EDIÇÃO DIGITAL

Sexta-feira

19 de Julho de 2019

'Hacker do bem' fala sobre os principais golpes aplicados na internet

Programador lista os principais perigos que existem na web e maneiras de evitá-los

A Symantec, responsável pelos tradicionais programas de proteção da família Norton, divulgou na última quinta-feira (7) a 24ª edição do Relatório de Ameaças à Segurança na Internet. O levantamento traz um dado preocupante: o Brasil saltou de sétimo para quarto país que mais sofre ataques cibernéticos entre as 157 nações analisadas e, nesse ranking, perde apenas para Estados Unidos, China e a primeira colocada, a Índia.

Desde 2014, o engenheiro e programador fluminense Fernando Uilherme Barbosa de Azevedo, que se intitula um hacker ético ou do bem, se dedica ao mercado da segurança digital. Com cinco livros publicados sobre o tema – entre eles Como se Defender Contra Cyberbullying & Trolls, Hackers ExpostosO Negócio Sujo das Fake News –, Fernando mora nos EUA, onde divide o seu tempo entre os escritórios de Miami (Flórida) e San Jose (Vale do Silício/Califórnia) da empresa de segurança e reputação on-line que fundou, a Silicon Minds – a companhia ganhou recentemente uma filial em Londres (Inglaterra).

Na entrevista a seguir, o hacker de 37 anos vai te surpreender ao mostrar perigos que você nem imaginava que existiam na internet e falar da dark web, de cyberbullying e da indústria por trás das populares fake news.

Fernando de Azevedo tem empresa e livros focados na segurança digital (Foto: Divulgação)


Quais são os principais golpes que os hackers aplicam hoje em dia?

O mais comum é o phishing, quando você manda e-mail para uma pessoa fingindo ser uma empresa ou site. Essa mensagem geralmente traz a promessa de dinheiro fácil ou uma promoção imperdível, que leva o internauta a clicar no link oferecido e fazer, por exemplo, uma compra fraudulenta, que ainda permite ao hacker capturar os dados do cartão de crédito para novas transações. Em alguns casos, o e-mail tem uma réplica de um grande e-commerce ou pede para efetuar login em uma página que imita a do banco ou de uma rede social, para roubar as informações do usuário. Também existem muitos hackers tentando entrar nos servidores de empresas, em busca de dados confidenciais.

Como podemos nos proteger disso?

Devemos manter os sistemas e programas de nossos aparelhos atualizados, sempre com os últimos pacotes de segurança, e usarmos a dupla autenticação para informações sensíveis e sigilosas, como as financeiras. Nesse caso, você acessa o site do banco, ele pede seu login e senha e, a seguir, manda um código para o celular. É preciso inserir essa sequência que vem por SMS na página para ela realmente abrir. Assim, há a garantia de que é você mesmo quem está utilizando o serviço. Falando especificamente do phishing, existem ferramentas que reproduzem sites com apenas um clique. É importante observar o endereço da página que abre no navegador após clicar no link do e-mail. Os hackers gostam de brincar com isso e colocam nomedaloja.ecommerce.com, nomedaloja.imperdivel.com.br, nomedaloja.promocaorelampago.com, etc. Ou seja, o site verdadeiro deve ter logo depois do seu nome o .com ou .com.br, não um termo qualquer, e as pessoas acabam
não se ligando nesse detalhe. Não existe almoço de graça. Desconfie do e-mail que não <QA0>
pediu. Se a promoção traz preço barato demais, procure a página da empresa no Google <QA0>
e cheque se o valor procede.

Que plataformas se mostram mais vulneráveis?

No PC, o campeão de vírus e problemas de segurança é o Windows. No celular, o Android ganha nesse quesito. Mas o macOS (dos computadores da Apple), o Linux e o iOS (do iPhone e do iPad) não são mais tão blindados como a gente achava, o número de incidentes envolvendo essas plataformas vem aumentando. Para tentar evitar o hackeamento do smartphone e do tablet, além de manter o sistema operacional atualizado, baixe apenas aplicativos de sites e de fontes confiáveis. Se você tem Android, faça download preferencialmente da Google Play. Quem possui iOS deve focar no iTunes e na App Store. E recomendo colocar um adesivinho na lente da câmera do celular, porque, dependendo do aplicativo infectado, o hacker, sem a gente saber, consegue abrir e usar não só a câmera como o microfone do aparelho – o mesmo ocorre no computador. Ele também pega a lista de páginas em que navegamos, vê se há algum sinal de criptomoeda (moeda virtual, o bitcoin é a principal) e instala um programa para a porta de acesso ficar sempre aberta para invasão. O hacker ainda costuma recorrer ao Keylogger, programa que envia para ele tudo o que nós escrevemos/digitamos.

Qual pessoa é uma vítima em potencial?

Os alvos mais visados são gente com poder e dinheiro, como políticos, empresários e em especial quem trabalha com criptomoeda. As demais pessoas são vítimas normalmente de phishing e do esquema de engenharia social, que funciona da seguinte forma: quando o hacker não encontra nenhuma vulnerabilidade no computador ou no celular da pessoa, começa a estudá-la na internet, para conhecer suas preferências e ter como enviar uma mensagem personalizada com link ou anexo que, se aberto, infecta o aparelho e permite sua invasão. Muita gente também não imagina que existe o chamado e-mail spoofing. 

Ele consiste em quê?

É quando você finge ser parente, amigo ou chefe da vítima e, usando o mesmo endereço de e-mail de quem diz ser, pede para a pessoa, por exemplo, analisar com urgência um documento aparentemente inofensivo, que deve ser baixado, como uma imagem ou PDF, o que contamina o computador, o celular. Para ter certeza de que a mensagem é mesmo daquele remetente, clique no cabeçalho para ver os detalhes completos de envio/origem que geralmente ficam escondidos. Isso permite constatar se o e-mail veio de um servidor diferente do utilizado pela pessoa em questão. No caso de suposta mensagem corporativa, ainda vale conferir se não há nada estranho ou faltando na assinatura do chefe ou colega de trabalho. 

A engenharia social prevê quais outros golpes?

Alguns hackers chegam a se aproximar do alvo e estabelecer um laço afetivo, de amizade. Já vi situação em que o golpista criou perfil falso, pediu uma mulher em casamento e conseguiu tirar dinheiro dela. No dia a dia, pode acontecer de você receber nova solicitação de amizade de uma pessoa que já tinha no Facebook, achar que ela o deletou por algum motivo e clicar em aceitar. Fique esperto, pois esse suposto amigo pode ser um hacker usando perfil duplicado para tentar obter informações suas.O mais seguro, então, seria manter os perfis nas redes sociais fechados? Depende da sua estratégia digital. Tem gente que quer ser famosa a qualquer custo e deixa tudo aberto se tornando um prato cheio para os hackers. Se você gosta de aparecer ou é uma celebridade virtual, precisa filtrar um pouco o que mostra da sua vida, passar o mínimo possível de informações pessoais.

Existe algum outro perigonas redes sociais?

Pode ser que um amigo ou alguém que você segue compartilhe, inadvertidamente, um link que até tem informação interessante, mas que, ao ser aberto, faz o computador ou o celular ser invadido. O WhatsApp também virou um bom canal para os hackers, ainda mais por permitir o envio de arquivos. É essencial explicar esses riscos principalmente para as crianças e os idosos, que são as pessoas mais suscetíveis a incidentes virtuais.

Como os pais devem lidar com o cyberbullying?

Os pais, muitas vezes, não sabem orientar os filhos, porque não tiveram esse problema quando eram mais novos. Devem mostrar para a criança que ela precisa tomar cuidado com o que divulga ou escreve, com o vídeo que posta, pois tudo pode ser usado contra ela. Se os colegas começarem a falar mal e irritar o filho na web, ele tem de entender que não deve se preocupar, que aquilo, com o tempo, vai embora. O melhor é ignorar. Em vez de ficar batendo boca on-line e correr o risco de perder a razão ou criar problemas tentando se defender, a criança tem de avisar os pais sobre o que está acontecendo. Outras medidas necessárias: reportar os posts, tirar fotos deles e registrar ata notarial em cartório para respaldo em eventual processo, bloquear o autor do bullying e notificar a escola do ocorrido.

O que mais é importante?

Tem criança que, ao sofrer cyberbullying, apaga suas contas na internet. Conclusão: a única coisa que fica aparecendo sobre ela na web é o próprio cyberbullying. Agora, se o filho mantém uma presença on-line positiva, com blog e redes sociais bacanas, isso vai sobrepor o bullying virtual.

As transações econômicas estão cada vez mais digitais. Que deslizes devem ser evitados nesses procedimentos?

As pessoas escolhem senhas óbvias e normalmente têm apenas uma ou duas opções de códigos, o que facilita a vida do hacker. Vamos supor que eu queira roubar a sua senha. Posso mandar phishing de um serviço incrível, que pede a criação de uma conta. Provavelmente a senha que você vai utilizar será a mesma do e-mail, do Facebook, do Instagram ou do banco. Só por isso, o hacker já conseguirá acessar uma ou várias dessas contas. Cuidado: quando ele entra no seu e-mail, faz verdadeiros horrores, porque tem como pegar autorizações para trocar a senha do banco etc.

Como criar uma senha segura?

Nada de escolher uma única palavra. Opte por uma sequência difícil, com caracteres especiais, números e alguma letra maiúscula. E possua uma senha exclusiva para o banco. Outra dica: evite utilizar wi-fi gratuito. Imagine o seguinte: em um café, não existe nada indicando que lá tem wi-fi de graça, mas, no seu celular, aparece uma rede aberta com o nome do lugar. Há chance de um hacker estar em um cantinho da cafeteria usando um aparelho baratinho que conectado ao notebook disponibiliza um wi-fi falso. Ao se logar nessa rede, você, na verdade, estará entrando no computador do hacker e ele conseguirá ver tudo que fizer.

As ferramentas de busca, como o Google, oferecem riscos?

Há agências de marketing digital que trabalham o posicionamento de certas palavras-chaves nos mecanismos de busca. Às vezes, você está procurando algo e os dez resultados da primeira página do Google foram manipulados por essas empresas para conseguir seus cliques e chamar sua atenção para os clientes delas. E esses sites listados, dependendo da situação, por mais que pareçam diferentes, podem ser todos do mesmo dono. Também devemos levar em conta que o Google, apesar de tentar mostrar conteúdos de qualidade para se manter relevante, precisa ganhar dinheiro. Então, todo conteúdo patrocinado que for trazer renda para o buscador sempre será privilegiado em relação àquele que não gera receita nenhuma. Existe claramente um conflito de interesse aí. Além disso, tem o aspecto da privacidade. Por saber quem você é, o Google pode começar a deduzir o seu padrão de consumo e orientar os resultados da pesquisa com base nesses dados, para estimular uma eventual compra.

Pode dar um exemplo prático disso?

Tem agência que constrói uma estratégia fundamentada em dados controversos. Nesse caso, cria 30 artigos sobre os malefícios do cigarro e outros 30 falando sobre o que existe de positivo em fumar. No fundo, a equipe de marketing quer jogar o internauta em um <funil de vendas, que vai inserir um cookie no navegador da pessoa e começar a influenciá-la para comprar um cigarro ou mesmo um adesivo para parar de fumar.

Dá para fugir dessa pegadinha?

Por melhor que seja a informação listada no buscador, analise se ela não tenta influenciar determinado comportamento. Um simples cookie pode fazer com que você seja monitorado e bombardeado em futuras pesquisas. Limpar o histórico do navegador com frequência é válido. Também indico o plug-in Privacy Badger, que permite configurar quais cookies serão bloqueados. Eu ainda uso um firewall para limitar o acesso a propagandas etc.

Pelos seus estudos, quem geralmente está por trás de fake news?

Identifiquei três fontes. A primeira é a pessoa que age por ideologia, que luta para o candidato dela ganhar as eleições e fica espalhando fake news nas redes sociais e no WhatsApp. A segunda fonte é a empresa de marketing, que prepara notícia falsa, muito viral e sensacionalista, para conseguir compartilhamentos, visitas ao site daquele conteúdo e, consequentemente, trazer dinheiro para o cliente por meio das propagandas na página. Por último, há os grupos de hackers que faturam uma grana pesada para trabalhar mirando em eleições, sucessões ou disputas de cargos em empresas e demais situações ligadas a poder. Eles montam notícias bem feitas, embasadas, e utilizam links do Google e perfis falsos nas redes sociais para disseminar e ranquear suas fake news. O curioso é que o hacker desse grupo pode ser um americano que trabalha da Etiópia para uma empresa russa, usando servidor que fica na França. Como você chega nesse cara? Por os hackers ainda estarem conectados a uma rede privada virtual (VPN), ela também os ajuda a saírem completamente impunes por crimes como divulgar pornografia infantil, ameaçar pessoas, publicar fake news, invadir servidores, contribuir para o tráfico de drogas...

Isso envolve a chamada dark web, certo?

Sim. A dark web é uma internet que você acessa através do navegador Tor, que não mostra a localização do usuário. Todo tipo de serviço ilegal está sendo ofertado ali. Mas não é tão fácil assim transitar pela dark web. Precisa buscar esses sites numa Wikipedia específica e dar a sorte de ainda estarem ativos, pois mudam constantemente de endereço. Essa rede é supervigiada, principalmente pelo FBI. Quem entra na dark web e não toma o devido cuidado acaba sendo investigado. Detalhe: muitos golpistas ficam por lá fingindo que vendem serviços e, quando você se propõe a fechar negócio, pegam seus dados apenas para fazer chantagem. Por essas e outras, defendo que qualquer pessoa deveria apresentar uma “carteira de identificação” para conseguir entrar na internet.

Confira a reportagem completa na edição deste domingo (10) da AT Revista.