Giro

Evitar invasão cibernética é mais fácil do que parece, diz especialista

Evitar invasão cibernética é mais fácil do que parece, diz especialista

Os bandidos cibernéticos que escolheram invadir a conta do Instagram da atriz Cleo Pires, na semana passada, talvez tenham feito um bom serviço a qualquer um que tenha um perfil online (plataformas, redes sociais, aplicativos de mensagens, e-commerce etc.): mostrar que, não importa se nos chamemos Pires ou Moro, Galisteu ou Silva, estamos todos sujeitos a ataques virtuais.

Talvez você pense: não é bem assim, não sou famoso nem rico. No caso de Cleo, os hackers publicaram em seus stories anúncios falsos, oferecendo iPhones, MacBooks e carros, que direcionavam os usuários para páginas contaminadas com vírus. No seu caso, você pode ter senhas e dados financeiros roubados, ser extorquido e/ou ter sua vida privada exposta – provavelmente o que os piratas queriam fazer com os seguidores da atriz. Caso você seja uma pessoa importante em alguma grande corporação, a busca por suas informações privadas tem até nome. Chama-se whaling (em tradução livre, pesca à baleia).

“Hoje, existem só no WhatsApp e Telegram mais de 1800 grupos vinculados a fraudes, com 100 a 150 participantes cada”, disse Bruno Prado, vice-presidente da Associação Brasileira de Segurança Cibernética e CEO da UPX, empresa que desenvolve tecnologia para prevenção de segurança da informação. “Imagine o número de atividades maliciosas que estão armando!” Durante a entrevista, na segunda-feira 21, Prado estava acompanhando os dados mapeados por sua empresa, que mostravam ainda 76 páginas falsas de phishing do FGTS (truque para induzir o usuário a alguma ação, a fim de, ao final, se aproveitar do dinheiro dele).

CLEO PIRES

Em uma das “promoções” que os invasores postaram no perfil de Cleo Pires, lia-se: “Eu estou dando 1000 iPhone XS grátis e muito mais na minha história do Instagram agora. Eu amo todos vocês”. Pode-se deduzir o processo todo: o seguidor abria o post ou clicava para assistir os stories supostamente publicados pela atriz, era conduzido a “arrastar para cima” a fim de se cadastrar, para, enfim, ganhar o presentinho. É nesse movimento que o vírus invasor se apodera do aparelho eletrônico da vítima, confiscando informações digitais que serão usadas para uma infinidade de fraudes.

Há que se imaginar que, mesmo sendo uma promessa do tipo inacreditável como as postadas no Instagram da atriz, e tendo a pirataria na internet praticamente a mesma idade da rede (crime que já deveria ser de conhecimento popular), as pessoas ainda caem nesse tipo de truque por força do influenciador agredido. É comum famosos fazerem merchandising para várias marcas. É por esse poder de sedução que famosos são tão procurados por hackers.

O crime cibernético, no entanto, é “democrático”: ele se impõe sobre pobres e ricos, anônimos e famosos, jovens e experimentados. Mas dificilmente pega quem tomar duas atitudes básicas, garante o CEO da UPX: os usuários que habilitam a autenticação de dois fatores (two factor autentication, ou 2FA) e, junto com ele, instalam um software de gerenciamento de senha. “Com isso a probabilidade de você estar seguro (na navegação) é de 99%”, garante Prado.

FACEBOOK E WHATSAPP

O que ocorre, comenta o executivo, é que muita gente coloca a mesma senha em logins de vários serviços virtuais (aplicativos de mensagens, sites, serviços de informação, e-commerces e até bancos). Uma vez capturado pelo hacker, esse código é testado em várias outras plataformas que ele sabe que você frequenta. O software gerenciador de senhas, encontrado gratuito na Internet, resolve esse problema. Ele produz automaticamente uma senha para cada serviço virtual, sem repeti-las.

A autenticação de dois fatores é mais fácil ainda de usar. Ao instalar, por exemplo, o Facebook e o WhatsApp, as próprias plataformas oferecem o 2FA – que muita gente não ativa por receio de receber o segundo código via SMS. Esse sistema nada mais é do que ter uma nova etapa de verificação para provar que é você mesmo que está entrando no serviço em que está inscrito. Pode, por exemplo, pedir para você digitar um código enviado por SMS, email ou mesmo chamada telefônica, que chega no número ou caixa postal que você tiver cadastrado. Essa verificação sempre é pedida caso você acesse suas contas por outro aparelho. “Quem habilitar o 2FA não vai experimentar o que aconteceu com o (ministro Sergio) Moro”, disse Prado. O então juiz Sergio Moro teve hackeadas suas conversas com procuradores da operação Lava Jato quando se comunicava pelo aplicativo Telegram.

O WhatsApp, por exemplo, identifica e avisa se houve tentativa de recuperação de senha (ou se alguém tentou várias vezes entrar em seu perfil). Mesmo assim, dia 9 de outubro foi a vez de a atriz e apresentadora Adriane Galisteu tornar pública a experiência de ter tido seu aparelho hackeado por alguém que usou seu WhatsApp para aplicar golpes em sua lista de contatos.

CRIME DEVASTADOR

O crime virtual é rápido e devastador. É por isso que empresas de grande porte alocam até centenas de colaboradores em equipes de defesa anti-invasões. O processo é simples: um time (red team), formado por hackers, tenta achar uma brecha no sistema de proteção, formado por um segundo time (blue team). “Para criar a defesa, tem que saber atacar”, explica Prado.

No campo individual, Prado cita o caso hipotético de um usuário que teve a conta de WhatsApp invadida, e o hacker, já de posse da senha da caixa postal, ter pedido por e-mail a recuperação do login do aplicativo de mensagens. Aí fica fácil: o criminoso entra via WhatsApp Web. Outro exemplo citado pelo executivo de segurança cibernética, desta vez de extorsão: um usuário tem sua senha vazada por uma plataforma qualquer (por bug ou hackeamento), como já aconteceu com LinkedIn e outras redes, e essa senha eventualmente ser a mesma que ele usa para checar seus exames em um laboratório médico. O hacker descobre que o dono do perfil tem HIV e começa extorqui-lo via Facebook.

Como recomendação de plataformas de segurança, tanto para gerenciamento de senha como instalação de segundo fator de autenticação, Prado cita a LastPass e 1Password.