O pesadelo do cinema torna-se realidade: a mais recente ameaça de ataques IoT por hackers

No filme de terror de 1986, “Maximum Overdrive”, de Stephen King, uma história sinistra retratava máquinas ao redor do mundo começando a atacar humanos devido à influência de uma chuva de estrelas cadentes. Contudo, esse pesadelo cinematográfico deixou de ser ficção e se tornou uma realidade ainda mais assustadora, impulsionada por ataques de hackers a dispositivos IoT. Sua casa, com aspiradores inteligentes, frigoríficos, câmeras de campainha — todos esses dispositivos podem se tornar portas de entrada para invasores.

Dispositivos inteligentes podem ser portas de entrada para hackers

Imagine a cena: ao acordar, seu aspirador começa a se mover sozinho, seu frigorífico exige resgate, e todos os fundos da sua carteira de criptomoedas ou conta bancária são roubados. Não é uma história de filme, mas uma possibilidade real.

Como apontado por Tao Pan, pesquisador da empresa de segurança blockchain Beosin, “dispositivos IoT inseguros, como roteadores, podem servir como pontos de entrada na rede doméstica”. Atualmente, estima-se que existam 18,8 bilhões de dispositivos IoT no mundo, com cerca de 820 mil ataques diários a esses dispositivos.

Dados de 2023 mostram que uma residência média nos EUA possui cerca de 21 dispositivos conectados, e aproximadamente um terço dos usuários de dispositivos domésticos inteligentes relataram vazamentos de dados ou fraudes nos últimos 12 meses. Uma vez que um hacker consegue invadir esses dispositivos, ele pode controlá-los um a um, até alcançar seu computador ou smartphone usado para transações de criptomoedas. Isso representa uma ameaça especialmente grave para usuários que utilizam APIs para negociações automáticas.

A crise começa na cafeteira

Em 2019, Martin Hron, da Avast, demonstrou como hackers podem invadir facilmente redes domésticas. Seu alvo foi uma cafeteira aparentemente inofensiva.

Hron descobriu que, como a maioria dos dispositivos inteligentes, a cafeteira não tinha proteção padrão e podia se conectar ao Wi-Fi sem senha. A rede Wi-Fi de configuração inicial do aparelho não tinha senha, e muitos consumidores não percebem o risco.

Ele explicou na demonstração pública da Avast: “Podemos substituir o firmware, ou seja, todo o software da cafeteira. Podemos adicionar ou remover funcionalidades, ou até mesmo quebrar a segurança embutida”. Na demonstração, ele exibiu uma mensagem de resgate na tela da cafeteira, além de bloquear completamente o dispositivo.

Ainda mais assustador, hackers podem ativar o aquecedor sem limite, criando risco de incêndio, ou usar a água fervente para ameaçar a vítima. Em casos extremos, a cafeteira pode se tornar uma porta de entrada silenciosa na rede, permitindo que hackers monitorem suas informações bancárias, e-mails e até a frase de recuperação de suas criptomoedas.

De cassinos a residências: exemplos reais de táticas de hackers

Ataques a dispositivos não escolhem categoria. Em 2017, um cassino em Las Vegas sofreu uma invasão surpreendente: hackers usaram um aquário conectado como ponto de entrada para roubar 10 GB de dados confidenciais.

O aquário tinha sensores inteligentes que controlavam temperatura, alimentação automática e limpeza, todos conectados ao computador da rede do cassino. Os hackers se moveram lateralmente por essa entrada inesperada, transferindo os dados para um servidor remoto na Finlândia. Apesar de o cassino usar firewalls e antivírus padrão, o ataque foi bem-sucedido. Felizmente, a ameaça foi detectada e neutralizada rapidamente, mas o episódio evidenciou a vulnerabilidade de dispositivos IoT.

Cryptojacking: hackers visam a rede elétrica

Em 2020, durante a pandemia, a empresa de segurança Darktrace detectou uma operação de mineração de criptomoedas escondida em um servidor de autenticação biométrica. Um arquivo suspeito foi baixado de um IP desconhecido, e o servidor passou a se conectar repetidamente a uma pool de mineração de Monero, uma criptomoeda focada em privacidade.

Esse tipo de ataque, chamado “cryptojacking”, vem crescendo rapidamente, segundo a equipe de inteligência de ameaças da Microsoft em 2023. Hackers focam em sistemas Linux e dispositivos conectados à internet, usando ataques de força bruta para invadir redes, instalar backdoors e rodar malware de mineração. Como resultado, sua conta de luz dispara, e os lucros da mineração vão direto para a carteira do hacker.

Pesquisadores da Universidade de Princeton alertam para um cenário ainda mais grave: se hackers controlarem 210 mil dispositivos de alto consumo energético, como ar-condicionado, e os ativarem simultaneamente, podem causar uma queda de energia de aproximadamente 38 milhões de pessoas na Califórnia. Quando esses dispositivos se concentram em uma parte da rede elétrica, ela pode sobrecarregar, queimar circuitos ou disparar disjuntores, levando a uma cascata de falhas na rede elétrica.

Sua câmera de aspirador te espionando

Em 2024, vários aspiradores Ecovacs fabricados na China começaram a ligar-se automaticamente na América, devido a uma vulnerabilidade de segurança explorada por hackers.

Esses invasores podiam controlar remotamente os dispositivos, assustar animais de estimação, insultar usuários através do alto-falante embutido ou até usar a câmera para espionar a casa em tempo real. Segundo a Kaspersky, “um dos problemas sérios de dispositivos IoT é que muitos fabricantes continuam negligenciando a segurança”.

Se hackers obtiverem vídeos de suas senhas ou frases de recuperação de criptomoedas, o resultado pode ser devastador. Seus ativos digitais podem ser roubados em poucos minutos.

Como proteger sua casa na prática

Então, como se proteger dessas ameaças crescentes?

Joe Grand, hacker profissional, recomenda a estratégia mais segura: “Evite usar dispositivos inteligentes ao máximo. Meu smartphone é o dispositivo mais inteligente em minha casa, mas só uso para navegação e comunicação com a família. Quanto aos dispositivos domésticos inteligentes? Nunca uso.”

Porém, se você não puder abrir mão da conveniência, Hron, da Avast, sugere algumas dicas práticas:

Primeiro, configure senhas fortes e únicas em todos os dispositivos inteligentes. Deixe de usar as configurações padrão de fábrica, que facilitam a invasão.

Segundo, crie uma rede de convidados separada para seus dispositivos IoT. Assim, seu computador e smartphone ficam isolados da rede principal, dificultando que hackers se movimentem lateralmente caso algum dispositivo seja comprometido.

Terceiro, desconecte os dispositivos quando não estiverem em uso e mantenha o software atualizado. As atualizações de segurança corrigem vulnerabilidades conhecidas.

Por fim, utilize ferramentas de varredura de rede — pagas ou gratuitas — para identificar vulnerabilidades potenciais. Essas ferramentas ajudam a visualizar a segurança da sua rede e detectar pontos fracos.

No mundo de “Maximum Overdrive”, estrelas cadentes enlouqueceram máquinas. Na nossa realidade, hackers desempenham esse papel. Equilibrar conveniência e segurança dos dispositivos inteligentes é essencial para garantir uma vida digital segura até 2026.