Até os melhores de nós podem cair em burlas. Basta olhar para Troy Hunt, o especialista em segurança e criador do site HaveIBeenPwned.com, que foi enganado por um email de phishing. Os atacantes conseguiram roubar a lista de endereços de correio electrónico da newsletter do seu blogue pessoal, comprometendo cerca de 16.000 emails, dos quais cerca de metade pertencem a pessoas que se tinham auto-excluído da lista.
Hunt diz que estava com jet lag e cansado quando leu um email que parecia vir do Mailchimp, o serviço que ele usa para enviar sua newsletter por correio electrónico. A mensagem dava conta que a companhia tinha recebido uma queixa de spam sobre a newsletter do blogue pessoal de Hunt, resultando na restrição dos privilégios de envio. Hunt clicou no link no email. Isto levou-o a uma página onde introduziu as suas credenciais de login, que ele nota que não foram preenchidas automaticamente pela extensão de gestor de palavras-passe 1Password. Ele então introduziu a palavra-passe de uso único e a página bloqueou, ponto em que ele percebeu que tinha sido enganado.
Hunt fez login no site oficial do Mailchimp para mudar a palavra-passe, mas foi tarde demais – recebeu um alerta que a lista de endereços de correio electrónico estava a ser exportada através de um endereço IP com localização em Nova Iorque. Houve também um alerta de login do mesmo IP. Estas burlas são automatizadas, pelo que os processos ocorrem antes que as vítimas consigam mudar as credenciais de login.
Dos 16.000 endereços de email roubados pelo hacker, 7.535 pertenciam a pessoas que se tinham auto-excluído da lista de correio electrónico. Hunt disse que não sabia a razão pela qual o Mailchimp mantinha os dados dos utilizadores excluídos e que ia verificar se era um problema de configuração da sua parte.
A única consolação para Hunt é que o ataque não afectou o site HaveIBeenPwned, onde pode introduzir o endereço de email para ver se os seus dados foram roubados, incluindo a violação da lista do Mailchimp de Hunt.
A maioria nunca clicaria num link de email, e Hunt enfatizou que evitou “milhões de phishes semelhantes antes”, mas o Australiano diz que estava exausto depois de uma viagem para Londres quando leu a mensagem. Ele acrescentou que o email criou uma sensação de urgência que não era demasiado suspeita, mas suficiente para justificar uma resposta rápida.
“O cansaço foi um factor importante. Eu não estava suficientemente alerta, e não pensei devidamente no que estava a fazer”, escreveu no seu próprio blogue. “O atacante não tinha como saber disso (não tenho nenhuma razão para suspeitar que isto foi direccionado especificamente para mim), mas todos nós temos momentos de fraqueza e se o phish coincidir perfeitamente com isso, bem, aqui estamos nós.”
Hunt também notou que o ataque ilustrou como alguns métodos de autenticação de dois factores não são garantia de que não será pirateado. Ele diz que é completamente inútil contra um ataque de phishing automatizado que pode retransmitir o OTP assim que é introduzido.
Hunt disse que está agora a alertar os utilizadores afectados por email. Entretanto, o domínio usado para alojar o website falso foi bloqueado pela Cloudflare.