Jornalistas trabalham em seus telefones e laptops durante uma coletiva de imprensa em Bruxelas, em dezembro. Os hackers estão usando métodos sofisticados de phishing para tentar acessar as contas de repórteres e defensores dos direitos humanos (AFP/Ludovic Marin)
Jornalistas trabalham em seus telefones e laptops durante uma coletiva de imprensa em Bruxelas, em dezembro. Os hackers estão usando métodos sofisticados de phishing para tentar acessar as contas de repórteres e defensores dos direitos humanos (AFP/Ludovic Marin)

Assessoria de Segurança do CPJ: ataques de phishing sofisticados imitam 2FA

O grupo de pesquisa em segurança cibernética CERTFA informou um aumento de ataques sofisticados de phishing contra jornalistas e defensores dos direitos humanos. Esses ataques, que são globais, também têm como alvo indivíduos que usam provedores de e-mail mais robustos ou verificação em duas etapas (2FA) para suas contas de e-mail e mídia social.

A pesquisa da CERTFA – Equipe de Resposta a Emergências de Computadores em Farsi – descobriu que, uma vez obtido acesso à conta de um jornalista, um adversário é capaz de monitorar as comunicações dessa conta em tempo real. O relatório mostrou que os hackers estavam realizando pesquisas com jornalistas anteriormente, o que lhes permitiu adaptar os ataques e torná-los mais difíceis de detectar.

Um relatório da Anistia Internacional também descobriu que os hackers estão comprando nomes de domínio com um endereço Web semelhante aos provedores de serviços de e-mail Tutanota e Protonmail, e criando páginas clone de login. Um jornalista que fizer login em uma dessas páginas falsas terá comprometido seus detalhes de login e terá dado acesso de suas contas aos hackers.

O relatório detalhou como jornalistas que usavam o Yahoo e o Gmail receberam e-mails que aparentavam ser daqueles provedores, afirmando que houve uma tentativa não autorizada de acessar sua conta. O e-mail pedia aos jornalistas para inserir seus detalhes de e-mail e senha, que os hackers puderam verificar em tempo real e enviar uma solicitação falsa de verificação em duas etapas por SMS, por meio do aplicativo autenticador ou por meio de notificações por push. Pelo menos dois grupos diferentes de hackers conseguiram acessar contas e monitorar constantemente as comunicações.

Os jornalistas devem tomar medidas práticas para proteger suas contas e ser extremamente vigilantes para as tentativas de phishing, principalmente se estiverem cobrindo histórias que possam ser de interesse de atores patrocinados pelo Estado. Jornalistas podem minimizar esse risco seguindo as orientações do CPJ que constam abaixo.

Conheça o nome de domínio do serviço que você usa

Os jornalistas devem garantir que saibam o nome de domínio do serviço que estão usando e estejam atentos para a verificação quando entrarem em suas contas. Verifique se há variações na ortografia ou alteração no domínio, como de .org para .net.

Use chaves de segurança em vez de usar o SMS, o aplicativo autenticador ou as notificações por push.

Usar o 2FA é uma maneira importante de ajudar a proteger suas contas contra invasões. Jornalistas preocupados em serem alvo de campanhas sofisticadas de phishing devem usar uma chave de segurança em vez de um alerta de SMS ou der um aplicativo autenticador. Uma chave de segurança, como uma YubiKey, é atualmente a maneira mais segura de proteger suas contas.

Verifique as configurações de segurança de suas contas para obter uma opção para adicionar ‘chaves de segurança’ ou ‘tokens de hardware’ ou ‘Universal 2nd Factor (U2F)’. Leia o nosso guia para usar chaves de segurança.

Verifique cuidadosamente as comunicações recebidas

Os jornalistas que receberem comunicados solicitando que digitem detalhes de senha para suas contas não devem clicar em nada contido na mensagem. Em vez disso, eles devem entrar em sua conta através da página inicial do provedor de serviços.

Se você acredita que sua conta de e-mail foi comprometida e tem acesso ao suporte técnico por meio de uma organização de mídia, entre em contato com eles imediatamente para obter assistência. Se você é um jornalista freelance ou um jornalista que não tem acesso ao suporte técnico, entre em contato com a linha de ajuda do Access Now.

O CPJ está trabalhando junto com nossos parceiros para entender todo o escopo dos ataques de phishing aos jornalistas. Se você recebeu uma mensagem suspeita e acredita que pode ter sido alvo de uma tentativa de phishing, encaminhe a mensagem para phishtank@cpj.org. Esta informação será tratada de forma confidencial.

Para mais informações sobre segurança digital, veja a Nota de Segurança do CPJ sobre Segurança Digital e consulte as informações sobre segurança digital incluídas em nossa Central de Recursos.