e as pessoas vão recebendo".
Se receberem e apagarem, não haverá problemas de maior. O problema é quando as pessoas clicam nos links que essas mensagens trazem e dão ainda mais acessos a mais informação sensível que pode colocar as pessoas em problemas ainda maiores.
Usurpação de identidade? Acontece
Ao dar acesso a mais dados sobre si, o que vai acontecer é que o seu perfil vai ficar cada vez mais completo. O mesmo pode acontecer quando se consegue aceder e roubar esses dados de uma operadora (o que não parece ter sido o caso no ciberataque da Vodafone, mas ainda não existem certezas à data).
Quando falamos em roubo de dados, este pode ter vários níveis: "Pode ser o roubo de dados que é meramente o número de telefone, podemos ir ao roubo de dados que é moradas e pessoas e dados pessoais das pessoas, podemos ir até a um nível mais confidencial o tipo de acessos que são feitos através das chamadas telefones, dos SMS, acesso a internet (links)".
Mas, o maior problema não é roubar, é o que se faz com eles depois de serem roubados, a quem se vendem ("Muitas vezes quem rouba não é quem utiliza, é quem comercializa para outros fóruns, tipo criminosos que vão utilizar esses dados para atacar as vítimas, para atacar novamente", lembra Bruno Castro) e o que se consegue.
"Tipicamente os dados pessoais são roubados, sendo neste caso números de telefone e dados pessoais, têm imensos vetores possíveis de ataques. Desde fazer mensagens para os números de telefone que estão associados às pessoas, podem fazer chamadas telefónicas, sabem o nome da pessoa, sabem a morada, sabem qual é o telefone. Se souberem qual é o tipo de utilização de chamadas que fazem ou de compras online que fazem, podem fazer um conjunto de profiling das pessoas e depois fazer abordagem diretamente a elas com muita credibilidade de quem recebe o contato. Podem fazer usurpação de identidade, angariar número de telefone, morada, tipo de contactos é que faz por telefone, que tipo de utilização é que faz do cartão de dados, com essa informação do seu profile como pessoa, como indivíduo, consegue-se montar um conjunto de operações de fraude especificamente para si".
"O maior risco é saberem onde é que as pessoas andaram"
Por sua vez, Ricardo Negrão, especialista na área de Cyber Risk, diz, em entrevista à CNN Portugal, que "o maior risco que existe não é ficarem com o número das pessoas, com a morada e com o telefone".
"O maior risco é, essencialmente, saberem onde é que as pessoas andaram com o telemóvel nos últimos seis meses". Ou seja, se tiverem acesso a informação dos clientes, os autores do ataque podem pegar nesses dados, descobrir, por exemplo, o número do primeiro-ministro [caso seja cliente desta operadora] e detetar o que não devia ser do conhecimento público.
"Podem pegar e pensar: 'Eu sei que o número do nosso primeiro-ministro é este e quero saber onde é que ele andou nos últimos seis meses'. E sabem ao detalhe onde é que ele andou, no s últimos seis meses, geograficamente, no mundo todo", afirma, explicando que não é necessário que os serviços de geolocalização estejam ativados para isso.
"Enquanto tiver rede móvel, sei onde é que estou. Em alguns sítios com uma precisão de menos de 30 metros". Mas porque é que uma operadora tem esta informação? E, mais importante, porque é que a guarda durante seis meses?
"Os operadores são obrigados a guardar essa informação durante seis meses por questões jurídicas no caso de um crime. A Polícia Judiciária pode ter acesso a esses dados para criar provas e factos como evidências de um crime".
Por isso, para o especialista em Cyber Risk, "o risco de roubo de dados numa operadora é roubarem esta informação". "Não é roubarem a fatura da empresa tal. É desagradável, mas não é o maior problema".
Georreferenciação, como se faz?
Mas, será assim tão fácil conseguir perceber por onde é que uma pessoa andou só por aceder à informação das antenas da rede móvel? Rui Duro diz que não.
"Não acredito que os logs servers tenham lá indicado exatamente o local. Devem ter é o número de uma BTS, que são as antenas móveis, que tem depois as células onde os telemóveis se ligam. Provavelmente aquilo que está no log é uma hora, um número de telemóvel e a BTS. E isso obrigaria que os hackers teriam de ter acesso ao número da BTS da localização para fazer a triangulação. Eventualmente seria possível".
Logs servers, BTS, logs. O que é isto trocado por português que se perceba? O especialista esclarece: "Cada vez que um telemóvel faz um acesso, há um conjunto de servidores de apoio que ajudam a saber onde estão os telemóveis, que registam os telemóveis, que validam, por exemplo, se o telemóvel tem saldo ou não para poder permitir comunicar na rede".
Ou seja, cada vez que faz uma chamada, o seu telemóvel liga-se a uma das antenas que estão mais próximas que, por sua vez, tem um código de localização e que faz uma radiografia ao seu perfil de cliente e um registo dessa chamada. Seja fora ou dentro de casa. E aí, também pode haver problemas de rede se esta for comprometida.
Trancas à porta sempre que possível
Se contratou um serviço de tv + net + voz (ou sem voz) e tem uma box em casa, saiba que a operadora pode aceder ao equipamento de forma remota. O que significa que, se a rede for comprometida, quem a atacou também o pode fazer. Ou seja, a partir do momento em que há uma intrusão no núcleo central da operadora - que no caso da Vodafone interrompeu os serviços -, se houver acesso aos "sistemas de gestão de televisão IP - e redes IP caseiras inclusive, ou empresariais - então, efetivamente, haverá um acesso remoto a todas as redes domésticas".
Logo, existe também o potencial de "haver o acesso às redes domésticas e aos aparelhos domésticos": telefones, computadores, televisões, tablets, que estão dentro das redes domésticas.
Isso não significa, no entanto, que exista o acesso a documentos, mas sim a sistemas que não estejam efetivamente seguros - computadores sem password, por exemplo - e permite monitorizar a própria rede doméstica.
"A partir do momento em que tem acesso à minha rede caseira, consegue monitorizar qual é o acesso que a minha rede faz para a internet - se está a aceder a homebanking, se está a aceder a sites profissionais, a redes da entidade patronal. esse veículo depois de estar comprometido está na mão de quem quer depois escutar o que se passa lá", explica Bruno Castro.
E já que falamos em escutar, saiba que os dispositivos que têm câmaras IP online, na rede doméstica, que estejam desprotegidos, também ficam acessíveis para quem não deve e que, na maioria das vezes, os utilizadores não notam que foram alvo de ataque.
"Se for bem feito, a monotorização é invisível. em casa eles são passivos, irão só escutar o que se passa na rede. É invisível para o cliente doméstico", alerta o especialista, referindo que, sempre que possível, devem ser usados "mecanismos de defesa" como firewalls e antívirus.