Esta história verídica e aconteceu comigo. Sua relevância para os ataques cibernéticos modernos é importante porque, em virtude de uma falha de hardware, comecei a me envolver com um agente de ameaças até que ele vacilou e eu percebi o golpe.
Bom, mas como tudo isso aconteceu? Vamos começar com algum contexto.
Eu estava com minha esposa e vários colegas de trabalho participando de um evento que acontece anualmente, o “Presidents Club”, em que os destaques em vendas são reconhecidos e premiados. Esse tipo de evento é bastante comum nas organizações e recebe vendedores do mundo todo.
Durante um tarde, fomos a um passeio. Depois de passar algumas horas nas lojas, percebi que meu telefone havia parado de funcionar. O celular não fazia mais o reconhecimento facial e a tela ficou completamente sem resposta. Eu não tinha como desbloquear o telefone nem desligá-lo. Resolvi então reiniciá-lo manualmente.
Depois de reiniciá-lo, ele não saia da tela inicial, e eu só conseguia ver as notificações. Entretanto, eu não tinha nenhum tipo de interação. Foi aí que a diversão começou. Um telefone quebrado com apenas um nome e as duas primeiras linhas de um email visíveis na tela inicial.
Agora, avancemos alguns dias. Enquanto tomava o café da manhã no resort, meu celular vibrou. Nem sei porque eu estava com o celular naquele momento, mas é o vício de não deixar o aparelho no quarto do hotel.
Depois de uma rápida olhada, notei uma mensagem supostamente do meu CEO perguntando se eu tinha tempo naquele dia para uma conferência. Foi tudo que eu pude ler na tela; não consegui ver o endereço de e-mail do rememente, assinatura nem qualquer outro texto.
Voltei para o meu quarto e liguei meu laptop. Abri o e-mail e respondi apenas a mensagem, pedindo detalhes. Assim começou minha interação com o ator de ameaças.
Para confirmar o e-mail, enviei um SMS para o meu CEO, perguntando se ele realmente havia enviado o e-mail, já que ele era o remetente (o endereço do e-mail era particular). Como eu não conhecia seus e-mails particulares, achei que era legítimo porque tinha seu nome, cargo e o domínio era de um provedor local perto de sua residência. Eu estava bem ressabiado, mas precisava confirmar se era ele ou não.
Depois de uns 30 minutos, recebi uma resposta do agente de ameaça e soube imediatamente que era um ataque de phishing.

O pedido dos vale presentes foi ineficaz.
Pouco tempo depois, recebi uma confirmação do meu CEO que ele havia enviado o e-mail, nem aquele endereço de e-mail era dele. O cibercriminoso criou uma conta fictícia para meu CEO, sabia onde ele morava e identificou meu nome e cargo para o ataque de phishing. Isso mostra até que nível de detalhes um hacker é capaz para realizar um ataque. Além disso, depois que recebi o e-mail de phishing e deixei de responder, recebi vários outros tentando me atrair de volta para o esquema. Isso incluía desde “Você recebeu meu último e-mail? Preciso urgentemente de uma confirmação ”para me endereçar pelo nome e pedir-me a confirmação de que eu poderia ajudar.
Em suma, foi uma tentativa simples de phishing que foi evitada. No entanto, a falha do hardware criou um cenário mais difícil para eu gerenciar, dificultando minha percepção de fraude.
Essa minha história de cibersegurança serve como um aviso para todos: qualquer um pode ser alvo de um ataque cibernético. Considerações ambientais e tecnológicas podem dificultar a identificação da ameaça; especialmente quando um e-mail de phishing e uma simples falha de hardware acontecem ao mesmo tempo.
Se você tiver alguma dúvida sobre a legitimidade de um e-mail, verifique sua origem e procure por pistas no conteúdo. Nossa desconfiança em relação às comunicações (como e-mail e mensagens de texto) se torna cada vez mais importante à medida que os golpistas virtuais continuam criando maneiras inteligentes para extrair informações relevantes, inclusive imitando os estilos de conversas de amigos, colegas de trabalho, e conhecidos.
Embora minha história seja trivial em comparação a muitas outras, ela me ensinou uma lição que gostaria de instigar a todos: nunca confie em informações parciais, como a tela de notificações de um telefone celular, para determinar uma ameaça. Avaliações adequadas de um email, por exemplo, contendo um esquema de phishing, exigem uma inspeção minuciosa para comprovar o risco. E, lembre-se de ficar calmo; nenhum email precisa de uma resposta imediata, especialmente no fim de semana. Se alguma coisa é urgente, passe a mão no telefone para ver o que realmente está acontecendo.

Morey J. Haber, Chief Technology Officer, BeyondTrust
With more than 20 years of IT industry experience and author of Privileged Attack Vectors, Mr. Haber joined BeyondTrust in 2012 as a part of the eEye Digital Security acquisition. He currently oversees BeyondTrust technology for both vulnerability and privileged access management solutions. In 2004, Mr. Haber joined eEye as the Director of Security Engineering and was responsible for strategic business discussions and vulnerability management architectures in Fortune 500 clients. Prior to eEye, he was a Development Manager for Computer Associates, Inc. (CA), responsible for new product beta cycles and named customer accounts. Mr. Haber began his career as a Reliability and Maintainability Engineer for a government contractor building flight and training simulators. He earned a Bachelors of Science in Electrical Engineering from the State University of New York at Stony Brook.