Por José Antonio Milagre*
10-12-2009
Advogado Especialista em Direito Digital. DSO Data Security Officer Certified.
Twitter: @periciadigital
E-mail: jose.milagre@legaltech.com.br

Ao fim de mais um ano temos a época das festas, compras, pesquisas, viagens, mensagens, scraps, tweets, férias e inúmeras outras atividades que são fomentadas. Com a Internet, várias relações entre pessoas passaram a se dar na forma de bits, da entrega de um cartão natalino (e-card) à compra de presentes.

Neste cenário, somado ao crescimento exponencial do comércio eletrônico, que deverá atingir 1,63 bilhão este ano, a preocupação dos especialistas é alertar o consumidor e pessoas em face dos golpes, fraudes e crimes praticados pela Internet ou se valendo de informações nela publicadas. Surgem inúmeras “listas de cuidados”. Porém, ignoram os informativos que o crime eletrônico é mutante e que as técnicas usadas há um ano podem não mais serem as de hoje em dia.

Deste modo, apresentamos com um pouco mais de profundidade, cuidados que pessoas devem ter no uso da Internet na época de festas, de modo a não se tornarem vitimas fáceis de criminosos digitais e suas modernas técnicas.

1) Pishing (Pescaria de senhas): Se receber e-mails estranhos, sequer abra!

Nesta época é comum o envio de e-mails natalinos e gifts cards eletrônicos. Ao contrário do que pregam, para não se clicar em arquivos em anexo às mensagens, a orientação aqui é, se possível, sequer exibir ou ler o e-mail. Crackers tem utilizado técnicas de páginas dinâmicas onde a simples “exibição” do e-mail pode conduzir ao download transparente de um backdoor ou malware, que permitirá o controle total da máquina.

E-mail não é tudo! Tome cuidado com o Twitter, pois criminosos digitais estão criando mensagens com urls (links) maliciosas embutidas [1]. O efeito é o mesmo dos e-mails, porém as pessoas que usam o Twitter não possuem a mesma preocupação.

Ainda, esqueça esta história de que você não pode clicar em arquivos executáveis. A verdade é que você não pode clicar em qualquer arquivo que desconheça, ainda que um simples arquivo de texto. Um arquivo .pdf, por exemplo, pode conter código embutido que violará sua privacidade informática rapidamente e de forma imperceptível.

2) E-commerce:     “Cadeado” e “Https” não significam segurança.

A dica já “passada” aos internautas que almejam comprar pela Internet na época de festas é, observe um “cadeadozinho” na barra de status do seu navegador e verifique se a URL (endereço) da página onde você vai fornecer seus dados apresenta um protocolo ou os dizeres “https//”. Isso não quer dizer nada hoje em dia! O crackerismo avançado tem se valido de “fake digital ceritificates”[2] para falsear aspectos visuais muito informados por sites e empresas como característicos de “certificado digital” ou “segurança da transação”. Assim, o site pode até ter os elementos visuais (“cadeado e https”), mas o certificado é falso e muita vezes vencido. A dica é, abra o certificado, e constate dados de validade, a autoridade que o expediu e principalmente, para quem foi expedido.

No mais, valem as dicas básicas de jamais acessar sites de e-commerce por links, não realizar compras pela internet de lan houses, utilizar ferramentas que detectam monitoradores de teclado, keyloggers, testar a segurança do site digitando inicialmente dados incorretos, observar os processos do sistema em execução, e principalmente,  verificar o CNPJ da empresa que mantém o site e optar sempre por compras onde se paga somente no recebimento. Comprar de pessoas físicas? O risco é seu.

Ainda, é possível nos Correios, em caso de compras via Sedex à cobrar, abrir a mercadoria na frente do atendente, para se constatar eventual fraude, bloqueando no ato o pagamento. (mediante insistência e jeitinho brasileiro).

3) Páginas comprometidas: Jamais aceite, concorde ou pressione “ok” ou “run” em caixas de diálogo ou janelas pop-up de sites.

Como dito, o crime eletrônico não é mesmo do ano passado e não será o mesmo o ano que vem, ao passo que, se no ano passado o usuário precisava abrir o anexo de um e-mail para se infectar, hoje basta acessar seu site favorito. Sim, criminosos digitais avançados utilizam técnicas de “code injection” e implantam dentro de um site autêntico, um comando ou instrução maléfica, que pode infectar o computador do usuário (ou milhões de usuários) que o acessar.

A detecção é complexa, eis que o site é realmente autêntico, mas possui um pequeno fragmento de código malicioso. A orientação é, após acessar o site, jamais clique ou confirme instruções que surgirem em uma caixa de diálogo ou janelas pop-up na tela. Na dúvida, force o fechamento do site. Configure seu browser (programa navegador) para não executar scripts ActiveX ou para perguntar antes de qualquer execução.

E se o site realmente usa “pop-ups” (janelas) para interagir com os usuários? Azar o dele, por não contar com uma equipe competente de webmasters.

4) Superexposição: Ninguém quer saber para onde você vai viajar nestas férias!

Ninguém entra em comunidades sociais senão para se expor não é mesmo? O fato é que a brisa das festas potencializa esta conduta automatizada dos brasileiros de “superexposição”. Resultado? Engenheiros sociais e crackers estelionatários utilizam estas informações para o crime.

Este ano tivemos contato com casos onde o criminoso utilizou fotos do TweetPic (que permite que pessoas postem fotos em tempo real de onde estão ou sobre o que estão fazendo), para tentar extorquir a família de uma adolescente. Em outro caso, o cidadão postou no Twitter (Microblog) que iria viajar, e sua casa foi assaltada! [3] A dica é, minimize informar seu paradeiro nas festas ou fotografar lugares em que se encontra, pense que o criminoso digital pode estar neste exato momento capturando as informações para aplicar um golpe.

Jamais viaje para pousadas, chalés, ou apartamentos que reservou na praia sem antes checar os dados físicos do proprietário, ou com base em meros contatos via e-mail. Você pode pegar quilômetros de estrada e ainda dar de frente com criminosos. Em locais desconhecidos, cuidado ao acessar internet de hotspots ou redes wireless desprotegidas; O que a princípio pode parecer uma falha da segurança de TI do local, pode ser na verdade um roteador ou TAP preparado especialmente para capturar dados de turistas, inclusive financeiros. Criptografe seu disco rígido nas férias, para que em caso de roubo ou furto, dados não possam ser lidos facilmente. Existem excelentes ferramentas disponíveis na Internet[4].

5) Derrubar sistemas: Tem época melhor?

Por fim, a última recomendação vai para os administradores de serviços de TI, profissionais de segurança e hackers éticos. Temos identificado a criação de inúmeros “Malware exploitation Kits” [5] confeccionados especificamente para o Natal! Assim, estas ferramentas podem desde apenas farejar dados confidenciais a até mesmo executar um DOS (Denial of Service) nos servidores, tirando serviços, bancos de dados e sites do ar. Milhares de sites sofrerão varreduras. Isto é um fato! Seu site ou serviço será testado e sabatinado à diversas técnicas de intrusão. E onde você estará neste momento? Em casa, comendo panetone? Infelizmente, ser hacker ético ou profissional de segurança implica em não ter direito a férias em momentos em que todos podem assim gozá-las.

Para os administradores de e-commerce, sabe-se que a época de Natal é o pico de fraude de crédito, então, audite os dados dos clientes que se cadastram em seu site, e desconfie de cadastros duplicados ou inconsistências de padrões de consumo. Para não ter problemas judiciais relativos a compras indevidas mediante furto de “id”, registre o IP (Internet Protocol) de conexão dos consumidores e detecte conexões fora do “padrão”.

A dica é, reforce o monitoramento, teste agora seu plano de recuperação e continuidade, analise logs (registros) e conheça as técnicas e ferramentas crackers anunciadas para a época.[6]

Sabe-se que é uma tradição cracker trabalhar em épocas onde ninguém está trabalhando, e se você realmente pensa que pode desligar-se dos seus sistemas nesta época, sinto muito, e prepare-se para a multa da quebra do SLA (Acordo de nível de serviço)!

Com estes cuidados adicionais, aliado ao que comumente é ponderado por empresas de segurança e sites de tecnologia, usuários e empresas poderão acrescentar um grau a mais de segurança nas relações de fim de ano envolvendo, de alguma forma, a tecnologia da informação, o que, embora não mitigue, poderá reduzir significativamente a possibilidade de se tornarem vítimas das novas técnicas cracker, e o pior, bem na época das festas.

NOTAS:

[1] http://www.cnn.com/2009/TECH/06/21/cyber.crime.internet/index.html

[2] http://www.codinghorror.com/blog/archives/001024.html

[3] http://www.infomaniaco.com.br/noticias/o-cara-roubado-aps-informar-no-twitter-que-estava-de-frias/

[4] http://www.truecrypt.org/

[5] http://blogs.zdnet.com/security/?p=2217 http://www.mail-archive.com/cybercrime-alerts@topica.com/msg00118.html

[6] http://www.techshout.com/security/2009/23/mcafee-lists-out-twelve-cybercrimes-of-christmas/