Era um dia normal quando Jay Gibson recebeu uma notificação inesperada em seu iPhone. “A Apple detectou um ataque de spyware mercenário direcionado contra o seu iPhone”, dizia a mensagem.
Ironicamente, Gibson trabalhava em empresas que desenvolviam exatamente o tipo de spyware que poderia acionar tal notificação. Mesmo assim, ele ficou chocado ao receber uma notificação em seu próprio telefone. Ele ligou para o pai, desligou e guardou o telefone e foi comprar um novo.
“Eu estava em pânico”, disse ele ao TechCrunch. “Foi uma bagunça. Foi uma bagunça enorme.”
Gibson é apenas uma entre um número cada vez maior de pessoas que recebem notificações de empresas como Apple, Google e WhatsApp, que enviam avisos semelhantes sobre ataques de spyware aos seus usuários. As empresas tecnológicas são cada vez mais proactivas no alerta dos seus utilizadores quando estes se tornam alvos de hackers governamentais e, em particular, daqueles que utilizam spyware fabricado por empresas como a Intellexa, o NSO Group e a Paragon Solutions.
Mas embora Apple, Google e WhatsApp alertem, eles não se envolvem no que acontece a seguir. As empresas de tecnologia direcionam seus usuários para pessoas que poderiam ajudar, mas nesse ponto as empresas se afastam.
Isto é o que acontece quando você recebe um desses avisos.
Aviso
Você recebeu uma notificação de que foi alvo de hackers do governo. E agora?
Em primeiro lugar, leve isso a sério. Essas empresas possuem muitos dados de telemetria sobre seus usuários e o que acontece tanto em seus dispositivos quanto em suas contas online. Esses gigantes da tecnologia possuem equipes de segurança que há anos caçam, estudam e analisam esse tipo de atividade maliciosa. Se eles acham que você foi um alvo, provavelmente estão certos.
É importante ressaltar que, no caso das notificações da Apple e do WhatsApp, receber uma não significa que você foi necessariamente hackeado. É possível que a tentativa de hacking tenha falhado, mas eles ainda podem dizer que alguém tentou.
Foto mostrando o texto de uma notificação de ameaça enviada pela Apple a uma suposta vítima de spyware (Imagem: Omar Marques/Getty Images)
No caso do Google, é mais provável que a empresa tenha bloqueado o ataque e esteja informando para que você possa acessar sua conta e certificar-se de que a autenticação multifator está ativada (de preferência uma chave de segurança física ou chave de acesso) e também ativar seu Programa de Proteção Avançada, que também requer uma chave de segurança e adiciona outras camadas de segurança à sua conta do Google. Em outras palavras, o Google lhe dirá como se proteger melhor no futuro.
No ecossistema Apple, você deve ativar o Modo Lockdown, que ativa uma série de recursos de segurança que tornam mais difícil para hackers atacarem seus dispositivos Apple. A Apple afirma há muito tempo que nunca viu um hack bem-sucedido contra um usuário com o Modo Lockdown ativado, mas nenhum sistema é perfeito.
Mohammed Al-Maskati, diretor da Digital Security Helpline da Access Now, uma equipe global de especialistas em segurança 24 horas por dia, 7 dias por semana, que investiga casos de spyware contra membros da sociedade civil, compartilhou com o TechCrunch o conselho que a linha de apoio dá às pessoas que estão preocupadas com a possibilidade de serem alvo de spyware do governo.
Este conselho inclui manter os sistemas operacionais e aplicativos dos seus dispositivos atualizados; ativar o Modo Lockdown da Apple e a Proteção Avançada do Google para contas e dispositivos Android; tenha cuidado com links e anexos suspeitos; reiniciar seu telefone regularmente; e prestar atenção às mudanças no funcionamento do seu dispositivo.
Contate-nos
Você recebeu uma notificação da Apple, Google ou WhatsApp sobre ser alvo de spyware? Ou você tem informações sobre fabricantes de spyware? Adoraríamos ouvir de você. A partir de um dispositivo que não seja de trabalho, você pode entrar em contato com Lorenzo Franceschi-Bicchierai com segurança no Signal pelo telefone +1 917 257 1382, ou via Telegram e Keybase @lorenzofb, ou e-mail.
Pedindo ajuda
O que acontece a seguir depende de quem você é.
Existem ferramentas de código aberto e para download que qualquer pessoa pode usar para detectar suspeitas de ataques de spyware em seus dispositivos, o que requer um pouco de conhecimento técnico. Você pode usar o Mobile Verification Toolkit, ou MVT, uma ferramenta que permite procurar vestígios forenses de um ataque por conta própria, talvez como uma primeira etapa antes de procurar assistência.
Se você não quiser ou não puder usar o MVT, você pode ir direto a alguém que possa ajudar. Se você é jornalista, dissidente, acadêmico ou ativista de direitos humanos, existem algumas organizações que podem ajudar.
Você pode recorrer ao Access Now e sua Linha de Apoio à Segurança Digital. Você também pode entrar em contato com a Anistia Internacional, que possui equipe própria de investigadores e ampla experiência nesses casos. Ou você pode entrar em contato com o Citizen Lab, um grupo de direitos digitais da Universidade de Toronto, que investiga abusos de spyware há quase 15 anos.
Se você é jornalista, o Repórteres Sem Fronteiras também possui um laboratório de segurança digital que se oferece para investigar casos suspeitos de hacking e vigilância.
Fora destas categorias de pessoas, os políticos ou executivos de empresas, por exemplo, terão de ir para outro lugar.
Se você trabalha para uma grande empresa ou partido político, provavelmente tem uma equipe de segurança competente (espero!) à qual pode recorrer diretamente. Podem não ter o conhecimento específico para investigar em profundidade, mas, nesse caso, provavelmente sabem a quem recorrer, mesmo que a Access Now, a Amnistia e o Citizen Lab não possam ajudar aqueles que estão fora da sociedade civil.
Caso contrário, não há muitos lugares aos quais executivos ou políticos possam recorrer, mas perguntamos e encontramos os abaixo. Não podemos garantir totalmente nenhuma dessas organizações, nem as apoiamos diretamente, mas com base nas sugestões de pessoas em quem confiamos, vale a pena mencioná-las.
Talvez a mais conhecida dessas empresas de segurança privada seja a iVerify, que cria um aplicativo para Android e iOS e também oferece aos usuários a opção de solicitar uma investigação forense aprofundada.
Matt Mitchell, um renomado especialista em segurança que tem ajudado populações vulneráveis a se protegerem da vigilância, tem uma nova startup, chamada Safety Sync Group, que oferece esse tipo de serviço.
Jessica Hyde, uma investigadora forense com experiência nos setores público e privado, tem sua própria startup chamada Hexordia e se oferece para investigar suspeitas de hacks.
A empresa de segurança cibernética móvel Lookout, que tem experiência na análise de spyware governamental de todo o mundo, possui um formulário on-line que permite que as pessoas peçam ajuda para investigar ataques cibernéticos envolvendo malware, comprometimento de dispositivos e muito mais. As equipes forenses e de inteligência de ameaças da empresa podem então se envolver.
Depois, há Costin Raiu, que dirige a TLPBLACK, uma pequena equipe de pesquisadores de segurança que trabalhava no Grupo Global de Pesquisa e Análise da Kaspersky, ou GReAT. Raiu era o chefe da unidade quando sua equipe descobriu ataques cibernéticos sofisticados de equipes de hackers governamentais de elite dos Estados Unidos, Rússia, Irã e outros países. Raiu disse ao TechCrunch que as pessoas que suspeitam ter sido hackeadas podem enviar um e-mail diretamente para ele.
Investigação
O que acontece a seguir depende de quem você procura para obter ajuda.
De modo geral, a organização que você contatar pode querer fazer uma verificação forense inicial, observando um arquivo de relatório de diagnóstico que você pode criar em seu dispositivo, que pode ser compartilhado com os investigadores remotamente. Neste ponto, isso não exige que você entregue seu dispositivo a ninguém.
Esta primeira etapa pode detectar sinais de direcionamento ou mesmo infecção. Também pode não resultar em nada. Em ambos os casos, os investigadores podem querer se aprofundar, o que exigirá que você envie um backup completo do seu dispositivo, ou mesmo do seu dispositivo real. Nesse ponto, os investigadores farão seu trabalho, o que pode levar algum tempo porque o spyware governamental moderno tenta ocultar e excluir seus rastros, e lhe contará o que aconteceu.
Infelizmente, o spyware moderno pode não deixar rastros. O modus operandi hoje em dia, de acordo com Hassan Selmi, que lidera a equipe de resposta a incidentes da Digital Security Helpline da Access Now, é uma estratégia de “quebrar e capturar”, o que significa que, uma vez que o spyware infecta o dispositivo alvo, ele rouba o máximo de dados possível e, em seguida, tenta remover qualquer rastro e desinstalar-se. Presume-se que isso seja uma tentativa dos fabricantes de spyware de proteger seus produtos e ocultar suas atividades de investigadores e pesquisadores.
Se você é jornalista, dissidente, acadêmico, ativista de direitos humanos, os grupos que o ajudam podem perguntar se você deseja divulgar o fato de ter sido atacado, mas não é obrigado a fazê-lo. Eles ficarão felizes em ajudá-lo sem receber crédito público por isso. No entanto, pode haver boas razões para se manifestar: denunciar o facto de um governo ter como alvo você, o que pode ter o efeito colateral de alertar outras pessoas como você sobre os perigos do spyware; ou expor uma empresa de spyware, mostrando que seus clientes estão abusando de sua tecnologia.
Esperamos que você nunca receba uma dessas notificações. Mas também esperamos que, se o fizer, considere este guia útil. Fique seguro lá fora.
