Em um relatório publicado em 18 de setembro, o Citizen Lab informou ter detectado o Pegasus, spyware criado para dispositivos móveis, em mais de 45 países. O Pegasus, que transforma um celular em uma estação de vigilância móvel, poderia ter sido implantado contra uma série de jornalistas e protagonistas da sociedade civil no México, Arábia Saudita, Bahrein, Marrocos, Togo, Israel, EUA e Emirados Árabes Unidos, apontou o documento.
Pesquisadores identificaram anteriormente uma série de grandes campanhas do Pegasus, incluindo uma contra jornalistas investigativos no México, e outra contra defensores dos direitos humanos na Arábia Saudita. A presença do spyware em 45 países traz implicações significativas para os jornalistas, tanto em termos de segurança pessoal quanto de segurança de suas fontes.
O spyware permite que o invasor monitore, registre e colete dados existentes e futuros do telefone. Isso inclui chamadas e informações de aplicativos de mensagens e dados de localização em tempo real. O spyware é capaz de ativar remotamente a câmera e o microfone para vigiar o alvo e o ambiente ao redor.
O Pegasus foi projetado para ser instalado em telefones que executem o Android, o BlackBerry OS e o iOS sem alertar o alvo de sua presença. Os jornalistas provavelmente só saberão que o telefone foi infectado se o dispositivo for inspecionado por um especialista em tecnologia.
O Pegasus pode ser instalado de várias maneiras. Os jornalistas devem estar cientes desses métodos e tomar as medidas apropriadas para protegê-los e a suas fontes.
Ataques de phishing:
Os invasores criam mensagens personalizadas que são enviadas para um jornalista específico. Essas mensagens transmitem um senso de urgência e contêm um link ou um documento no qual o jornalista é incentivado a clicar. As mensagens vêm em uma variedade de formas, incluindo SMS, e-mail, através de aplicativos de mensagens como o WhatsApp ou através de mensagens em plataformas de mídia social. Assim que o jornalista clica no link, o spyware é instalado no telefone.
Uma pesquisa do Citizen Lab e da Anistia Internacional descobriu que as mensagens tendem a assumir as seguintes formas:
• Mensagens que pretendem ser de uma organização conhecida, como uma embaixada ou uma organização de notícias local
• Mensagens que avisam que o alvo pode estar enfrentando uma ameaça imediata à segurança
• Mensagens que levantam qualquer questão relacionada ao trabalho, como cobrir um evento que o alvo geralmente reporta
• Mensagens que fazem apelos a assuntos pessoais, como aquelas relacionados a comprometer fotos de parceiros
• Mensagens financeiras que fazem referência a compras, cartões de crédito ou detalhes bancários
As mensagens suspeitas também podem chegar de números desconhecidos.
Os invasores podem segmentar telefones pessoais e comerciais. Para melhor se proteger e a suas fontes, os jornalistas devem:
• Verificar o link com o remetente através de um canal diferente de comunicação. Isso deve ser feito preferencialmente através de vídeo ou voz
• Se o remetente não for previamente conhecido por você, os canais secundários podem não fornecer uma verificação bem-sucedida dos links, pois os canais secundários podem ser configurados pelo adversário como parte de uma identidade de capa elaborada.
• Se o link utilizar um serviço de encurtamento de URL como TinyURL ou Bitly, insira o link em um serviço de expansor de URL, como Link Expander ou URLEX. Se o link expandido parecer suspeito, por exemplo, imitando um site de notícias local, mas não sendo o mesmo, não clique nele e encaminhe-o para phishtank@cpj.org
• Se achar que precisa abrir o link, não use o dispositivo principal. Abra-o em um aparelho secundário separado que não tenha informações confidenciais ou detalhes de contato e seja usado somente para exibir links. Execute uma reinicialização de fábrica no dispositivo regularmente (tendo em mente que isso pode não remover o spyware). Mantenha o aparelho secundário desligado, com a bateria removida, quando não estiver em uso
• Use um navegador que não seja o padrão para o telefone. Acredita-se que o Pegasus segmente navegadores padrão. O navegador padrão para Android é o Chrome e o navegador padrão para iOS é o Safari. Use um navegador alternativo como o Firefox Focus e abra o link nele. No entanto, não há garantia de que a Pegasus não consiga ou já não tenha visado outros navegadores
Fisicamente instalado por um oponente
O Pegasus também pode ser instalado no seu telefone se um adversário obtiver acesso físico ao dispositivo. Para reduzir o risco:
• Não deixe seu aparelho sem supervisão e evite passar o telefone para outras pessoas
• Ao cruzar uma fronteira ou posto de controle, verifique se você consegue ver o seu aparelho todo o tempo. Desligue o telefone antes de chegar ao ponto de checagem e tenha uma senha complexa composta de letras e números. Esteja ciente que, se o seu telefone for usado, o dispositivo pode estar comprometido
Se você acredita que seu telefone está infectado pelo Pegasus, pare imediatamente de usá-lo e compre outro. Você deve deixar o dispositivo suspeito em um local que não comprometa você ou seu ambiente. Se você tiver acesso ao suporte técnico por meio de uma organização de mídia, entre em contato com eles imediatamente para obter assistência. Se você é um jornalista freelance ou que não tem acesso ao suporte técnico, entre em contato com Access Now Helpline.
O CPJ está trabalhando ao lado de nossos parceiros para entender todo o escopo da ameaça que o Pegasus representa para os jornalistas. Se você recebeu uma mensagem suspeita e acredita que pode ter sido alvo da Pegasus, encaminhe-a para phishtank@cpj.org. Esta informação será tratada de forma confidencial.
Para obter mais informações sobre segurança tecnológica, incentivamos os jornalistas a analisar o capítulo sobre segurança tecnológica do Manual de Segurança do CPJ e ver as informações sobre segurança digital incluídas em nossa Central de Recursos.
Com agradecimentos ao Citizen Lab pelas valiosas informações.