Hacker invade sistema de presídio para libertar seu colega mais cedo

Existem inúmeras motivações para ataques hackers. Eles podem ser realizados para obter informações privilegiadas, roubar dados pessoais, para roubar dinheiro, etc. Poucos ataques, no entanto, se comparam ao realizado por Konrads Voits, um americano que invadiu o sistema de uma penitenciária para alterar a data de libertação de um companheiro.

O rapaz, de 27 anos, se declarou culpado por hackear a rede do presídio do condado de Washtenaw, no estado de Michigan nos EUA. O ataque envolveu boas doses de engenharia social, técnica no qual o hacker se aproveita da ingenuidade das vítimas e faz uso de sua lábia para enganá-las.

O ataque descrito nos documentos do processo mostra que antes de tudo, Voits criou um site falso. Ele registrou um site com o domínio ewashtenavv.org (com duas letras “v” se passando por um “w”), um endereço que se aproxima do domínio ewashtenaw.org, o site oficial do condado de Washtenaw, e passou a enviar esse link por email para funcionários da penitenciária identificando-se como “Daniel Greene”, tentando infectar as máquinas por método de phishing.

No entanto, ele só obteve sucesso quando passou a ligar diretamente para funcionários do presídio se passando por dois funcionários do departamento de TI do estabelecimento. Foi assim que ele convenceu as pessoas a baixar um malware sob o pretexto de “atualizar o sistema da penitenciária”, que deu a ele o controle da rede.

A partir daí, ele teve acesso ao software XJail, que monitorava as atividades dos detentos, e todos os registros armazenados na rede, incluindo informações dos prisioneiros e dos funcionários. Com o controle do XJail, ele acessou o registro de vários detentos e alterou os registros de um deles para tentar fazer com que ele fosse liberado mais cedo.

Não demorou muito, no entanto, para o ataque ser percebido. Os funcionários notaram o problema e alertaram o FBI. O presídio também precisou contratar uma empresa especializada em planos de resposta a incidentes em TI, que cobrou US$ 235 mil pelo trabalho de determinar a extensão dos danos.

Agora que se declarou culpado, Voits pode pegar até 10 anos de prisão e pagar uma multa de até US$ 250 mil, além de entregar todos os equipamentos eletrônicos usados no ataque, incluindo um notebook, quatro celulares, uma placa lógica e uma quantia não divulgada de bitcoins. A sentença será definida em novo julgamento marcado para abril de 2018.