Como muitos aspectos obscuros do mundo do crime cibernético, a ameaça interna é algo com que pouquíssimas pessoas têm experiência.
E ainda menos delas querem falar sobre isso. Abaixo um relato real de um jornalista da BBC especialista em cibersegurança sobre o ocorrido.
No entanto, vivi uma situação única e preocupante que mostrou como hackers podem usar insiders a seu favor, recentemente, fui abordado por um grupo criminoso.
“Se você estiver interessado, podemos oferecer 15% de qualquer pagamento de resgate se nos der acesso ao seu PC.” Foi essa a mensagem que recebi do nada, em julho, no app de mensagens criptografadas Signal, enviada por alguém que se identificava como Syndicate.
Eu não fazia ideia de quem era essa pessoa, mas entendi imediatamente do que se tratava.
Estavam me oferecendo uma parte de uma quantia potencialmente alta para ajudar criminosos cibernéticos a acessar os sistemas da BBC por meio do meu laptop.
Eles planejavam roubar dados ou instalar malware e depois exigir um resgate — e eu receberia secretamente minha parte.
Já tinha ouvido histórias semelhantes.
Poucos dias antes, notícias do Brasil revelaram que um funcionário de TI havia sido preso por vender suas credenciais de acesso para hackers.
A polícia estima que isso provocou uma perda de 100 milhões de dólares para uma instituição bancária.
Decidi responder a Syndicate, depois de consultar um editor sênior da BBC.
Queria entender melhor como esses criminosos fecham acordos com funcionários potencialmente traiçoeiros, especialmente em um momento em que ataques cibernéticos se tornam cada vez mais severos e disruptivos para o cotidiano.
No diálogo, Syndicate explicou que, se eu entregasse minhas credenciais de acesso e códigos de segurança, eles invadiriam a BBC e exigiriam um resgate em bitcoin.
Eu receberia uma fatia do pagamento.
Para persuadir, aumentaram a oferta:
“Não sabemos quanto a BBC paga você, mas e se você ficasse com 25% da negociação final, enquanto levamos 1% da receita total da BBC? Você nunca precisaria trabalhar de novo.” Eles estimavam que o valor do resgate poderia chegar a dezenas de milhões caso conseguissem infiltrar a organização.
A BBC não se posicionou publicamente sobre a possibilidade de pagar resgates a hackers, mas a orientação da National Crime Agency do Reino Unido é não ceder a essas exigências.
Ainda assim, os criminosos continuaram a insistir.
Syndicate afirmou que eu poderia ganhar milhões e garantiu: “Apagaremos este chat para que você nunca seja encontrado.” Ele disse que o grupo, chamado Medusa, já teve bastante sucesso fechando acordos com insiders em ataques anteriores.
Citou dois exemplos recentes de vítimas: uma empresa britânica de saúde e um provedor de serviços emergenciais nos Estados Unidos.
“Você se surpreenderia com a quantidade de funcionários dispostos a nos dar acesso”, comentou.
Syn, como também se identificou, disse ser o “gerente de alcance” do grupo.
Alegou ser ocidental e o único falante de inglês no grupo.
A Medusa opera como um ransomware-as-a-service, ou seja, qualquer criminoso afiliado pode usar sua plataforma para atacar organizações.
Um relatório da empresa de cibersegurança CheckPoint aponta que os administradores da Medusa provavelmente atuam na Rússia ou em países aliados.
O grupo evita mirar em organizações russas ou pertencentes à Comunidade dos Estados Independentes e costuma promover suas atividades em fóruns do dark web em russo.
Syn enviou um link para um alerta público dos EUA sobre a Medusa, publicado em março.
Lá, autoridades americanas dizem que, em quatro anos de atividade, o grupo já hackeou “mais de 300 vítimas”.
Eles estavam sérios em fechar o acordo para vender secretamente as “chaves” do reino da minha empresa, em troca de um grande pagamento.
No entanto, como nunca sabemos de verdade com quem estamos falando, pedi uma prova.
“Você pode ser crianças brincando ou alguém tentando me armar uma cilada”, sugeri.
A resposta veio rápida: um link para o endereço da Medusa na darknet e um convite para contato via Tox, um serviço de mensagens seguro muito usado por criminosos.
Syn começou a pressionar para fechar o negócio.
Mandou o link da página de recrutamento da Medusa em um fórum exclusivo de crime cibernético, me incentivando a garantir um adiantamento de 0,5 bitcoin (aproximadamente 55 mil dólares).
Era uma garantia mínima para quando eu entregasse minhas credenciais.
“Nós não estamos brincando ou blefando — não temos interesse na mídia, apenas no dinheiro.
Um dos nossos principais gerentes pediu para eu falar com você.”
Eles aparentemente me escolheram por imaginarem que eu tinha conhecimento técnico e acesso privilegiado aos sistemas de TI da BBC.
Na verdade, não tenho.
Também não tenho certeza se Syn sabia que sou jornalista especializado em cibersegurança, e não funcionário de TI.
Fizeram várias perguntas sobre a rede interna da BBC que nem responderia se soubesse.
Em seguida, enviaram um código complexo para que eu executasse no meu laptop do trabalho e retornasse com o resultado.
Queriam mapear quais acessos eu tinha para planejar os próximos passos da invasão.
Depois de três dias de conversa, resolvi que já havia ido longe demais e precisava de ajuda dos especialistas em segurança da informação da BBC.
Era domingo de manhã, e meu plano era falar com eles na segunda.
Para ganhar tempo, comecei a enrolar.
Syn ficou impaciente.
“Quando você pode fazer isso? Não sou uma pessoa paciente.”, pressionou.
“Quer mesmo viver numa praia nas Bahamas?” queria me convencer.
Estipularam um prazo para a meia-noite de segunda-feira.
Quando se passaram horas sem resposta, perderam a paciência.
Meu telefone começou a disparar notificações de autenticação em dois fatores (MFA).
Pop-ups do app de segurança da BBC pedindo para confirmar tentativas de login na minha conta.
O alerta surgia a cada minuto, uma técnica conhecida como MFA bombing.
Essa tática de ataque consiste em bombardear a vítima com notificações, na esperança de que ela acabe autorizando uma tentativa de acesso — seja por distração ou para interromper o incômodo.
Foi assim que a Uber foi hackeada em 2022.
Receber isso foi angustiante.
A conversa, antes relativamente profissional pelo app de chat, agora invadia meu celular de forma agressiva, como se os criminosos estivessem batendo com força na minha porta.
Confuso com a mudança de abordagem, tinha medo de abrir o chat para não clicar acidentalmente em “aceitar”.
Isso teria dado acesso imediato à minha conta na BBC, pois o sistema de segurança entenderia o login como legítimo.
Com acesso, os hackers poderiam buscar contatos em sistemas sensíveis ou críticos da BBC.
Embora, como jornalista, não tenha acesso avançado, o episódio foi assustador e deixou meu celular praticamente inutilizável.
Entrei em contato com o time de segurança da BBC e, por precaução, combinamos que eu ficaria totalmente desconectado da rede da instituição.
Sem e-mails, intranet, ferramentas internas ou privilégios.
Mais tarde, recebi uma mensagem surpreendentemente calma dos hackers:
“A equipe pede desculpas. Estávamos testando sua página de login da BBC e lamentamos muito se causamos algum problema.” Expliquei que estava bloqueado e irritado.
Syn reafirmou que o acordo ainda valia se eu quisesse.
Depois que não respondi por alguns dias, a conta no Signal foi excluída e eles desapareceram.
Fui reativado nos sistemas da BBC, com camadas extras de proteção na minha conta — e também com a experiência de ter vivido, na pele, um ataque envolvendo uma ameaça interna.
Essa foi uma visão assustadora das táticas sempre em evolução dos criminosos cibernéticos.
E revelou um risco que eu não tinha realmente dimensionado, até ser diretamente alvo.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...