Vários utilizadores do Instagram perderam o acesso aos seus perfis de grande valor após piratas informáticos terem conseguido enganar as ferramentas de suporte da plataforma. O sistema falhou ao não conseguir distinguir entre rostos reais e vídeos gerados artificialmente, deixando as vítimas numa situação muito complicada para reaver a sua informação.
Conforme as queixas tornadas públicas pela investigadora Jane Manchun Wong, pelo responsável da conta Korn e por outros afetados, a Meta manteve as vítimas presas em ciclos automáticos com assistentes virtuais incapazes de resolver o problema, agravado pela ausência total de opções para escalar o caso para um agente humano de suporte.
O método usado para contornar a segurança
A mecânica por trás deste roubo revelou-se surpreendentemente simples de executar. O processo arranca quando o atacante ativa o protocolo de esquecimento de palavra-passe na rede social. A assistência automatizada pede então uma verificação facial com uma "selfie" para confirmar a identidade do proprietário. É neste passo que a fraude acontece: os atacantes recolhem uma simples fotografia da vítima, utilizam geradores externos de vídeo para transformá-la numa animação convincente e enviam o resultado para os sistemas da empresa.
O mecanismo automatizado aceita o conteúdo gerado por computador como se fosse o rosto real do utilizador. Isto permite alterar imediatamente o endereço de correio eletrónico associado ao perfil, redefinir a palavra-passe e ganhar o controlo absoluto. Durante a operação, as proteções nativas de autenticação de dois fatores são contornadas com facilidade. Para garantir que tudo parece normal nos registos de segurança, os piratas utilizam redes privadas virtuais que simulam a localização geográfica habitual da vítima.
Contas raras na mira e o pesadelo da recuperação
Os alvos deste esquema não foram perfis comuns. Entre os visados encontram-se contas de elevado prestígio, incluindo um perfil anteriormente utilizado pela equipa de Barack Obama na Casa Branca e identidades raras constituídas por uma única letra. Estas últimas têm um valor avultado no mercado negro, sendo frequentemente transacionadas por dezenas de milhares de euros.
A verdadeira dor de cabeça começa na tentativa de recuperar os acessos usurpados. Um dos utilizadores revelou ter passado longas horas a tentar encontrar ajuda humana, deparando-se apenas com respostas geradas pelo computador que devolviam atalhos e páginas com erros. As vítimas acabaram encurraladas num sistema impenetrável onde um bot autoriza o roubo, mas outro é totalmente incapaz de corrigir o cenário e devolver a propriedade original.
Entretanto, o vice-presidente de comunicações da dona da plataforma, Andy Stone, respondeu nas redes sociais a um dos utilizadores prejudicados, afirmando que o problema se encontra resolvido e que a segurança das contas impactadas já está a ser assegurada internamente.
Nenhum comentário
Seja o primeiro!