O que é Spoofing? Técnica foi usada para hackear Sergio Moro, diz polícia

Operação da Polícia Federal prendeu acusados de hackear o celular do ministro Sergio Moro; entenda a suposta técnica utilizada e saiba se proteger.

Spoofing é uma técnica usada por hackers para falsificar a identidade de alguém em meios digitais e distribuir vírus ou interceptar informações legítimas, como dados bancários e mensagens pessoais. O recurso é muito utilizado no Brasil como método de engenharia social em golpes de roubo de WhatsApp, em que o criminoso se apodera da conta de alguém para enviar mensagens em nome dela pedindo dinheiro para seus contatos.

Fabio Rodrigues Pozzebom - Arquivo Agência Brasil

Dúvidas sobre esse tipo de ataque vieram à tona na última terça-feira (23), momentos depois que a Polícia Federal deflagrou a operação “Spoofing” para desarticular uma organização criminosa acusada de crimes cibernéticos nas cidades de São Paulo, Araraquara e Ribeirão Preto. Segundo apuração da TV Globo, a ação da PF faz parte do inquérito que investiga a suposta invasão do celular do Ministro da Justiça, Sérgio Moro. Mensagens trocadas pelo ex-juiz no Telegram têm sido publicadas pelo The Intercept Brasil e outros veículos desde o dia 9 de junho, mas a investigação ainda não estabeleceu relação entre o site jornalístico e os supostos hackers. Entenda o que quer dizer spoofing e como se proteger.

Tipos de spoofing

O termo vem de “spoof”, que significa “enganar” em inglês. Spoofing é toda técnica usada por hackers para enganar pessoas ou redes por meio de uma espécie de falsificação de identidade da vítima ou dos aparelhos que ela possui. Em alguns casos, o spoofing pode ser usado apenas para liberar um aplicativo bloqueado na localização real do usuário ou para "trapacear" em um jogo de celular – o chamado spoofing de GPS. No começo da febre do Pokémon Go, usuários lançaram mão desse recurso para burlar as regras do game.

Os tipos de spoofing mais relacionados com crimes virtuais costumam ser: de e-mail, de site, de Identificador de Chamada (Caller ID), de IP e de SMS. Entenda as principais características de cada tipo.

Spoofing de e-mail: se dá quando um hacker cria um e-mail falso na tentativa de imitar o endereço real de alguém. O objetivo é trocar mensagens com contatos da vítima sem fazer elas perceberem que não estão falando com o usuário legítimo. Esse tipo de ataque costuma ser simples de detectar porque pode ser identificado com um olhar atento ao endereço de e-mail do remetente.

Spoofing de Identificador de Chamadas (Caller ID): essa modalidade de ataque envolve a imitação de uma linha telefônica. Nesses casos, um hacker pode fazer ligações usando um chip qualquer e fazer com que o número da vítima apareça no identificador de chamadas no smartphone do destinatário.

Spoofing de SMS: esse tipo de falsificação envolve a ocultação da linha telefônica que remete uma mensagem. A técnica não, necessariamente, está relacionada a crimes: serviços de torpedo online das próprias operadoras lançam mão desse artifício para que uma mensagem enviada pelo computador chegue ao celular do destinatário exibindo o número correto da linha do remetente. Por outro lado, um hacker pode usar essa modalidade de spoofing para se passar por instituição bancária e pedir informações sigilosas por mensagem.

Spoofing de site: esse tipo de golpe envolve a criação de uma página falsa para enganar vítimas e atrair cliques. Em geral, ataques do tipo estão relacionados à falsificação de sites bancários ou de lojas online com o objetivo de encorajar consumidores a digitarem seus dados de cartão de crédito, por exemplo. A falsificação não afeta o site original. Comumente, vem acompanhada de spoofing de e-mail ou outro tipo de truque de engenharia social para estimular usuários a visitarem o site fake.

Spoofing de IP: esse tipo de falsificação digital envolve a ocultação do local de origem de um determinado IP para enganar sistemas e praticar crimes cibernéticos. Em ataques DDoS, um hacker usa spoofing de IP para impedir que um servidor que ele deseja derrubar bloqueie requisições automaticamente. Recentemente, um programador usou uma técnica parecida para revelar uma falha de segurança no Instagram – ele ganhou um prêmio do Facebook pela descoberta.

O Spoofing é comumente confundido com outro tipo de golpe, o Phishing. Embora sejam parecidos na forma de enganar a vítima, cada um tem uma finalidade específica. O phishing, geralmente, usa a aparência de uma organização conhecida, como de bancos, por exemplo, e pede para que a vítima entregue informações confidenciais, como senhas e números de cartão. Já no caso do Spoofing, o invasor rouba a identidade da vítima e se passa por ela a fim de conseguir informações.

Spoofing no Telegram

O Telegram, assim como qualquer serviço online, pode ser alvo de algum tipo de spoofing como ferramenta de ataque. Em 2016, a firma italiana de segurança digital InTheCyber divulgou um vídeo que demonstrava o uso de spoofing de identificador de chamadas para fazer login na conta da vítima em outro celular. O método envolve imitar a linha telefônica da vítima para obter o código de confirmação enviado pelo aplicativo – o Telegram oferece, até hoje, opção de receber o código de autenticação por meio de ligação.

O truque envolve solicitar o código do Telegram via SMS, aguardar o tempo de expiração e solicitar uma chamada telefônica com o código. Com um celular em mãos imitando o identificador de chamada da vítima, o criminoso pode ligar para o correio de voz da operadora e ouvir o código enviado pelo Telegram que ficou gravado como recado de voz. Para não levantar suspeitas, o celular da vítima deve estar offline durante o procedimento.

Se a técnica foi usada para obter acesso ao Telegram de Sérgio Moro, seu celular não precisaria, necessariamente, ter sido invadido. Afinal, o spoofing permitiria fazer login na conta do ministro em outro smartphone ou computador e, assim, dar acesso ao histórico de mensagens. Moro, assim como o procurador Deltan Dallagnol e outros membros da Lava Jato, dizem ter tido os celulares invadidos. A Polícia Federal não divulgou mais informações sobre a operação, pois a investigação ainda está em curso.

Como se proteger

A proteção contra o spoofing varia conforme o tipo. Na maioria deles, é possível evitar problemas prestando muita atenção nos endereços de e-mail com ofertas tentadoras, assim como nos números de telefone que enviam SMS com links suspeitos. O mesmo vale para spoofing de website: é importante reparar nos detalhes de sites bancários e lojas para ter certeza de que se trata da página legítima.

Em casos que envolvem a falsificação da linha telefônica, é possível criar camadas de proteção com verificação em duas etapas para manter a segurança de aplicativos. Ao criar senhas extras para WhatsApp e Telegram, um eventual invasor não poderá acessar seu histórico de mensagens mesmo que consiga o código de confirmação enviado pela empresa via SMS ou ligação.