Evolução das Táticas de Golpistas: De Sequestro de Canais a Novas Tecnologias de Segurança
Há alguns anos, um problema significativo assolava canais de destaque no YouTube: o sequestro de contas para transmitir golpes de criptomoedas, frequentemente envolvendo celebridades prometendo doações. Embora essas ocorrências tenham diminuído, presumivelmente porque o público se tornou mais cético, os golpistas continuam a se adaptar e a buscar novos alvos.
Neste artigo, exploraremos as táticas atuais empregadas por esses criminosos e apresentaremos uma nova tecnologia web que pode tornar obsoleta uma das principais técnicas de sequestro: o roubo de cookies.
As Novas Frentes dos Golpistas: Foco em Contas Steam
No cenário atual, os golpistas que sequestram canais parecem ter mudado seu foco principal. Em vez de esquemas de criptomoedas, eles estão visando contas da plataforma de jogos Steam, utilizando iscas como sorteios falsos de skins de Counter-Strike.
O método de operação segue um roteiro semelhante ao anterior:
1. **Impersonificação:** O canal sequestrado, agora sob controle do invasor, simula ser um jogador profissional de eSports.
2. **Transmissão Falsa:** Eles gravam uma transmissão recente do jogador e a retransmitem no YouTube.
3. **Chamada para Ação:** Um QR code e um link para um site fraudulento são exibidos durante a transmissão e postados nos comentários, incentivando os espectadores a participarem do sorteio de skins.
Curiosamente, o link clicável fornecido nos comentários não direciona imediatamente ao site do golpe. Em vez disso, ele aponta para uma postagem em uma comunidade de um canal completamente diferente, que, por sua vez, contém o link final para o site fraudulento. Essa postagem da comunidade, embora pareça antiga (com até um mês), é constantemente editada para atualizar o domínio utilizado no golpe, que geralmente é de apenas alguns dias de existência.
A Engenharia Social no Site de Sorteio
Ao acessar o site de golpe, a abordagem difere do antigo modelo de “envie dinheiro e receba o dobro”. Aqui, a isca é a opção de “abrir uma caixa” (open a case).
Os sites são surpreendentemente bem-acabados, apresentando animações polidas para a abertura da caixa. No entanto, a animação e o prêmio falso sorteado são idênticos para todos os usuários. Quando o usuário tenta reivindicar o prêmio, é solicitado que ele faça o “Login com Steam”.
Ao clicar no botão de login, o que parece ser uma nova janela da página de login do Steam Community é exibida. **É crucial notar que esta janela é inteiramente falsa.** Mesmo que o visualizador de endereço simule ser a página oficial do Steam, o usuário permanece no domínio do golpista, visualizando apenas uma caixa que imita uma janela de navegador.
Mesmo que fosse um login genuíno do Steam Community, nunca se deve inserir credenciais nesse contexto. Os golpistas podem explorar permissões concedidas durante o login. No caso específico dessas páginas falsas, eles roubam as credenciais digitadas.
Os sistemas de roubo parecem ser inteligentes o suficiente para detectar se as credenciais inseridas são válidas. Eles provavelmente retransmitem as informações de login para o Steam real para verificação. Se o usuário tiver o Steam Guard ativado, o ladrão intercepta o código de autenticação fornecido.
Portanto, se aparecer um pop-up que parece ser uma tela de login legítima, verifique se é de fato uma janela separada. Neste caso, não era. E, reforçando, mesmo que fosse uma janela separada, não se deve digitar nada, pois existem outras formas de roubo além da senha direta.
A Causa Raiz: Roubo de Cookies
O canal sequestrado provavelmente foi comprometido através da instalação de um vírus do tipo stealer. Este software malicioso vasculha o computador em busca de dados valiosos, como endereços e chaves de carteiras de criptomoedas, e informações ligadas ao navegador. Isso inclui os cookies de sessão de login e até mesmo bancos de dados de gerenciadores de senhas. Se você usa extensões de gerenciamento de senhas, eles tentarão roubar todas as suas credenciais.
O roubo de cookies é particularmente eficaz porque **ignora completamente a autenticação de dois fatores (2FA)**. Essencialmente, ele informa ao navegador que o usuário já está logado. Funciona como a memória que mantém a sessão ativa em sites após você fechar e reabrir o navegador. O malware rouba essa sessão, e é aí que uma nova tecnologia entra em cena.
Device-Bound Credentials: O Futuro Contra o Roubo de Sessão
O padrão web que pode tornar o roubo de cookies uma coisa do passado é chamado de Device-Bound Credentials (Credenciais Vinculadas ao Dispositivo). Essa tecnologia já está em uma fase de teste limitado em navegadores baseados em Chromium, inclusive aparecendo em flags opcionais no Chrome, embora não estejam ativados por padrão.
Como o nome sugere, a utilidade do cookie passa a depender de ele residir no dispositivo físico específico onde foi criado. Isso é feito utilizando módulos TPM (Trusted Platform Module). O TPM é um chip de segurança presente na placa-mãe ou na CPU, similar ao “security enclave” encontrado em telefones, onde chaves privadas são armazenadas fisicamente. É impossível remover dados desse chip; o software pode apenas desafiá-lo, enviando uma solicitação que o chip verifica para confirmar que o acesso ao hardware físico existe.
Em termos práticos: sem o chip físico presente no seu computador, os cookies criados com ele se tornam inúteis. Se você roubar esses cookies e tentar usá-los em outro computador, eles falharão, pois o hardware de segurança necessário não estará lá.
Comparação com App-Bound Credentials
Navegadores baseados em Chromium já possuem um recurso semelhante chamado App-Bound Credentials. Ele dificulta o roubo dos cookies, mas, se o roubo for bem-sucedido, os invasores ainda podem usá-los normalmente.
O Device-Bound Credentials é mais robusto: ele visa tornar o roubo do cookie inútil. Ele usa recursos de segurança integrados no Windows e macOS, garantindo, na teoria, que apenas o processo do Chrome possa acessar esses cookies criptografados. O sistema operacional gerencia o controle de acesso em um nível mais alto, impedindo que um vírus genérico, rodando com privilégios de usuário, acesse os cookies do Chrome.
Embora os criadores de malware possam tentar contornar o App-Bound Credentials ao forçar o usuário a escalar privilégios do vírus, o Device-Bound Credentials é a nova camada de proteção que visa resolver esses problemas.
Status Atual do Device-Bound Credentials
O conceito de Device-Bound Credentials foi recentemente aceito como um padrão web emergente. Embora ainda esteja na fase de rascunho final (próximo, mas não finalizado), espera-se que o rascunho final seja concluído em questão de semanas.
Testes limitados para usuários, chamados de “origin trials“, já começaram. É por isso que é possível ativá-lo manualmente nas flags do Chrome, mas isso não é recomendado ainda. A principal razão é que a maioria dos sites ainda não oferece suporte a essa tecnologia. Para funcionar, é necessário que o site implemente o suporte para Device-Bound Credentials, algo que ainda não aconteceu em larga escala.
As instruções de implementação estão disponíveis, e foi possível fazê-lo funcionar em uma página de demonstração específica em uma versão beta do Chrome. Os desenvolvedores estimam um período de testes de cerca de nove meses: seis meses para o primeiro teste e alguns meses adicionais.
Após mais validação e quando os maiores sites começarem a dar suporte, valerá a pena ativá-lo, mesmo em fase de teste. A expectativa é que a adoção se torne generalizada em breve.
O Que Ainda Resta para os Stealers de Malware?
O surgimento do Device-Bound Credentials tornará o roubo de cookies obsoleto, mas isso não significa que os malware stealers desaparecerão por completo. Eles continuarão a ter incentivo para roubar senhas salvas e dados de carteiras de criptomoedas armazenadas localmente.
Se a transferência de cookies não for mais viável, os golpistas podem tentar o controle remoto do computador. Nesse cenário, a defesa é mais simples: desligar a máquina ou desconectar a internet para interromper o acesso. Contudo, se as senhas já tiverem sido roubadas e não houver 2FA configurada, a única solução será alterá-las em todos os serviços afetados.
Esta tecnologia de credenciais vinculadas ao dispositivo é promissora e será monitorada de perto.
Perguntas Frequentes
- O que são Device-Bound Credentials?
São credenciais de sessão que dependem da presença de um chip de segurança físico (TPM) no dispositivo onde foram criadas, tornando-as inúteis se roubadas e transferidas para outro computador. - Como o roubo de cookies ignora o 2FA?
O roubo de cookies rouba a sessão de login ativa, informando ao navegador que o usuário já está autenticado, ignorando a necessidade de reautenticação com códigos de dois fatores. - É possível ativar o Device-Bound Credentials agora?
Sim, é possível ativá-lo manualmente nas flags do Chrome, mas não é recomendado ainda, pois a maioria dos sites ainda não o suporta. - Qual a diferença entre App-Bound e Device-Bound Credentials?
O App-Bound dificulta o roubo de cookies, mas se roubados eles ainda funcionam; o Device-Bound torna os cookies roubados completamente inúteis, pois eles estão vinculados ao hardware específico do dispositivo. - Os stealers de malware deixarão de existir?
Provavelmente não. Eles continuarão a roubar senhas e dados de carteiras, mas o método específico de roubo de sessão via cookies será mitigado.
