É isso mesmo que você leu! Hackeamos o Hacker!
Ontem minha esposa recebeu uma mensagem no instagram dizendo que iria concorrer a 2 dias de estadia na BellaMinas Pousada (o perfil verdadeiro é @bellaminaspousada) e que se fosse participar deveria enviar o nome completo, telefone com DDD e data de nascimento. Após enviar seus dados, o meliante vai invadir sua conta, e nesse caso precisa de um código de confirmação enviado pelo instagram por SMS (nunca compartilhe esse código com ninguém) e minha esposa enviou achando que ia participar da promoção. Quem está acostumado com internet segura sabe que esse tipo de mensagem é um golpe, mas muitos ainda não sabem e isso me levou a escrever esse artigo e produzir o vídeo sobre como Hackeamos o Hacker.
Assim que ela percebeu que o instagram havia sido invadido me falou. Então corremos atrás das informações para recuperar a conta e avisamos os amigos que a conta havia sido hackeada para ficarem espertos com mensagens dela. É importante avisar a família primeiro, pois podem tentar passar algum golpe em seus pais. Não mande mensagem, use sua voz e sua cara de preferência para avisar, pois simples mensagens qualquer um pode mandar. Ligue também para ser mais ágil, pois algumas pessoas só veem as mensagens depois de muito tempo.
A situação no instagram não era das melhores, pois ela não havia confirmado o e-mail e assim que o hacker conseguiu acessar a conta trocou o e-mail e telefone para (84) ****-0790 (publico o número para caso alguém pesquise por esse número na internet saiba do que se trata). Então todo o acesso á conta foi perdido e o hacker estava mandando mensagens para os amigos dela pedindo PIX (sim, temos os dados do laranja), uma das amigas dela ligou e pedimos para enrolar enquanto eu estava programando a arapuca para hackear o hacker.
A ideia era enviar um link na mensagem que desse a entender que a pessoa havia realmente feito o pix. O link ficou mais ou menos assim (https://xxxx.com.br/meupixseguro/comprovante.pdf), perfeito para atrair um bom curioso clicar (mandamos esse link apenas para o hacker) e clicou, mais adiante conto mais detalhes.
Minha esposa só conseguiu recuperar a conta após enviar selfie de vídeo pelo instagram. Essa opção fica meio oculta, mas você pode ir tentando fazer o login pelo aplicativo e ir na opção que não consegue recuperar sua senha e depois em obter ajuda ou suporte, nesse ponto você terá que fazer a selfie de vídeo que pede para mover a cabeça para posições aleatórias (isso para evitar o uso de videos gravados). O instagram respondeu, mas foi de madrugada e não conseguimos usar o link enviado, pois já havia expirado.
Fizemos o procedimento de manhã novamente e quando recebemos o e-mail do instagram, já alteramos rapidamente a senha por uma senha forte gerada aqui no lastpass e desativamos o duplo fator de autenticação que o hacker havia ativado. Depois ativamos o duplo fator com aplicativo do Google que instalamos no celular dela.
O aplicativo de duplo fator é melhor do que autenticação de duplo fator por SMS ou whatsapp, pois assim como ela, você pode ser instigado a enviar o código enviado por SMS ou whatsapp, já com o aplicativo você tem que abrir o aplicativo, mas caso faça isso irá se lembrar que aqueles códigos ali não devem ser compartilhados com ninguém (assim eu espero), além de expirarem mais rapidamente. UFA! Conta segura!
Voltemos agora em como hackeamos o hacker.
Em programação para internet temos 2 termos que são a requisição (request) e a resposta (response). basicamente, quando você clica em algum link é gerada uma requisição para o servidor que responde com a página, fotos ou arquivos. Na requisição, seu computador ou celular envia algumas informações para o servidor, e o que usamos nesse caso foi o cabeçalho. Quando o hacker curioso abriu o link falso de comprovante já era, pegamos os dados à seguir no dia 04/05/2022 às 20:24:22:
- User-Agent=[Dalvik/2.1.0 (Linux; U; Android 9; moto e(6) plus Build/PTAS29.401-58-8)
- X-Forwarded-For=[177.33.114.199]
- X-Real-Ip=[177.33.114.199]
O modelo do celular bate com o modelo de celular no e-mail de segurança enviado pelo instagram quando ele fez o primeiro acesso.
Também temos o IP, e o que fazemos com essa informação? IP’s são endereços na internet, nesse caso usei o o serviço ipinfo.io, que nos retornou o seguinte:
Se rolar a página para baixo também verá outras informações:
Então temos a seguintes informações sobre o hacker:
- Telefone: (84) ****-0790
- Nome: Temos o nome do laranja devido à chave pix utilizada
- Modelo do celular: moto e(6) plus Build/PTAS29.401-58-8
- Operadora: Claro
- IP: 177.33.114.199
- Data e Hora de acesso: 04/05/2022 às 20:24:22
De posse dessas informações enviei o e-mail para o e-mail [email protected] (obtido através do ipinfo.io), informei que o e-mail está sendo anexado ao B.O. e solicitei a identificação do hacker. O Provedor ou Operadora deve manter os logs por pelo menos 6 meses e só é possível identificar a pessoa através do IP se você souber o momento exato em que acessou determinado link, e nós sabemos.
Imprima o e-mail e abra o B.O. na delegacia mais próxima.
Com isso a polícia tem todas as informações necessárias para identificar o hacker e fazer o que é necessário. Espero que todos tenhamos aprendido como nos proteger on-line com duplo fator de autenticação, não acreditar em tudo o que vemos na internet, principalmente benefícios que podemos ganhar sem esforço, viagens, hospedagens, dinheiro gratuito, investimentos com altos retornos no curto prazo, além de tomar cuidado com nossos dados e de quebra como identificar e agir quando alguém hackear sua conta caso não tenha habilitado o duplo fator de autenticação via aplicativo.
Leia também sobre como usar DNS da CloudFlare para famílias.