Dois elementos combinados para fazer este artigo acontecer. A primeira foi que Outubro foi Mês de Conscientização sobre Segurança Cibernética. Em segundo lugar, bem no meio do mês, o primeiro trailer do novo Gritar filme caiu. Continha uma cena que nos deixou um pouco preocupados. Veja se consegue descobrir.
Conteúdo
- LOL, mas?
- Fique à frente do jogo
Grito | Trailer oficial (filme de 2022)
Obviamente, estamos falando sobre a cena dos bloqueios inteligentes. Todas as fechaduras da sua casa são desbloqueadas, então você saca o seu Smartphone e bloqueie-os novamente, apenas para vê-los todos desbloqueados novamente. A implicação aqui é que o Sr. Scary Killer invadiu a conta de casa inteligente da vítima e pode controlar todos os dispositivos da casa. Caramba.
Vídeos recomendados
Como alguém que não carrega as chaves de sua casa por causa de todos os fechaduras inteligentes, eu estava ficando um pouco nervoso. Então decidi conversar com alguém sobre isso. Entrei em contato com John Shier, consultor sênior de segurança da
Casa Sophos para falar sobre isso. Ele me deu boas e más notícias. Vou começar com as más notícias.Sim, isso é possível. A boa notícia é que é bastante difícil de fazer e a melhor notícia é que as chances de isso acontecer com você são infinitesimais, a menos, é claro, que você também tenha alguém que realmente queira lhe fazer mal. Mas a verdade é que há uma boa chance de que haja dados suficientes disponíveis para tornar algo assim possível.
LOL, mas?
Há duas coisas que se combinam para tornar isso possível: engenharia social e violações de dados. Separadamente, qualquer um deles pode fornecer ao invasor informações suficientes para hackear sua casa inteligente. Juntos, isso se torna ainda mais possível. Mas você tem que entender, quando dizemos que isso é possível, temos que alertar rapidamente, dizendo que não é muito provável.
Se você aceitar a ideia do filme de que há muito planejamento e premeditação ali, então isso fica muito mais fácil, o que quer dizer que é mais plausível. O facto é que as violações de dados acontecem frequentemente e as pessoas muitas vezes reutilizar endereços de e-mail e senhas para vários serviços. Sua senha exposta pela empresa XYZ (não estamos envergonhando a violação de dados aqui) pode muito bem ser o mesmo nome de usuário e senha que você usa para seus bloqueios inteligentes. Mesmo que a senha seja diferente, o endereço de e-mail é uma informação importante para outras formas de hackear.
Antes que você pergunte, não, não estamos transformando isso em um tutorial para “hackear a casa de seus amigos e familiares”. Mas basta dizer que qualquer informação sobre você que tenha sido exposta por uma dessas violações de dados deixa um potencial malfeitor um pouco mais perto de obter acesso às suas contas. Isso pode acontecer através Engenharia social ou usando dados expostos em violações. Nada disso é trivial. “Acho que quando falamos sobre segurança de IoT em geral, esses são provavelmente alguns dos maiores riscos quando se trata de fazer com que os dispositivos saiam do seu controle”, explicou Shier.
A engenharia social depende de truques que honestamente podem ou não funcionar. Se alguém decidir seguir esse caminho, deverá estar em uma posição em que possa enganar o usuário, fazendo-o desistir de credenciais. Foi nesse ponto da minha conversa com Shier que aprendi algumas maneiras surpreendentes de configurar facilmente um site de phishing para esse fim. Novamente, este não é um tutorial, então não vou repetir isso aqui, mas basta dizer que às vezes a Internet é uma droga.
A outra rota envolveria examinar milhões de conjuntos de credenciais e encontrar um alvo, que dependendo da violação pode não ser identificável pelo nome. Um alvo pode ter o nome John Doe, mas seu endereço de e-mail pode ser [email protected] e pode não haver como associar essas duas informações incrivelmente díspares.
Sites como haveIbeenpwned.com podem informar se o seu endereço de e-mail participou de uma violação de dados em qualquer lugar, mas também têm o efeito inverso. Um invasor pode obter o endereço de e-mail de uma vítima em potencial e usar esse site para ver de quais violações de dados ele participou. A partir daí, você pode baixar os dados das violações e testar os nomes de usuário e senhas. Ou seja, nada de um invasor obter acesso ao endereço de e-mail de uma vítima em potencial e apenas enviar redefinições de senha.
“É mais provável que você seja monetizado do que perseguido. É mais provável que [os criminosos] queiram obter suas credenciais bancárias e suas informações pessoais [para] fraude de identidade do que para mexer nas luzes e nas fechaduras das portas”, disse Shier.
A questão de tudo isso é que é muito possível, e os dados estão disponíveis para fazer isso, mas a probabilidade de isso acontecer com uma pessoa aleatória por um hacker aleatório diferente é remota. Há muito trabalho necessário para invadir as credenciais de alguém para sua casa inteligente. Mas é muito mais provável que quaisquer dados perdidos durante uma violação de dados sejam usados para monetização, seja vendendo os dados ou usando-os para roubo de identidade.
É incrivelmente improvável que o resultado final de um hacker invadindo uma empresa seja uma cena de um filme de terror. Mas suponho que devo admitir que não é zero. Devo também mencionar que a fraude de identidade é em si uma cena de um filme de terror muito mais nerd, mas também é terrível se acontecer com você.
Fique à frente do jogo
Dito isto, há coisas que você pode fazer para ajudar a proteger seus dados e manter sua casa inteligente segura. Shier fala sobre higiene de identidade, como o uso de diferentes endereços de e-mail e senhas de cada site. Se seus dados forem divulgados, o dano será mínimo. Usando um dos melhores gerenciadores de senhas é uma ótima ideia, pois permite a autenticação de dois fatores sempre que possível.
Outra coisa que Shier aponta foi garantir que todas as contas ou senhas padrão que possam ter sido enviadas com o seu dispositivo doméstico inteligente sejam removidas ou alteradas. Alguns dispositivos são fornecidos com um “admin/admin” padrão como nome de usuário e senha e, às vezes, os usuários criam suas próprias contas sem remover o padrão. Da mesma forma, eles criarão uma nova senha própria sem remover a senha integrada. Os hackers podem descobrir facilmente quais são essas senhas padrão e tentar hackear essas informações.
Fique com marcas famosas. Empresas sem marca e/ou menores têm tendência a ir e vir e podem não considerar a implementação de atualizações de software tão crítica quanto algumas das marcas mais conhecidas e confiáveis. Se você tem um dispositivo que não é atualizado há algum tempo, considere entrar em contato com o suporte ao cliente e descobrir o que há com isso. O desenvolvimento de software é um processo contínuo.
Falando nisso, certifique-se de manter seus dispositivos domésticos inteligentes atualizados. Não é uma má ideia verificar periodicamente se há atualizações de software. Vulnerabilidades de segurança podem surgir de tempos em tempos e, na maioria das vezes, são eliminadas rapidamente. Mas isso só ajuda se você realmente baixar e instalar a atualização.
Portanto, a boa notícia é que, a menos que você tenha deixado alguém muito, muito bravo, você pode continuar a deixar as chaves de sua casa em casa. Sejamos honestos, se você os deixou tão furiosos, uma fechadura normal provavelmente não ajudaria muito. Mas isso não quer dizer que você possa baixar completamente a guarda. Certifique-se de verificar regularmente se há atualizações com sua tecnologia de casa inteligente, use gerenciadores de senhas e 2FA e, o mais importante, nunca, jamais, diga: “Já volto”.
Recomendações dos Editores
- Governo dos EUA lançará um novo programa de segurança cibernética para dispositivos domésticos inteligentes em 2024
- 6 dispositivos domésticos inteligentes que podem economizar centenas por ano
- Casas inteligentes sem Wi-Fi: enormes possibilidades ou obstáculos?
- Este hack de casa inteligente sul-coreano é mais um motivo pelo qual você deve proteger sua casa
- O hack de casa inteligente sul-coreano é coisa de pesadelo