A operadora TIM sofreu um ataque hacker no dia 14 de fevereiro, uma quinta-feira. De acordo com documentos exclusivos recebidos pelo TecMundo, cibercriminosos poderiam se aproveitar de falhas na cibersegurança da empresa para roubar dados pessoais, sensíveis, senhas e perpetuar ataques de spear phishing contra funcionários e clientes da operadora.

A TIM, que foi alertada no dia 15 de fevereiro, enviou um posicionamento sobre o caso, sem muitas explicações, que você acompanha mais abaixo. Os documentos recebidos revelam três ataques diferentes sofridos pela TIM: HTML injection, XSS e XSS com redirect.

Isso tudo acontecendo sobre o site real da TIM. O impacto é enorme, é uma informação crítica

"É possível colocar uma foto na página da TIM se alguém utilizar a URL que eu enviar. Se você mandar esse link para a pessoa, ela realmente vai clicar e vai aparecer a foto, mas isso não alterou o servidor. Só ‘enxerga’ essa alteração quem clicar no meu link”, explica a fonte ao TecMundo. “Imagine um pop-up falso de alerta para todos os funcionários trocarem a senha e adicionarem a senha antiga no pop-up. Isso tudo acontecendo sobre o site real da TIM. O impacto é enorme, é uma informação crítica".

Os domínios envolvidos e mais detalhes não serão revelados, visto que não sabemos se a TIM já realizou a correção do problema e ainda analisa o material recebido no dia 15 de fevereiro

Atualização: a TIM enviou um posicionamento inicial: "A TIM informa que o caso em questão foi analisado e esclarece que os seus sistemas estão protegidos. A empresa reitera seu compromisso com os mais altos padrões de segurança da informação".

Página da TIM

A demonstração dos ataques recebe a assinatura do hacker Krypt0n

Isso significa que clientes e funcionários da TIM poderiam acessar o site oficial da operadora e se deparar com um pop-up falso para roubar informações, dados e senhas. Os ataques decorrentes dessa ação envolvem desde o phishing, para roubar dados de bancos e redes sociais, até o credential stuffing, para roubar logins e senhas corporativas.

Sobram questões não respondidas sobre o ataque: Há quanto tempo essa falha existia? Já foram feitas vítimas? Alguém já vinha usando essa falha para golpes?

TIM

Em miúdos

O XSS (cross-site scripting) e HTML injection são tipos de ataques que enviam comandos maliciosos em páginas na internet. Esses ataques se aproveitam de vulnerabilidades no processo entre a validação de dados recebidos de um usuário e a resposta do servidor de um site.

Cibercriminosos se aproveitam da boa reputação de sites na internet para introduzir códigos que executarão ações maliciosas, como roubar cookies de autenticação dos usuários, credenciais de acesso ou, ainda, direcionar as vítimas para páginas perigosas.

O fato de o usuário achar que está acessando uma página confiável tende a aumentar o potencial desse tipo de golpe

Esses tipos de ataques podem ser persistentes ou não. Quando são persistentes, os cibercriminosos consegue enviar comandos maliciosos para serem executados sempre que um usuário abrir aquele determinado site. Um exemplo bem comum são comentários em uma determinada matéria contendo um código malicioso. Nesse caso, sempre que a notícia for aberta por um usuário, o comentário será carregado junto com o ataque.

No caso do ataque ser não persistente, o cibercriminoso precisa enviar a URL do site vulnerável já com o código malicioso introduzido para as vitimas. O uso de engenharia social é bem comum nesse caso.

"O fato de o usuário achar que está acessando uma página confiável tende a aumentar o potencial desse tipo de golpe, que muitas vezes chega a passar por diversas barreiras de segurança", alerta Emilio Simoni, diretor do dfndr lab, laboratório especializado em segurança digital da PSafe.

Tim

É tudo uma ilusão

Esse golpe que ilude clientes e funcionários a pensarem que estão no site oficial da TIM pode causar outros dois ataques: phishing direcionado e credential stuffing.

O Brasil é o país que mais sofre e cai em golpes de phishing no mundo, título recebido em 2018 de acordo com pesquisa da Kaspersky

Phishing é um dos métodos de ataque mais antigos, já que "metade do trabalho" é enganar o usuário de computador ou smartphone. Como uma "pescaria", o cibercriminoso envia um texto indicando que você ganhou algum prêmio ou dinheiro (ou está devendo algum valor) e, normalmente, um link acompanhante para você resolver a situação. O phishing também pode ser caracterizado como sites falsos que pedem dados de visitantes. A armadilha acontece quando você entra nesse link e insere os seus dados sensíveis — normalmente, há um site falso do banco/ecommerce para ludibriar a vítima —, como nome completo, telefone, CPF e números de contas bancárias.

Quando o phishing é direcionado, o perigo aumenta: o cibercriminoso utiliza informações pessoais que tornam o golpe mais crível, como o local de emprego de uma pessoa.

Já o credential stuffing acontece quando um atacante rouba senhas e emails de outros vazamentos (ou golpes como esse) e força esses logins no site alvo esperando que a vítima não utilize senhas diferentes.

Documentos

Como fazer denúncias ao TecMundo