A sua casa está a ser visada: uma nova ameaça de dispositivos inteligentes que roubam criptomoedas

Ao acordar, o aspirador começa a mover-se sozinho, a geladeira exibe uma mensagem de resgate e todos os fundos da sua carteira de Bitcoin e conta bancária desaparecem — isto não é um filme de terror de Stephen King, mas a realidade que está a acontecer agora.

Os hackers podem usar os dispositivos inteligentes da sua casa como ponto de entrada para roubar carteiras de criptomoedas e frases de recuperação. Com o número de dispositivos IoT a atingir 188 mil milhões em todo o mundo e cerca de 82 mil ataques diários, esta ameaça não é apenas ficção.

A sua casa já é alvo de hackers

As famílias americanas possuem em média 21 dispositivos inteligentes, mas um terço dos utilizadores sofreu vazamentos de dados ou fraudes nos últimos 12 meses.

Tao Pan, investigador da empresa de segurança blockchain Beosin, aponta: «Dispositivos IoT com segurança fraca, especialmente routers, servem como porta de entrada para hackers invadirem a rede doméstica. Uma vez dentro, os atacantes podem aceder lateralmente a todos os dispositivos ligados, incluindo computadores e smartphones usados para transações de criptomoedas.»

O maior perigo recai sobre utilizadores que usam APIs para realizar transações de criptomoedas. Os hackers podem capturar credenciais de login e aceder diretamente às carteiras.

O pesadelo começa na máquina de café

Em 2019, Martin Hron, investigador de segurança da Avast, realizou um experimento ao invadir a sua máquina de café inteligente.

A maioria dos dispositivos inteligentes vem sem proteção por padrão, apenas conectando-se ao Wi-Fi. Hron substituiu o firmware da máquina de café e exibiu uma mensagem de resgate. O dispositivo ficou bloqueado, tornando-se inutilizável sem pagamento.

Mas isto não é apenas uma brincadeira. Com a mesma técnica, é possível sobreaquecer o aquecedor, provocando incêndios, ou disparar água fervente para ameaçar vítimas. Ainda mais assustador, a máquina de café pode tornar-se uma rota silenciosa de intrusão na rede doméstica, permitindo aos hackers monitorizar informações bancárias, emails e frases de recuperação de criptomoedas.

Casos reais de hacking

10GB de dados roubados de um tanque de água de um casino em Las Vegas

Em 2017, hackers usaram um tanque de água conectado no lobby de um casino em Las Vegas como ponto de entrada. Através de sensores de temperatura e outros, invadiram a rede e enviaram 10GB de dados para um servidor remoto na Finlândia. Mesmo com firewalls e antivírus, o ataque foi bem-sucedido.

Mineração de criptomoedas escondida em sensores de portas

Em 2020, a Darktrace, empresa de cibersegurança, descobriu mineração secreta de criptomoedas num servidor de autenticação biométrica. Os hackers fizeram o servidor descarregar ficheiros maliciosos que mineraram Monero (XMR).

Este tipo de ataque de “cryptojacking” está a aumentar. A equipa de inteligência de ameaças da Microsoft confirmou que hackers estão a realizar ataques de força bruta a sistemas Linux e dispositivos inteligentes, instalando backdoors e executando malware de mineração. Além de aumentar a conta de eletricidade, toda a receita de mineração vai diretamente para a carteira dos hackers.

Aspirador a monitorizar a sua casa

No ano passado, uma vulnerabilidade de segurança grave foi descoberta em aspiradores Ecovacs fabricados na China, vendidos nos EUA. Os hackers podiam controlá-los remotamente e usar a câmara embutida para espiar a sua casa. Tudo o que faz, como inserir passwords ou escrever frases de recuperação, pode estar a ser gravado.

Potencial para desligar toda a rede elétrica

Existe um cenário ainda mais assustador. Segundo investigadores da Universidade de Princeton, se hackers controlarem 21 mil dispositivos de alto consumo energético, como ar condicionados, podem sobrecarregar linhas de energia específicas, causando cortes de energia a cerca de 38 milhões de pessoas na Califórnia.

Medidas práticas para proteger os seus ativos digitais

Isolamento completo

Joe Grand, especialista em hacking, recomenda evitar o uso de dispositivos inteligentes. «Eu uso o meu smartphone com muita cautela, apenas para navegação e comunicação com a família. Nunca introduzo dispositivos inteligentes na minha casa.»

Segurança mínima

Defina sempre passwords fortes em todos os dispositivos inteligentes, não usando as configurações padrão.

Segmentação de rede

Recomenda-se usar uma rede de convidados separada para dispositivos IoT que não precisam de partilhar a rede com computadores ou smartphones. Desligue-os quando não estiver a usar e mantenha o software atualizado.

A sua casa pode já estar na mira de hackers. Reveja as configurações dos seus dispositivos e comece a preparar-se para proteger os seus ativos digitais.