Segurança

Detalhes

Categoria: Armadilhas na Web

Atualização: Domingo, 12 Abril 2009 17:13

Autor: vovó Vicki

Acessos: 6661

Como os "cybercrimes" afetam a vida das pessoas? Dê uma olhada nestes exemplos da vida real. Para evitar se tornar uma vítima deste tipo de crime, aprenda o básico sobre proteção "online".

Estória de Sandra

Sandra E. é uma profissional de Recursos Humanos, que mora em uma pequena cidade em Miami, Flórida. Ela usou um computador em seu serviço por mais de dez anos. No serviço, seu computador é mantido pelo Departamento de Informática e ela nunca teve problemas de segurança nele.

Sandra se considera uma pessoa esperta ao lidar com computadores e acredita estar na parte menos propensa a sofrer fraudes via computador porque:

• Ela nunca faz compras online porque ela não quer expor as informações de seu cartão de crédito e não gosta da idéia de que os dados a respeito de suas compras caiam em mãos erradas, que poderiam montar um perfil do que ela gosta e não gosta;
• Ela usa seu computador doméstico apenas para enviar e receber emails para amigos e familiares e, eventualmente, surfar a rede em procura de novos desenvolvimentos em seu campo de trabalho e para fazer serviços bancários uma vez por mês, através do site de seu banco;
• Ocasionalmente, ela vê outras coisas na rede, mas não tão freqüentemente.

A situação de Sandra parece bastante segura, certo?

Infelizmente, as aparências podem enganar. No serviço, um dia, no último verão, Sandra ouviu algo sobre uma vulnerabilidade do Internet Explorer; a ameaça era tão crítica que o Departamento de Informática da empresa distribuiu correções de emergência para todos os computadores em operação no escritório. Ela quis se assegurar de que seu computador doméstico também estava seguro e, chegando em casa, resolveu procurar, na Net, informações acerca dessa vulnerabilidade, para se assegurar de que ela estaria protegida.

Usando uma ferramenta de busca popular, ela encontrou um Web site que não apenas dava informações sobre a vulnerabilidade, mas também uma proteção para a mesma, com um download automático para seu computador. Sandra leu a informação, mas resolveu não aceitar o download, uma vez que ela tinha sido ensinada a só fazer downloads de fontes autorizadas. Desta forma, ela foi ao site oficial da Microsoft, para obter a proteção "oficial".

O que acontece de errado, então?

Infelizmente, enquanto Sandra estava lendo a informação sobre a vulnerabilidade, no primeiro site, o criminoso, que havia criado o site estava se aproveitando do fato de que o computador de Sandra de fato tinha a vulnerabilidade. Na realidade, quando ela estava clicando em "No" (para não aceitar o download), sem seu conhecimento, a instalação criminosa de um pequeno, mas poderoso programa estava sendo feita em seu computador.

O programa era um registrador de "digitação". Simultaneamente, o dono do site era avisado de que o registrador tinha sido, secreta e seguramente instalado no computador de Sandra. O programa era desenvolvido de forma a registrar, secretamente, TUDO O QUE ELA DIGITASSE EM SEU COMPUTADOR a partir daquele momento, assim como enviar todas essas informações para o dono do site. E ele funcionava sem falhas também – registrando tudo o que Sandra digitasse, cada site que ela visitava e cada email que ela passava, enviando todas as informações para o "cybercriminoso".

Mais tarde, naquele dia, Sandra terminou sua operação mensal com seu banco. Assim que ela se registrou no site do seu banco, o programa registrador gravou todas as informações passadas, inclusive informações confidenciais, o nome de seu banco, sua ID de usuário, sua senha, os quatro últimos dígitos de seu Seguro Social e o nome de solteira de sua mãe. O sistema do banco era seguro e todos os dados que ela digitava eram encriptados, de forma a que ninguém ao longo da rota pudesse ter acesso a esses dados. Entretanto, o programa registrador estava gravando essas informações em temo real – assim que ela as digitava – e antes de elas serem encriptadas. Desta forma, era fácil contornar a segurança que estava em funcionamento.

Era só uma questão de tempo, até que todas as suas informações confidenciais estivessem nas mãos do "cybercriminoso". Este adicionou seu nome e todas as suas informações a uma lista de outros usuários inocentes e vendeu esta lista a alguém que ele havia conhecido na Net – alguém especializado em usar informações de banco roubadas para fazer saques ilegais.

Quando Sandra foi fazer um depósito, algumas semanas mais tarde, e perguntou pelo seu saldo, ela ficou chocada ao ver que sua conta no banco estava praticamente a zero.

Sandra havia sido mais uma vítima de um "cybercrime".

Este é o tipo de estória sobre a qual as pessoas pensam, quando pensam em "cybercrime" e está se tornando cada vez mais familiar. Leias as próximas estórias, para aprender mais o que o "cybercrime" envolve.

Estória de Steve

Steve F. mora nos subúrbios de Kansas City, Missouri e é um ex-funcionário aposentado do governo. Steve tinha software antivírus e um Firewall e os mantinha sempre atualizados. Ele sabia que não devia clicar num anexo a um email, se ele não o estivesse esperando, e sabia que essa precaução se aplicava tanto a emails de amigos quanto de "desconhecidos".

Um dia, em setembro passado, Steve recebeu um email que parecia ter sido enviado pelo seu banco, pedindo que ele se "logasse" à sua conta bancária e de investimentos, para atualizar suas informações pessoais. Ele clicou na URL do email e foi direto para o site do seu banco – ou assim parecia. Na realidade, a URL no email levou Steve para um site "parecido". O site parecia idêntico ao site do seu próprio banco, de forma que, quando lhe perguntaram sobre o número de sua conta, nome de usuário e senha, ele automaticamente começou a digitá-los. Então, ele se lembrou de algo que ele ouvira numa palestra em uma das reuniões do seu Rotary Club local, havia aproximadamente dois meses.

O conferencista falara sobre ataques de "phishing" – mencionando, especificamente, sites "parecidos". A chave para reconhecê-los, Steve se recordou, era a de que um banco NUNCA manda a seus clientes emails com um link neles, pedindo-lhes para clicar neles e "logar" na sua conta. "Se você receber um tal email", disse o conferencista, "simplesmente desfaça-se dele". E foi o que ele fez.

Steve tinha sido a última pretensa vítima do que ele havia ouvido sobre, recentemente – um ataque de "phishing". Entretanto, ele se recordou, ainda em tempo, da regra simples de que um banco nunca envia a um cliente um link da Net, via email, pedindo que seus correntistas enviem informações pessoais. Tivesse ele feito o que era pedido e os "cybercriminosos" teriam tudo do que precisavam para manipular sua conta de investimentos.

Estória de Koby

Alguns dos métodos de "phishing" podem ser bastante sofisticados. Koby, instrutor de uma escola de nível médio, recentemente foi vítima de um tal esquema. Koby estava usando o eBay para vender um de seus veículos e encontrou um comprador conveniente, após alguns dias. O comprador pagou pelo veículo e Koby retirou seu anúncio do eBay.

Ele ficou intrigado quando, ao entrar em sua conta no eBay, ele foi informado de ainda tinha "um item à venda". Ele foi à sua página e lá estava o veículo – o mesmo que ele havia acabado de vender – à venda. O endereço de email que estava no anúncio não era o seu. Era bastante parecido, de tal forma que a maioria das pessoas não notariam ou suspeitariam, mas Koby sabia – e ele notou que algo não estava certo.

Ele enviou um email para o "vendedor", se oferecendo para comprar o veículo e fez as negociações para o envio do dinheiro. Como ele descobriu, o "vendedor" estava localizado em Chicago. Koby passou as informações ao FBI, que conseguiu rastrear os fraudadores.

Como foi que estes tiveram acesso á conta de Koby, em primeiro lugar? Um email de "phishing", avisando que a conta de Koby havia sido corrompida, pedia a ele que clicasse num determinado link, para uma URL, para corrigir sua conta no eBay. Ele clicou, foi mandado a uma página que parecia idêntica à sua página do eBay e digitou as informações sobre sua conta. Os criminosos usaram essa informação para entrarem em sua verdadeira conta do eBay e mudar o número do telefone de contato.

Estória de Michelle

Michelle, uma esteticista do Kansas, conseguiu seu primeiro computador há três anos e ela se alegrava recebendo emails de seus antigos colegas da escola. Ela também gostava de dar uma olhada nos últimos lançamentos de produtos de beleza, online, apesar de nunca ter comprado nenhum deles. Ela era mãe solteira, com dois filhos, e um dos usos do computador era para seus filhos fazerem pesquisa para trabalhos da escola.

Entretanto, durante o último ano, Michelle notou que seu computador parecia estar trabalhando muito mais lentamente. De fato, na época em que nós a entrevistamos, ela e seus dois filhos haviam parado de usar o computador, pelo fato de ele estar tão lento que era praticamente inútil.

No Natal, ela decidiu comprar presentes para algumas das pessoas com as quais ela trabalhava. Em particular, ela queria localizar algumas joaninhas vivas, para dar para uma das moças, no trabalho. Não tendo um computador utilizável em casa, ela resolveu pedir emprestado o computador de sua avó,para encontrar e comprar as joaninhas. Após um curto tempo, ela notou que o computador de sua avó parecia estar funcionando mais lentamente também e, daí, ela decidiu que computadores não eram "sua praia".

O novo namorado de Michelle, no entanto, era estudante de Engenharia e Ciência de Computadores e, quando ela lhe contou acerca dos computadores "lentos", ele adivinhou o problema na hora: "spyware". Ele fez um download de um programa detetor de "spyware" e confirmou seu diagnóstico. Gastou vários dias para resolver a bagunça mas, eventualmente o "spyware" foi removido e os computadores voltaram ao normal. Ele instalou antivírus e software de segurança para Michelle e sua avó e ambas estavam de volta online, rapidinho. No entanto, a história não termina aqui.

Enquanto Michelle estava usando o computador de sua avó, ela recebeu um "pop-up" dizendo que ela havia ganhado um prêmio de $500. Tudo o que ela tinha a fazer era responder a algumas perguntas e ela poderia reclamar seus $500 em vales-compra, de um shopping local. Michelle respondeu às perguntas e lhe disseram que ela deveria comprar dois pequenos itens, antes de receber seu certificado do prêmio. Ela comprou os dois itens – não muito caros –, do menu, deu as informações de seu cartão de crédito, conforme pedido, e tentou introduzir o resto das informações, para receber o certificado dos $500.

No entanto, o site não aceitava as informações e, após diversas tentativas, ela desistiu e resolveu enviar um email aos donos do site na esperança de que eles a ajudariam a resolver a questão. Ela escreveu para eles duas vezes, mas nunca recebeu uma resposta. Seu cartão de crédito foi debitado sobre os dois "pequenos itens" que ela havia comprado, mas ela nunca recebeu os $500.

Essas ilustrações sobre "cybercrimes" demonstram que os "cybercriminosos" são muito bons em explorar não apenas tecnologia (tais como a vulnerabilidade no browser de Sandra, ou a falta de software de segurança nos computadores de Michelle), mas a natureza humana também. As pessoas tendem a creditar no que elas vêem online e, quando solicitadas por informações, elas tendem a dá-las.

Sendo educados no papel que os usuários podem ter em reduzir os riscos de se tornarem vítimas de "cybercrimes", eles podem aprender a tomar decisões que não apenas os protegerão, mas também a todos aqueles que estão à sua volta e podem ser, de alguma forma, alcançados pelos criminosos.

Fonte

Original em inglês na Symantec

Traduzido por Francisco A. Zerlottini (sem licença).

Você conhece alguma história ou já foi vítima de um crime deste tipo? Conte a sua estória ou faça seu comentário.