Um aspirador robótico pode furtar seu Bitcoin?

Imagine acordar e encontrar seu robô aspirador travado, sua geladeira exigindo resgate e suas contas bancárias e de criptomoedas completamente esvaziadas.

Não se trata do roteiro do filme de terror “Maximum Overdrive”, de Stephen King, lançado em 1986, sobre um cometa que faz máquinas adquirirem consciência e se tornarem assassinas.

Esse é o risco real quando hackers exploram vulnerabilidades nos diversos dispositivos inteligentes de uma residência — cenário cada vez mais provável diante dos cerca de 18,8 bilhões de dispositivos de Internet das Coisas (IoT) instalados globalmente e uma média de 820.000 ataques a IoT por dia.

“Dispositivos IoT inseguros, como roteadores, podem abrir brechas nas redes domésticas”, alerta Tao Pan, pesquisador da Beosin, especializada em segurança blockchain, à Magazine.

Em 2023, os lares dos Estados Unidos tinham, em média, 21 dispositivos conectados à internet. Um terço dos consumidores de smart home relatou ter sido vítima de vazamento de dados ou golpes nos últimos 12 meses.

“Após a invasão, os criminosos podem acessar lateralmente outros dispositivos conectados — incluindo computadores ou celulares usados para transações de criptomoedas — e capturar credenciais de acesso entre dispositivos e exchanges. O risco é maior para quem utiliza APIs em negociações cripto”, complementa.

Mas afinal, o que hackers conseguem acessar dentro de casa e que estragos podem causar?

O Magazine reuniu casos curiosos de dispositivos hackeados nos últimos anos, como o de um sensor de porta usado para mineração de criptomoedas. E também traz recomendações para proteger seus dados e ativos digitais.

Hackeando a cafeteira

Em 2019, Martin Hron, pesquisador da Avast, demonstrou como hackers podem invadir facilmente a rede doméstica e seus equipamentos conectados.

Ele mesmo hackeou remotamente sua cafeteira inteligente.

Hron explica que, como muitos dispositivos inteligentes, a cafeteira traz configurações padrão sem exigir senha para ligação ao Wi-Fi, facilitando a instalação de códigos maliciosos.

“Diversos aparelhos IoT primeiro conectam à rede doméstica por meio do próprio Wi-Fi, utilizado apenas para configuração inicial. O ideal é proteger essa rede imediatamente com senha”, orienta Hron.

“Mas muitos produtos são vendidos sem senha, e muitos usuários não adicionam esse recurso de proteção”, acrescenta.

“Consigo fazer o que quiser porque posso substituir o firmware, que é o software responsável pelo funcionamento da cafeteira. Posso inserir novas funções, remover recursos e ignorar as barreiras de segurança do sistema. Ou seja, posso fazer qualquer coisa”, afirmou ele em vídeo divulgado pela Avast.

No exemplo, Hron faz a cafeteira exibir uma mensagem de resgate e, se o pagamento não for feito, o aparelho é inutilizado.

É possível desligá-la, mas isso significa nunca mais fazer café. (Avast/YouTube)

A cafeteira pode ser programada para ações ainda mais perigosas, como ativar o aquecimento e provocar incêndio ou jorrar água fervente caso a vítima não pague o resgate.

Talvez o maior perigo esteja na possibilidade de o dispositivo servir como porta de entrada silenciosa à rede, permitindo o monitoramento de dados bancários, e-mails ou frase-semente de carteiras.

Aquário de cassino invadido

Um dos episódios mais emblemáticos ocorreu em 2017, quando hackers transferiram 10 gigabytes de dados de um cassino em Las Vegas ao comprometer um aquário conectado à internet no saguão.

O aquário possuía sensores para controle de temperatura, alimentação e limpeza, ligados a um PC da rede do cassino. Os invasores usaram esse acesso para explorar outros setores da rede, enviando dados para um servidor remoto na Finlândia.

O aquário poderia ser semelhante a este. (Muhammad Ayan Butt/Unsplash)

Tudo isso apesar de firewalls e antivírus tradicionais instalados pelo cassino. Por sorte, o ataque foi rapidamente detectado e contido.

“Agimos de imediato e não houve prejuízo”, relatou Nicole Eagan, CEO da Darktrace, à BBC na ocasião, ressaltando que o aumento de dispositivos conectados representa “um verdadeiro paraíso para hackers”.

Sensor de porta minerando criptomoeda secretamente

Em 2020, com escritórios vazios na pandemia, a Darktrace detectou uma operação de mineração clandestina em um servidor de controle biométrico de acesso de portas.

A empresa identificou o caso ao notar que o servidor, exposto à internet, baixou um executável suspeito de um IP externo nunca registrado na rede.

Após o download, o servidor passou a conectar repetidamente a endereços externos ligados a pools de mineração de Monero.

Esse ataque é chamado de cryptojacking. Em 2023, a equipe Threat Intelligence da Microsoft identificou mais casos, com hackers mirando sistemas Linux e dispositivos inteligentes conectados.

Os criminosos iniciam o ataque forçando acesso a dispositivos Linux e IoT expostos online, instalam uma backdoor e, depois, baixam e executam malware de mineração, elevando a conta de luz e enviando todos os lucros para suas carteiras.

São vários os registros de cryptojacking, incluindo casos recentes em que o código malicioso é inserido em páginas HTML falsas de erro 404.

Hackeando dispositivos inteligentes em massa para derrubar a rede elétrica

Em cenário extremo, pesquisadores da Universidade de Princeton sugeriram que hackers poderiam, ao controlar um grande número de dispositivos de alto consumo — como 210.000 ar-condicionados — e ligá-los simultaneamente, causar um apagão repentino em uma população equivalente à da Califórnia, cerca de 38 milhões de pessoas.

(Unsplash)

Os aparelhos precisariam ser acionados ao mesmo tempo em um setor específico da rede, gerando sobrecarga e danos aos cabos, ou então acionando os relés de proteção e transferindo carga para outros segmentos, criando um efeito cascata de falhas.

Seria necessário, porém, uma ação sincronizada, já que oscilações similares ocorrem naturalmente, por exemplo, durante uma onda de calor.

Seu robô aspirador está te espionando

No último ano, robôs aspiradores nos EUA começaram a funcionar sozinhos após serem hackeados.

Hackers exploraram uma vulnerabilidade em uma linha de robôs Ecovac fabricados na China.

Relatos apontam que invasores conseguiam pilotar fisicamente o aparelho, assustar animais, proferir insultos pelo alto-falante e acessar a câmera para bisbilhotar os ambientes da casa.

Transmissão ao vivo de um Ecovac hackeado. (ABC News)

“O grande problema dos dispositivos IoT é que muitos fabricantes ainda negligenciam a segurança”, afirma a Kaspersky.

Vídeos de você digitando senhas ou escrevendo frase-semente podem ser devastadores se forem parar nas mãos erradas.

Como se proteger de hackers em dispositivos inteligentes

Se você tem diversos equipamentos conectados em casa — como robô aspirador, porta-retrato digital ou campainha com câmera — como garantir a segurança do seu Bitcoin?

Uma das opções é seguir o conselho do hacker profissional Joe Grand: não ter dispositivos inteligentes em casa.

“Meu celular é o mais inteligente que tenho, e só uso por necessidade, para mapas e conversar com a família”, contou à Magazine. “Dispositivo inteligente, nem pensar.”

Hron, da Avast, recomenda sempre definir senha nos dispositivos inteligentes e jamais utilizar configurações padrão.

Especialistas sugerem utilizar uma rede de convidados para IoT, principalmente se o equipamento não precisar estar na mesma rede do computador e do celular, desconectar o dispositivo quando não estiver em uso e manter o software atualizado.

Há inclusive um buscador para dispositivos conectados à internet, pago, que permite localizar aparelhos ligados à rede e identificar vulnerabilidades.

Aviso legal:

1. Este artigo foi originalmente publicado em [Cointelegraph]. Todos os direitos autorais pertencem ao autor original [Felix Ng]. Em caso de objeção à reprodução, entre em contato com a equipe do Gate Learn, que tomará as providências necessárias.
2. Aviso de responsabilidade: As opiniões expressas neste artigo são exclusivas do autor e não constituem recomendação de investimento.
3. A tradução para outros idiomas foi realizada pela equipe Gate Learn. Salvo indicação contrária, é proibida a reprodução, distribuição ou plágio dos artigos traduzidos.