O aumento das impressões digitais em mercados subterrâneos

As impressões digitais são fatias exclusivas de informações relacionadas aos componentes de software e hardware de cada dispositivo, além das características distintivas do usuário. A impressão digital do dispositivo reúne informações sobre um computador para identificar um usuário individual, considerando-o um ativo digital.

As impressões digitais de um dispositivo incluem:

• Endereço IP (externo e local),
• Informações da tela (resolução da tela, tamanho da janela),
• Versão do firmware,
• Versão do sistema operacional,
• Plugins de navegador instalados,
• Fuso horário,
• ID do dispositivo,
• Informações sobre a bateria,
• Impressão digital do sistema de áudio,
• Informações da GPU,
• IPs WebRTC,
• Impressão digital TCP/IP,
• Análise passiva de SSL/TLS,
• Cookies e muito mais.

As impressões digitais também incluem os seguintes atributos de usuários individuais; suas contas de redes sociais (rastreamento de cookies de terceiros) e vários aspectos de seu comportamento:

• Tempo gasto em sites de comércio eletrônico
• Locais de cliques no site
• Itens de interesse, a quantia típica de dinheiro gasto com esses itens, mercadorias virtuais ou reais, etc.
• Comportamento do mouse/tela sensível ao toque
• Alterações na configuração do sistema

O mercado clandestino oferece identidades digitais

O SIRUS Shop é um mercado privado de cibercriminosos on-line que comercializa impressões digitais roubadas. Esse novo mercado clandestino russo — SIRIUS Shop Online — vende dezenas de milhares de impressões digitais comprometidas, permitindo que os agentes de ameaças cometam fraudes on-line. No momento, ele oferece mais de 20 mil perfis roubados. Esses perfis incluem impressões digitais do navegador, logins e senhas de usuários do site, cookies e informações de cartão de crédito. O preço desses perfis varia de $1 a $27 — depende muito do valor das informações no perfil. A SIRIUS está ativa desde junho de 2020 e também ajuda os vendedores a montar sua própria loja no mercado. Eles anunciam a disponibilidade dessas impressões digitais em um de seus fóruns clandestinos de cardagem.

A SIRIUS Shop vende:

• Detalhes do cartão de crédito
• Lixeira
• SSN
• ID de digitalização, DL
• Lotes não estão cheios
• CONCHA
• Painel de CRM
• Painel CMS
• Bancos de dados de e-mails e senhas

Despejos de perfil de bot

Os operadores do SIRIUS Shop entregam malware para roubar impressões digitais dos dispositivos do usuário e outras informações, como credenciais da conta do usuário, cookies do navegador de portais de pagamento on-line, lojas e até contas bancárias. Esses ativos digitais são então vendidos no fórum clandestino.

Os usuários que foram infectados com malware no passado ou que instalaram extensões de navegador desonestas tiveram, sem saber, as senhas de suas contas e os detalhes completos do navegador registrados e, em seguida, enviados aos operadores da SIRIUS. Em alguns casos, eles também adquirem informações por meio de injeções na web, captadores de formulários e senhas salvas em navegadores. Os operadores buscam mais desses dados e atualizações relacionadas aos dados, que são então enviados para sua loja online subterrânea.

Cada perfil de usuário inclui credenciais de login para suas contas em portais de pagamento on-line, serviços bancários eletrônicos, compartilhamento de arquivos ou serviços de redes sociais. Também inclui os cookies associados a essas contas, detalhes do agente do usuário do navegador, assinaturas WebGL, impressões digitais em HTML5 Canvas e outros detalhes do navegador e do PC.

Os perfis de usuário são então importados para o SIRIUS Shope, onde são indexados; os cibercriminosos então realizam uma pesquisa fácil por parâmetro para encontrar os tipos de perfis nos quais estão interessados.

A SIRIUS Store tem um painel de pesquisa configurável que permite que os agentes de ameaças rastreiem as impressões digitais específicas do usuário. Pode-se pesquisar credenciais em um site específico, no país da vítima, no sistema operacional e na data em que o perfil apareceu pela primeira vez no mercado.

Esses registros oferecem margem de manobra aos agentes de ameaças e facilitam as fraudes com cartões de crédito. O mercado vende identidades digitais junto com credenciais roubadas para lojas on-line e serviços de pagamento que foram expostos anteriormente. Qualquer pessoa que obtenha esses ativos digitais os lança por meio de um navegador e uma conexão proxy para se disfarçar de usuário real e cometer fraudes sem serem detectadas. Ao fazer isso, o atacante pode acessar as contas on-line da vítima ou fazer novas transações confiáveis em seu nome. Suas contas de mídia social também são suscetíveis.

Medidas preventivas

Para proprietários de sites

• Instalar um certificado SSL

Os dados são transferidos constantemente entre o navegador do usuário e seu servidor web. Sem um certificado SSL, esses dados (cookies) são enviados em formato de texto não criptografado. Permitindo assim que um hacker intercepte facilmente o texto simples. Assim, as credenciais de login e outras informações confidenciais nos dados ficam expostas.

O SSL (Secure Sockets Layer) criptografa os dados antes de serem transferidos. Portanto, mesmo que um hacker consiga roubá-lo, ele não conseguirá ler os dados. Você pode obter um certificado SSL por meio de sua empresa de hospedagem na web ou de um provedor de SSL. Você também pode obter um certificado SSL básico gratuito do Let's Encrypt.

• Instale um plug-in de segurança

O firewall de um plug-in de segurança geralmente evita tentativas de hackear seu site e bloqueia endereços IP maliciosos. Além disso, ele escaneia seu site regularmente e alerta você se hackers tentarem inserir códigos maliciosos. Nesse caso, você pode limpar seu site instantaneamente. Isso ajudará você a detectar e excluir essas tentativas antes que elas possam causar algum dano.

• Atualize seu site

Atualize seu site regularmente, incluindo a instalação, os temas e os plug-ins. Um software desatualizado pode criar pontos vulneráveis em um site, o que, por sua vez, atrai hackers. Verifique as atualizações mais recentes do fornecedor. Essas atualizações trazem novos recursos, solucionam bugs no site e também corrigem falhas de segurança de tempos em tempos.

Para visitantes do site

• Instale um antivírus eficaz

Verifique se o dispositivo que você está usando para acessar a Internet tem um software antimalware instalado. Ele detecta e alerta você sobre qualquer malware encontrado em sites maliciosos. Ele também remove qualquer malware que você possa baixar ou instalar acidentalmente em seu sistema.

• Nunca clique em links suspeitos

Evite clicar em links suspeitos e tenha especial cuidado com aqueles que anunciam ofertas ou descontos atraentes.

• Evite armazenar dados confidenciais

Para um check-out rápido e conveniente, os usuários tendem a armazenar seus detalhes de pagamento (como informações de cartão de crédito) em sites de compras. Alguns até optam por salvar senhas em navegadores da web para fazer login automático em sites. Mas essas opções convenientes têm um ótimo custo. Nunca armazene dados confidenciais em sites ou navegadores.

• Limpar cookies

Lembre-se de limpar os cookies regularmente para se livrar de qualquer informação confidencial armazenada nos navegadores.

Conclusão

Os mercados on-line que comercializam bancos de dados e lixões são bastante onipresentes e, como as autoridades não conseguem acompanhar esses sites, mais e mais usuários têm suas identidades roubadas e vendidas nesses sites. Como a maioria das vítimas é vítima dessas tentativas maliciosas devido à sua presença na Internet, os proprietários de sites devem tomar medidas para garantir uma experiência segura e protegida em seus sites. Habilitar camadas extras de segurança, como o sistema de autenticação de dois fatores, é uma maneira de fazer isso. Eles também podem considerar um método adicional de autenticação biométrica.