O jornalista Joe Tidy, que atua como correspondente especializado em cibersegurança na BBC, foi surpreendido com uma oferta inusitada e, certamente, perigosa. De acordo com o relato de Tidy, ele recebeu uma proposta de receber 15% dos lucros de um futuro resgate, caso concordasse em facilitar um ataque de ransomware contra a própria empresa. Esse episódio lança luz sobre um tipo de risco cibernético menos discutido, mas não menos relevante: o uso de ameaças internas, onde o maior perigo vem da exploração das vulnerabilidades humanas dentro das organizações, ao invés das falhas tecnológicas habituais.
A oferta foi encaminhada a Joe Tidy através do aplicativo de mensagens encriptadas Signal. O remetente se apresentou sob o pseudônimo Syndicate, mais tarde abreviado para Syn. Durante a conversa, Syn deixou claro que a intenção era solicitar um resgate em bitcoins da BBC, tentando ainda seduzir Tidy com a promessa de uma recompensa aumentada para 25% dos lucros. O hacker deu a entender que pretendia extrair apenas uma pequena porcentagem do lucro total da empresa, o que ainda representaria uma quantia astronômica, considerando as possíveis cifras de dezenas de milhões de libras que estavam em jogo.
Este tipo de abordagem não é um caso isolado. Recentemente, no Brasil, um funcionário de TI da empresa C&M foi preso sob acusação de vender seu login para criminosos cibernéticos, gerando um prejuízo astronômico de até R$ 500 milhões. Essas situações ilustram como a vulnerabilidade humana pode se tornar um ponto de entrada para ataques cibernéticos devastadores. O envolvimento de Tidy pareceu ser uma tentativa do grupo de hackers de encontrar alguém bem posicionado dentro da BBC, acreditando que ele teria acesso direto aos sistemas essenciais de TI da organização.
A decisão de Tidy de prolongar a comunicação com Syn foi motivada por um instinto investigativo e não por inclinação em colaborar com o crime. Ele documentou a conversa integralmente, relatando como o hacker afirmou que a BBC nunca seria capaz de identificar qualquer traição de sua parte, pois todas as mensagens seriam apagadas. Além disso, o hacker se autodenominou porta-voz do grupo Medusa, afirmando ser o único membro falante de inglês, enquanto a maioria das operações ocorriam na Rússia. Segundo o CheckPoint, uma organização de cibersegurança, o grupo Medusa já realizou centenas de ataques, preferindo não agir em território russo ou em países aliados à Rússia.
Para demonstrar seriedade e ganhar a confiança de Tidy, Syn enviou mensagens adicionais por meio do Tox, um serviço de mensagens seguras popular entre hackers, além de fornecer um link de recrutamento para o grupo Medusa em um fórum restrito a cibercriminosos. Foi ainda requerido um pagamento de entrada no valor de 0,5 bitcoin, com a promessa de reembolso mediante a concessão do login da BBC a eles.
Embora estivesse claro desde o início que Tidy não tinha intenção de colaborar, os cibercriminosos começaram a testar métodos de pressão. A equipe de hackers, ao perceber a hesitação do jornalista, inicializou uma técnica conhecida como “MFA bombing”, que consiste em saturar o alvo com notificações de autenticação de duas etapas, levando o usuário a confirmar o login por engano ou por cansaço. Todavia, Tidy recorreu à equipe de segurança da BBC, que prontamente desativou seu acesso aos sistemas internos, garantindo sua segurança e da empresa.
Após a ineficácia da pressão exercida sobre Tidy, os hackers enviaram uma mensagem calmamente pedindo desculpas pela tentativa de login e alegando que estavam testando a configuração de segurança. Não obstante, a oferta permaneceu em aberto até que, com a falta de colaboração do jornalista, os cibercriminosos optaram por deletar a conta do Signal e desapareceram.
Joe Tidy conseguiu retomar seu trabalho, agora com a conta BCC mais protegida, mas a experiência reforçou a necessidade de conscientização nas corporações sobre ameaças internas. Muitas empresas ainda não passaram por situações semelhantes, e o risco de haver quem aceite propostas do tipo é uma ameaça potencial sempre presente. Tidy agora guarda uma experiência valiosa e um alerta importante sobre a inovação constante das técnicas de ataque a empresas por meio de elementos internos vulneráveis.
