Este tipo de método não é novo, há casos de “pensUSB” enviadas por correio ou esquecidas em locais estratégicos que já originaram problemas sérios em infraestruturas críticas. Agora o método refinou-se e, para certos alvos poderão estar a ser enviados smartwatches com malware.
Uma tática comum dos cibercriminosos consiste em distribuir unidades de armazenamento, telemóveis ou outros dispositivos ligados à Internet cheios de malware oculto para invadir as vítimas e roubar-lhes informações. Embora os smartwatches não tenham sido conhecidos por grandes violações de segurança até à data, apresentam muitas das mesmas vulnerabilidades de outros produtos IoT e justificam um grau de precaução semelhante.
Membros das forças armadas dos EUA comunicaram recentemente que receberam pelo correio smartwatches que não encomendaram. Não se sabe quem enviou os dispositivos e qual a razão. Contudo, suspeita-se que seja um esquema e a divisão de investigação criminal do exército (CID) aconselha os destinatários a nunca ligarem os relógios.
O problema está quando os relógios se ligam às redes de informação
A divisão reforça a informação referindo que quando estes dispositivos se ligam automaticamente a redes Wi-Fi e a smartphones, independentemente das instruções do utilizador após a sua ativação, poderá estar automatizada uma ação para infiltração nas redes pertencentes aos militares.
Embora ninguém tenha confirmado que os smartwatches contêm malware ou estão a recolher e a enviar informações, esta continua a ser uma possibilidade a considerar.
Os telemóveis Android e outros dispositivos ligados à Internet de terceiros são conhecidos por trazerem malware pré-instalado. Embora os smartwatches não tenham sido associados a grandes incidentes de segurança, são especialmente adequados para a espionagem nefasta.
Uma tática comum dos cibercriminosos consiste em distribuir unidades de armazenamento, telemóveis ou outros dispositivos para serem ligados à internet cheios de malware oculto para invadir as vítimas e roubar as suas informações.
Estes dispositivos podem não ser o alvo dos criminosos, mas levam o ataque até aos equipamentos de interesse da espionagem, que podem interagir dentro das estruturas onde estão ligados.
Mas há ainda mais factos a reter. Como “vestíveis”, os relógios inteligentes registam e armazenam quantidades significativas de dados biométricos e de localização. Também têm microfones e as suas ligações sem fio com smartphones podem colocar estes dispositivos em risco.
A maior preocupação é que alguém possa estar a usar os presentes não solicitados para descobrir segredos militares. O presente chegou a um “utilizador de forma inocente”, mas o utilizador não tem uma ação nada inocente dentro de certas organizações.
Também poderá ser brushing. Saber o que é?
Outra explicação, mais benigna, é que os remetentes estão a tentar aumentar as avaliações de produtos online através de uma prática fraudulenta chamada brushing. Esta prática implica que os vendedores comprem os seus próprios produtos e depois enviam-nos para endereços aleatórios e que escrevam críticas positivas em nome dos destinatários em sites de retalho como a Amazon para aumentar as classificações e a visibilidade.
Apesar da falta de clientes reais, o registo de que alguém comprou e enviou os artigos confere às críticas uma maior legitimidade no sistema de venda a retalho.
O serviço de inspeção postal dos EUA aconselha qualquer pessoa que receba pacotes suspeitos não solicitados de vendedores online, a procurar avaliações fraudulentas em seu nome no site do vendedor e a verificar se as suas informações pessoais não foram comprometidas.
As pessoas que recebam estas encomendas têm de ter cuidado, pois podem ser usadas como isco, numa infiltração dentro das suas próprias empresas, deixando em risco a infraestruturas e abrindo brechas na segurança. Por vezes o perigo “está dentro de portas”.