Eles querem suas “senhas”!

Nas últimas duas semanas, trouxemos para esta coluna uma reflexão de como estamos deixando nossas pegadas digitais, tanto aquelas que deixamos sabendo o que estamos fazendo quanto aquelas que governos e grandes empresas de mídias coletam sem nos darmos conta. Em um primeiro momento, estes dados coletados não têm grandes consequências para nossas vidas, a menos que você resolva agir de forma agressiva e desrespeitar as legislações existentes, como por exemplo, partir para ofensas e destilar preconceito achando que está protegido atrás de um monitor.

Acontece que estes não são os únicos dados coletados dos internautas, pois têm também aqueles que são “roubados” com intenções nada honestas e, geralmente são obtidos por meio da Engenharia Social, a qual refere-se a um termo que descreve um método de manipulação onde pessoas se utilizam da persuasão para conseguir informações das outras, sem a necessidade de uma abordagem com ameaça física ou psicológica, pois as “vítimas” normalmente fornecerão as informações ou valores solicitados de forma voluntária e sem perceber que estão fazendo.
A manipulação de pessoas e comunidades inteiras por meio da Engenharia Social não é nova e já existe a milênios, mas encontrou na internet uma nova plataforma para que as pessoas que a utilizam com fins errados possam atacar centenas ou talvez até milhares de internautas com apenas alguns cliques, e tudo isso sem a necessidade de se “arriscarem” pessoalmente.
 
Na vida “real”, um exemplo clássico da aplicação deste método é o “golpe do bilhete premiado” (existe desde a década de 1930), onde uma pessoa com aparência humilde aborda a vítima, geralmente idosos que são mais vulneráveis, com uma história elaborada para mexer com os sentimentos desta, e pedindo ajuda para conferir um bilhete com uma “aposta premiada”. Uma segunda pessoa também aparece para dar veracidade a história e oferecer ajuda. O golpe está baseado em ter uma aposta real com os mesmos números sorteados, porém de um concurso diferente. Por meio da manipulação e sempre se aproveitando da boa vontade, ingenuidade e da “ambição” da vítima os estelionatários acabam conseguindo grandes quantias em dinheiro sem a necessidade do uso de armas ou outro tipo de ameaça física.

Já na internet são vários os meios utilizados para conseguirem o que querem, como por exemplo, o ataque direcionado que é enviar um e-mail com informações e layout parecendo real, inclusive por vezes utilizando o mesmo endereço de remetente de uma pessoa conhecida. No texto deste há instruções para que o destinatário clique em algum link/imagem/anexo, o que ao fazê-lo irá baixar um trojan ou um vírus para o computador, e assim, todos os tipos de informações podem ser acessadas remotamente. Estamos falando desde arquivos diversos, informações pessoais, fotos (de todos os tipos), contas e senhas bancárias, além de logins e senhas dos websites que você acessa regularmente.

Há ainda os ataques maciços por meio de e-mails chamados de phishing, onde não há uma vítima específica, mas sim, quem “cair” no golpe. Neste caso, o layout e o texto também são muito bem elaborados de tal modo a parecerem reais, apenas mudando o link, substituindo o real por um outro que da mesma forma que citado acima, irá instalar uma praga no computador. Neste caso, o ataque pode ocorrer não só com o envio de e-mail, mas também por meio de um website “réplica”, o qual tem até mesmo o endereço “url” similar ao original. Exemplos deste tipo de ataque são aqueles que recebemos se passando por empresas reais, como bancos, seguradoras, concessionárias, etc. Se você não é cliente da suposta empresa remetente, delete o e-mail sem nem mesmo abri-lo ou saia do website sem digitar nada. Porém, se você é correntista do banco remetente, por exemplo, e ficou em dúvida, antes de sair clicando e “confirmando sua senha” (saiba que nenhum serviço pede este tipo de informação por e-mail), entre em contato com a empresa. A propósito, não confie no número de telefone descrito na mensagem, pois hoje é muito fácil conseguir até mesmo um “0800” virtual.

E mais recentemente, com a popularização dos smartphones e dos mensageiros eletrônicos (Whatsapp, Messenger, Skype, Telegram, dentre muitos outros), ampliou-se ainda mais as plataformas de ataque. Da mesma forma que no caso dos e-mails, evite sair clicando em todos os links recebidos por mensagem, inclusive nos “GIFS” animados (aquelas figurinhas engraçadas que se movimentam), pois poderá estar baixando um vírus para seu telefone. Importantíssimo: os telefones com sistema operacional Android são muito mais vulneráveis a vírus. Reflita, quanta informação seu telefone sabe sobre você?

Há ainda muitas outras formas de ataque, que vão desde infiltrar “programas espiões” dentro de servidores, interceptar mensagens, clone de websites, portais com links maliciosos, e mais algumas centenas de outras formas, que não caberiam nesta coluna, e sim, seriam necessário alguns livros para descrever todos.

Por fim, desconfie das mensagens eletrônicas de terceiros (e até mesmo de conhecidos) tanto quanto você desconfiaria de um estranho que nunca viu.

Ficou interessado pelo assunto? Uma sugestão de leitura é o livro “A Arte de Enganar” de Kevin D. Mitnick, e se impressione de como era fácil para ele conseguir o que queria, apenas se utilizando da ingenuidade e boa vontade das vítimas.

Saiba quem está te ligando
Outro tipo de ataque é por telefone mesmo (muitas vezes das próprias operadoras tentando te vender “penduricalhos” para seu plano), e neste caso temos aplicativos que nos ajudam a identificar os remetentes de ligações/mensagens recebidas:
• Whoscall
• Truecaller
Ambos os aplicativos têm versões gratuitas além de versões pagas, e ambos funcionam em telefones Android e iPhones. Qual é o melhor? Ambos são bons inclusive nas versões gratuitas, vai depender de qual você se identificar mais. Dica: baixe estes aplicativos e outros somente das lojas oficiais: apple store (iPhone) e Google Play Store (Android).
Leia outros textos desta coluna em: http://bit.ly/fernandopitt.