Apps de namoro podem ser alvos de cibercriminosos

app_paquera_1.jpg15/08/2017 - Especialistas da Trend Micro infiltram-se em apps de namoro e comprovam: usuário podem sofrer desde ataques maliciosos phishing a roubo de dados

O tipo (e quantidade) de informações divulgadas - sobre os usuários, local de trabalho e onde passeiam ou vivem - não são informações úteis apenas para aqueles à procura de um namorado(a), mas também para hackers que utilizam estas informações para conseguir se infiltrar em uma organização. Para descobrir os riscos, a Trend Micro decidiu testar várias redes sociais de namoro, que inicialmente incluíam o Tinder, Plenty of Fish, Jdate, OKCupid, Grindr, Coffee meets Bagel, e LoveStruck.

A primeira etapa da pesquisa consistia em responder algumas perguntas:

· Já com um alvo em mente (por exemplo, um chefe de departamento de TI, um oficial do governo), seria possível encontrar a conta dessa pessoa em algum aplicativo de namoro (assumindo que a pessoa tenha uma conta)?

· E para uma determinada conta em um aplicativo de namoro, seria possível rastrear esta conta até seus outros perfis em redes sociais - como o Facebook, LinkedIn ou páginas corporativas?

A resposta para estas perguntas é: sim.

GPS e links maliciosos

Em quase todos os aplicativos de namoro explorados pela Trend Micro, é possível que você filtre as pessoas usando uma ampla variedade de critérios - idade, localização, nível escolar, profissão, salário, sem contar os atributos físicos como altura e cor dos cabelos. O Grindr foi uma exceção, pois solicita muito menos informações pessoais.

A localização é bastante poderosa, especialmente quando se utilizam os Emuladores do Android que permitem programar o GPS em qualquer lugar do planeta. A localização pode ser colocada bem no endereço da empresa alvo, configurando o raio o mais próximo possível dos perfis correspondentes aos critérios de busca.

Da mesma maneira, a Trend Micro foi capaz de encontrar uma identidade correspondente a um certo perfil fora do aplicativo por meio da ferramenta de profiling Open Source Intelligence (OSINT).

Basta que algumas dessas pessoas compartilhem informações mais sensíveis que o necessário para que isso se transforme em uma mina de ouro para os hackers. Na verdade, já existe uma pesquisa que triangulou as localizações exata das pessoas em tempo real com base nos aplicativos de namoro instalados em seus celulares.

Com a capacidade de localizar um alvo e ligá-lo a uma identidade real, tudo o que o hacker precisa fazer é explorá-lo. A Trend Micro avaliou isso por meio do envio de mensagens entre as contas de teste com links para sites declaradamente arriscados. Estes links foram entregues sem problemas e não foram marcados como maliciosos.

A conclusão?

Utilizando a engenharia social, é muito fácil enganar o usuário e levá-lo a clicar em um link. Este link pode ser tão comum quanto uma página clássica de phishing para o próprio aplicativo de namoro ou a rede para a qual o hacker está mandando o usuário.

E quando combinado com a reutilização de senha, o hacker pode novamente conseguir se infiltrar na vida de uma pessoa. Uma vez que o alvo está comprometido, o hacker pode tentar sequestrar mais máquinas com o objetivo de acessar a vida profissional da vítima e a rede de sua empresa.

 

Deixar seu comentário

0
termos e condições.
  • Nenhum comentário encontrado

newsletter buton