Hacking Love:O lado ofensivo do amor

Escrito por: Fátima Rodriguez

14 de fevereiro de 2024

Buscamos o amor pela internet desde antes de estudarmos poblado com vídeos de gatitos (não tenho nenhum teste, mas conheço MoPilot.com). É uma consequência natural que todo tipo de meio digital direcionado ao relacionamento humano com o objetivo de todas as ameaças de engenharia social existentes, com um amplo abanico de vetores de ataque que vão desde as estafas até a sextorsão e o bagre, por mencionar alguns. No entanto, nem todas as ameaças têm uma causa nas vulnerabilidades próprias dos humanos.

Existem ciberdelinquentes sem paciência para pessoas que exigem interação humana real ao longo do tempo e isso não é um impedimento para a realização de todo tipo de atividade maliciosa sob a mesma motivação monetária na qual atuam os engenheiros sociais. Então, você pode nos perguntar como um chatbot pode fingir ser uma amante? Como se automatiza um ataque quando o motivo é o amor? Aqui revisaremos alguns vetores de ataque possíveis para saber como o amor pode reverter uma técnica agressiva.

Exploração
Nas palavras daqui, em nível global, o amor é outro nicho de mercado, um universal. Claro, é normal que a estrutura de seus aplicativos e até mesmo sites da web preservem algumas funções e fluxos de aplicativos de loja on-line, com tecnologias conhecidas em sua infraestrutura: Kotlin, MySQL, mongoDB, React, Laravel, AWS ( EC2, S3), Google Analitics são alguns componentes dos aplicativos de citações mais populares atualmente.

Isso se traduziu diretamente em vulnerabilidades conhecidas, por exemplo, nos últimos três anos, aplicativos como Bumble, Tinder e Grndr resultaram vulneráveis ​​ao mesmo ataque de rastreamento de localização, que permitiu que um caçador determinasse a localização exata de qualquer um por meio das técnicas: envio de múltiplas solicitações a um mesmo usuário, cada um dos quais parece ter uma localização diferente. Isso permitiu obter várias estimativas de distância de um objetivo em lugares separados e assim foi possível calcular a localização exata de uma pessoa por meio de triangulação, a segunda foi por meio de solicitações manipuladas em algumas de suas APIs, com as informações do ID do usuário era conocida.

Mas não é o único ataque à infraestrutura possível para esse tipo de aplicativo, desde 2015 com Ashley Maddison, as invasões que terminam na exposição de gigas de informações dos usuários parecem ser recorrentes. A divulgação do aplicativo 419 Dating – Chat & Flirt é um evento recente onde o vetor foi um aplicativo de base de dados sem proteção, causando a exposição de 340.6 GB onde um único registro de cópia de segurança de conteúdo 236,681 direções do Gmail, 15,703 contas do Yahoo Mail, 3,872 endereços do iCloud e arquivos do kit de desenvolvimento de software (SDK), que são pacotes ou coleções de hardware de software, bibliotecas, documentação e recursos que os desenvolvedores utilizam para criar este aplicativo, o que poderia conduzir a a criação de aplicativos com vulnerabilidades ou funcionalidades maliciosas ocultas baseadas em 419 Dating.

Desde o ponto de vista ofensivo, BOLA (Autorização de nível de objeto quebrado) ao lado das APIs o Autenticação ausente para função crítica para a base de dados, são dois vetores comunes e nada particular para aplicações de citações. No entanto, contextualizando o fato de haver regiões no mundo onde hoje está a homossexualidade ou o acompanhante em risco de vida ou integridade de seres humanos reais, este tipo de exploração é sumamente delicado.

Correspondência inteligente

O uso de aprendizado de máquina é amplamente utilizado para aplicativos de citações. Através deste tipo de aprendizagem, os aplicativos questionados aos usuários se desejam visualizar imagens em várias categorias: explícitas, armas, etc. Além disso, permite verificar se um usuário registrado é uma pessoa real através de multimídia solicitada no momento do alto a conta. O lado ofensivo se aproxima e este aprendizado é usado cada vez com mais frequência como o primeiro passo para essas coisas avançadas que decantam na distribuição de aplicativos de malware, robôs de dados bancários e outros motivos comuns, criando um desvio para a identificação de usuários reais e criação de histórias falsas por meio de meios audiovisuais.

Um exemplo disso são as Redes Generativas Adversarias, arquiteturas que ensinam modelos generativos e são refinadas por meio de modelos discriminativos para produzir um resultado “novo” a partir de dados existentes, seu objetivo é gerar dados novos e sintéticos que são usados ​​em alguma distribuição dos dados conhecidos com aprendizagem sem supervisão. Para que essas funções funcionem, você deve aprender a mostrar milhões de exibições (imagens, vídeo ou áudio) do que está sendo gerado, com o fim de que você pode aprender essas informações e criar um ponto de “engajamento” para eles. algoritmos discriminativos de aplicativos de citações para gerar perfis falsos, apesar do uso de recursos de verificação de selfie, dentro dos aplicativos.

Sem esquecer o LoveGPT, um chatbot especializado em aplicativos de citações, que pode passar os filtros de spam dos aplicativos, enviar “me gosto”, ler respostas de possíveis coincidências e criar perfis credíveis de maneira automaticamente passando pelo bypass de CAPTCHA e o verificação de e-mail e telefone. Para ocultar sua atividade maliciosa, LoveGPT utiliza ferramentas de anonimato como AdsPower, FraudFox e Kameleo e apartir de marzo, com sua integração com ChatGPT, logra a eficácia dos perfis granulando-os por tipo de aplicativo de citações: viagens, romance, amizade, conexões, etc.

A tecnologia OpenIA é relativamente recente, no entanto, esse tipo de chatbots tem estado presente nos aplicativos de citações com registros há mais de uma década, de acordo com os laboratórios de investigação da AVAST.

Data maliciosa

Esta vez a ameaça é mais óbvia, mas não é mais fácil de identificar: uma aplicação de citações com multas fraudulentas dentro de sua constituição, um estudo de Kasperksy revela que os aplicativos de citações são o tema em um quarto lugar para introduzir malware dentro da loja do Google Play, com toda uma economia além da venda da infraestrutura desses aplicativos, se levar ao cabo no DarkWeb, como se fosse tratado de um honeypot: coleta de informações financeiras, dados pessoais e comando e controle.

Em uma pesquisa, a palavra-chave “citas” revelou 1,963 arquivos maliciosos, únicos disfrazados de aplicativos (apps) autorizados majoritariamente: Tinder e Badoo. A crítica radical nos vários vetores que podem descarregar esses arquivos uma vez descargados: Aplicativos que emulam funções do sistema operacional renomeado como “Configurações”, aqueles que logran vincular com aplicativos de banco solicitando permissões aos usuários como o aplicativo de citações, aqueles que preservam toda a interface do aplicativo enquanto instalam malware, etc.

Um exemplo do anterior, é o grupo APT Arid Viper, centrado em habitantes árabes que emulou exitosamente uma versão maliciosa do aplicativo Pulado e a distribuição através do Google Play ocorreu há alguns meses para realizar o download de um módulo C2 (comando e controle) de uma fonte externa. O malware pode desativar as notificações de segurança e coletar informações do dispositivo, além de instalar outros aplicativos no dispositivo. Esta campanha foi ativada cerca de um ano antes de ser removida da loja.

Encontrar o amor em mídias digitais é, na verdade, difícil. Se é mais ou menos difícil do que nas interações físicas do dia a dia, é subjetivo. Mas, sem dúvida, inclua os riscos próprios do ciberespaço, as estafas especializadas e o fato de que não há medidas 100% efetivas para permanência segura, abre a possibilidade de melhor unir-nos ao lado escuro e apropriar-nos dessas técnicas experimentais: usar LoveGPT para praticar conversas românticas e triangulação de GPS para saber onde há mais pessoas solteras e ajudar esses bares locais ¿por que não?. Na guerra e no amor, tudo é válido, dito por aqui.

Fátima Rodríguez é apaixonada pela tecnologia, pelo hacking, pelas caminhadas, pelo teatro e pelos gatos. É dedicado às testes de segurança e à comunidade de cibersegurança como principal hobbie.
Se você está gostando de nosso conteúdo, por favor, compartilhe esta postagem com sua comunidade nas redes sociais.
Compartilhe Este