Conheça 11 ameaças na web e saiba o que fazer para ficar livre delas
Tony Bradley, da PC World/EUA
28-01-2010
Antivírus e firewall, sozinhos, não garantem a segurança total. Veja como evitar as ameaças mais recentes que circulam por aí.
Você sabe como evitar ser vítima de malwares? E como não cair nas armadilhas criadas pelas mensagens que carregam cavalos de troia. Sabe como evitar os golpes de engenharia social? Criminosos virtuais possuem um variado repertório de ação e seus métodos não param de evoluir.
Novas técnicas de ataque são criadas diariamente com o claro objetivo de invadir nossos computadores e isso tem permitido que os caras maus fiquem sempre um passo a frente do que os programas de segurança podem fazer. Mas usuários bem informados têm mais chances de escapar ilesos
Para ajudar você nessa batalha sem fim, PC World identificou 11 das mais recentes e furtivas ameaças bem como formas de você defender-se delas.
URLs curtas
Mensagens no Twitter e outros sistemas de mensagens eletrônicas incluem links que geralmente foram encurtados por serviços como o Bit.ly, Goo.gl e Migre.me. Tais URLs, embora economizem um bom espaço nas mensagens, não difíceis de serem decifradas pois não oferecem qualquer pista de para onde irá levar quem nelas clicar e nada garante que o endereço curto não tenha sido criado por um cacker e acabe levando internauta para um site malicioso.
Quem utiliza um aplicativo chamado TweetDeck, por exemplo, tem a opção de visualizar detalhes de uma URL que tenha sido encurtada antes de se clicar nela
Se o aplicativo estiver corretamente configurado, clicar em uma URL que tenha sido encurtada irá exibir uma janela que mostra a o título da página de destino, seu link real e o número de pessoas que já clicaram nele. Tais informações irão ajudar você a tomar a decisão acertada em vez de clicar cegamente sem saber onde irá parar.
Veja antes de clicar: Vários softwares navegadores oferecem ao internauta a possibilidade de instalar complementos e serviços que realizam uma função parecida. Quando uma URL curta é criada, por exemplo, no TyniURL, quem a criou pode incluir uma opção que permite a visualização da URL original. Mas para que isso funcione, quem está vendo a URL curta precisa que seu browser possua algum tipo de cookie o add-on instalado (e o navegador deve estar habilitado para permitir a instalação de cookies.
O ExpandMyURL e o LongURLPlease são dois exemplos de serviços que acrecentam funcionalidades ao navegador que permitem verificar com seguraça o que está por trás de uma URL abreviada e funcionam com a maior parte dos encurtadores de URL usados atualmente.
Em vez de mudar o endereço da URL curta para a completa, o ExpandMyURL verifica o endereço e deixa a URL na cor verde caso seja um site considerado seguro.
O Goo.gl, encurtador de URLs do Google, proporciona segurança de forma automática verificando a URL destino para detectar e identificar sites maliciosos, advertindo o internauta quando a URL encurtada pode incluir qualquer tipo de ameaça. Infelizmente, o Goo.gl está limitado aos serviços e produtos do próprio gigantes de buscas.
Coisas que ameaçam seu perfil
Detalhes pessoais que você compatilha em redes sociais, tais como lugar onde estuda, cidade natal, data de aniversário, estão entre os item usados pelas perguntas secretas para ajudar um internauta quando este esquece a senha de algum serviço específico.
Alguém que colete informações suficientes a seu respeito pode, assim, ser capaz de acessar algumas de suas contas na web. E sabe-se lá o que ele fará depois disso.
Privacidade nas redes sociais: Depois de se cadastrar em uma determinada rede social, como o Facebook, clica na área de configurações para ajustar a privacidade dos seus dados.
As confirgurações de segurança do Facebook, por exemplo, deixam você selecionar que tipo de informações cada contato seu terá acesso. É possível configurar níveis de privacidade para cada componente do seu perfil de tal modo que informações como data de nascimento, religião, tendências políticas e fotos por exemplo, só esteja disponíveis a um grupo restrito de contatos.
Não converse com estranhos: Vez por outra todo usuário de redes sociais acaba recebendo uma solicitação de contato de uma pessoa que você não tem a menor ideia de quem seja. Se você está mesmo preocupado em proteger suas informações pessoais, jamais aceite este tipo de solicitação.
Compartilhe com cautela: Considere remover informações valiosas do seu perfil. Quem precisa saber delas, como seus amigos, provavelmente sabem quando é seu aniversário ou em que cidade você nasceu.
Pense também duas vezes antes de participar de listas e jogos online. Embora possam parecer formas inocentes e divertidas de compartilhar o tipo de comida preferida, o primeiro show que você viu na vida ou o lugar onde conheceu sua atuam mulher, um criminoso de posse de tais informações pode conseguir construir um perfil suficiente para assumir sua identidade - virtualmente ou não.
Impostores na rede social
Se você já se conectou com alguém no Facebook, LinkedIn, Twitter ou outra rede social, é porque você conhece e confia nessa pessoa. Mas há pessoas mal intencionadas que podem assumir o controle da conta de seu amigo e se aproveitar dessa confiança.
Exatamente por isso, tenha cuidado com golpes que podem ser enviados por seus contados. Caso um cracker consiga invadir e sequestrar uma conta de um contado, seja por meio de malware, phishing e outras técnicas, ele pode usar a mesma técnica para tentar invadir e sequestar sua conta e, assim, roubar seus dados pessoais.
Um dos golpes que podem aplicar é enviar mensagens e pedir que você clique em links adulterados que vão infectar seu PC ou comprometer a própria conta. Por isso, não saia clicando em qualquer coisa que um contato de rede social enviar para você. Em caso de dúvida, envie um e-mail pessoal a ele ou mesmo telefone para checar se a mensagem foi realmente enviada por ele e com qual propósito.
Rastros digitais
E agora que atividades como entretenimento, compras e socializar informações estão cada vez mais presentes na vida online, cada usuário deixa um rastro digital rico em detalhes sobre ele mesmo.
Livros que você leu, filmes que alugou, pessoas que compartilham os mesmos interesses que os seus e outros detalhes, constituem uma mina de ouro de dados para sites de busca, anunciantes e qualquer um que queira bisbilhotar seu computador e, principalmente, sua vida.
Fazer negócios com empresas em que você confia: Ao acessar um site de compras, leia sempre as políticas de privacidade. Todo site de comércio eletrônico idôneo deve ter um link para esse documento e deixar bem claro que as suas informações estão protegidas e sempre perguntar se pode ou não usar qualquer dos dados fornecidos e em que situações isso pode ser feito.
Uso de navegação privativa: As versões atuais do Internet Explorer, Firefox, Safari, e Chrome incluem formas de navegar em que você não deixa rastros do que tenha feito na web.
No IE8, por exemplo, esta função chama-se Navegação InPrivate; já a Mozilla batizou o recurso no Firefox como Navegação Privativa. Isso garante que os dados de formulários, pesquisas, senhas e outras informações geradas e acessadas na sessão atual da Internet não permaneçam no cache do seu navegador e nenhuma senha usada durante a sessão serão registrada pelo respectivo gerenciador. Esse recurso ajuda muito a se proteger contra hackers e deve ser usado principalmente quando se faz acesso em computadores compartilhados ou públicos (como é o caso de lan houses).
Scareware
Provavelmente você já ouviu falar de phishing. Trata-se de uma técnica usada com o objetivo de tentar roubar dados do usuário. Criminosos usam e-mails que tentam se passar como mensagens enviadas por um banco ou instituição de cobrança, por exemplo, solicitando que se preencha um determnado documento ou confirme algumas informações de crédito.
Ao clicar no arquivo anexo, que supostamente traz as informações a serem confirmadas/preenchidas, é instalado um pequeno arquivo que passa a informação ao hacker quando seu computador está conectado. Caso o usuário caia na armadilha, abrindo o arquivo em questão, ele abrirá uma porta ao invasor.
O Scareware por sua vez é uma variação desse padrão de ataque. Uma janela de alerta se abre quando se está navegando, e exibe um alerta de contaminação por vírus e solicita que o usuário (compre e) instale um antivírus para eliminar a praga detectada.
Reflita: se você NÃO tem um antivírus instalado, como pode aparecer uma janela de alerta? E se você TEM um software de segurança instalado, por que uma mensagem seria emitida para você comprar mais um programa de antivírus?
Familiarize-se com seu programa de antivírus ou solução integrada de sergurança a tal ponto que possa diferenciar as verdadeiras mensagens de alerta emitida por ele de uma janela pop-up falsa.
Mas é importante não entrar em pânico e pensar com calma. Você já deve ter proteção antimalware. Se não, pode usar uma ferramenta online, como o Housecall da Trendmicro ou a Ferramenta de Remoção de Software Mal-intensionado da Microsoft. Depois de fazer a varredura e eliminar um eventual malware, instale um bom aplicativo antimalware para proteger seu PC de futuras invasões.
Atualização do seu navegador: Essas mensagens falsas acabam levando o usuário a um site falso, que pode infectar seu sistema. As versões atuais de browsers e programas de segurança possuem proteção para alertar contra esses tipos de sites.
E mesmo quem tem o bom hábito de manter das ferramentas sempre atualizadas não está totalmente livre, já que não há sistemas a prova de falhas.
Fique atento na hora de digitar uma URL. Às vezes, uma letra trocada levará o usuário para uma página que tem um visual idêntico ao do endereço original, mas trata-se de um site phishing.
Além disso, navegadores com versões atuais destacam o domínio digitado em negrito para que você possa saber se está realmente visitando, digamos, o www.pcworld.com.br genuíno ou um site falsificado como www.pcworld.com.br.phishing-site.ru.
Cavalos de troia em mensagens de texto
Alguns hackers podem enviar mensagens disfarçadas como se fossem da sua operadora de celular ou de seu banco. Essas mensagens de texto podem levar o usuário a um site malicioso ou mesmo pedir para instalar uma atualização que irá alterar as configurações do seu celular. Na realidade, está pe apenas uma maneira sofisticada de tentar capturar senhas e nomes dos usuários menos atentos.
Caso receba uma mensagem que pareça ser de uma fonte confiável mas que solicita a instalação ou atualização de um software, não clique em nada e entre em contato com com a instituição para verificar se, de fato, existe alguma atualização que deve ser realizada.
Empresas idôneas - e principalmente bancos – não enviam e-mails ou mensagens pedindo para instalar softwares, a menos que você solicite. Não aceite cegamente a apelos de atualização que informam que se não for feito você não mais terá acesso online a sua conta corrente, por exemplo. Qualquer dúvida, ligue sempre para a instituição ou operadora.
Notebook perdido, dados expostos
A mobilidade que os notebooks e smartphones oferecem são muito bem vindas, mas também por isso, são facilmente alvo de roubos e mesmo perda. E se tiverem dados confidenciais, como senhas de banco e informações sigilosas de sua empresa, por exemplo, sua vida pode mudar para sempre se o laptop ou celular cair em mãos erradas.
Criptografar os dados: para se prevenir, é possível usar um utilitário como o Microsoft BitLocker para criptografar os dados. Infelizmente o BitLocker está disponível apenas para o Windows 7 e mesmo assim é exclusivo das versões Ultimate e Enterprise do sistema (também está disponível para o Widnows Server 2008). Mas você pode usar outro programa de criptogtrafia, como o TrueCrypt, de código aberto, portanto, gratuito.
Atenção: Tenha certeza de que sua senha de acesso para desbloquear os arquivos esteja guardada em local seguro. Se você resolver memorizá-la, trate de usar uma senha que você tem certeza que sempre lembrará. Caso contrário vai entender realmente o quanto um sistema de criptografia pode proteger seus dados.
Use senhas fortes: se a intenção é proteger os dados, não adianta inserir senhas como data de nascimento, nome do filhos ou outras informações que podem ser descoberta facilmente. Senhas mais longas são boas. Senhas fortes são melhores ainda.
Apesar da frase ser fácil de lembrar, com caracteres diversos, será bem mais difícil de descobrir ou quebrar a senha. Mesmo se você for a única pessoa que acessa seu PC, é recomendado usar uma senha difícil de descobrir - caso um hacker tivnha acesso físico ao seu notebook, tente tornar a vida dele mais difícil.
Bloqueie o BIOS: o BIOS é o primeiro programa que o PC carrega para apresentar o hardware ao sistema operacional. A tela inicial apresentada quando o computador é ligado, informa como ter acesso ao BIOS e isso é geralmente feitp or peio de uma tecla (DEL, Esc ou F10). Uma vez dentro do software, encontre as configurações de segurança: basta navegar com o cursor usando as teclas de direcionamento (setas).
Quando encontrar a tela como a figura acima, insira a senha. Dessa forma, quando o computador for ligado, nem o sistema operacional será inicializado se a senha não for digitada.
É claro que existem métodos para contornar essa senha existem, mas ela cria mais um degrau de dificuldade, mesmo para os hackers mais persistentes. E ele pode não ter tempo suficiente para isso.
Usar um serviço de recuperação: se o laptop for roubado, não há como obter o hardware de volta, mas ao menos os dados podem ser apagados. Alguns fabricantes como HP e Dell oferecem serviços para apagar dados remotamente, assim que os computadores forem conectados à internet.
Ao relatar à empresa que seu laptop foi perdido ou roubado, um pequeno aplicativo aguarda para ser acionado assim que for conectado a internet. Em seguida, ele "contata" o centro de monitoramento para transmitir as informações de localização da máquina e assim os dados são apagados remotamente.
Embora menos abrangente, utilitários gratuitos como o FireFound (add-on do Firefox) fornecem capacidades semelhantes. É possível configurar o programa para apagar automaticamente suas senhas, histórico de navegação, cookies, seguindo um número de tentativas erradas de logar no sistema.
Os celulares também podem conter uma quantidade significativa de dados sensíveis também. É interessante seguir alguns procedimentos para não correr riscos com esses aparelhos.
Hotspots Wi-Fi confiáveis ou seguros
Hoje em dia, redes Wi-Fi estão disponíveis em quase toda parte e isso é muito bem-vindo. O problema é que pessoas mal intencionadas criam hotspots com o objetivo de atrair usuários desavisados. Uma vez conectados a essas armadilhas, o usuário pode ter o tráfego de seus dados capturados e recolhida qualquer informação confidencial que for enviada, como nomes e senhas.
Verifique o nome da rede: se você quiser se conectar à internet em um cibercafé, restaurante ou qualquer outro local público, pergunte qual o SSID (nome) da rede do estabelecimento.
O SSID de uma rede em um lanchonete como o McDonald’s, por exemplo, poderia ser mcdonalds. Um hacker pode configurar um roteador sem fio nas proximidades do local onde está a lanchonete e definir seu SSID para mcdwifi ou mcdonalds2.
O notebook do usuário então identifica as redes e pode ser que o sinal da rede falsa esteja até mais forte. Na dúvida em qual rede se conectar, certifique-se qual a rede oficial do local.
Não confie em redes abertas, que não tenham senha para se conectar. Caso precisar acessar mesmo assim, então a recomendação é não acessar contas de e-mail, onde você terá que usar senha e usuário. As redes abertas são muito suscetíveis a ataques e você pode ter seus dados roubados.
Rede Wi-Fi com baixa segurança
Usuários cautelosos se preocupam em inserir uma senha forte em sua rede sem fio de forma a se manterem longe de invasões. Mas a proteção por senha por si só não é suficiente.
Usar criptografia mais forte: vários tipos de criptografia de rede estão disponíveis e há algumas diferenças entre elas. A criptografia WEP (Wired Equivalent Privacy) é a variedade mais comum encontrada nas redes sem fio. Isso já ajuda muito, mas essa proteção ainda pode ser quebrada.
Existem ferramentas que permitem até hackers iniciantes quebrarem a segurança de uma chave WEP. Portanto, é interessante usar em seu roteador a criptografia WPA (Wi-Fi Protected Access) ou sua sucessora, a WPA2.
Esses dois tipos de criptografia resolvem as fragilidades da WEP. No menu do seu roteador é possível encontrar a opção de segurança sem fio. Selecione e ative a WPA ou WPA2. Digite uma senha, salve as configurações e reinicie o seu roteador. Assim sua navegação na internet já será mais segura.
Backups ameaçados
Por mais que se fale sobre o assunto, é sempre bom dizer que é necessário fazer backups regulares de seus arquivos insubstituíveis, como fotos e vídeos de família, por exemplo. Mas mesmo armazenando as cópias em discos externos ou DVDs, eles podem ser perdidos ou até mesmo roubados.
Codificar seus dados de backup
A dica é utilizar um programa de backup que ofereça guardar seus dados com criptografia ou pelo menos uma senha, para impedir acesso não autorizado. Se quiser ir mais longe, é possível adquirir um disco rígido externo com proteção biométrica, na qual se cadastra a impressão digital para acessar os dados, como os HDs Lacie d2.
Use um serviço de backup online: é possível usar serviços como o Windows Live Skydrive da Microsoft, que oferece 25 GB de armazenamento gratuito, onde é exigido usuário e senha para ter acesso permitido. Infelizmente, copiar 25 GB nesse serviço pode ser uma tarefa bem demorada. Mas, por uma pequena taxa, é possível usar um serviço como o Mozy, que inclui ferramentas para automatizar o processo e garantir a regularidade do processo de backup.
Softwares sem atualizações e correções (não apenas o Windows)
Hackers sempre tentaram começar suas invasões por meio de alguma brecha do Windows. Porém a Microsoft está conseguindo se proteger, com atualizações constantes e isso está levando os hackers buscarem outros elos fracos na cadeia de segurança. Por exemplo, produtos como o Adobe Reader, onde muitos documentos da rede são fornecidos com esse formato, são uma ótima fonte de ataque.
Instale todas as atualizações de segurança: é necessário ter um firewall e um antimalware para proteger seu sistema, mas uma das formas mais simples – e mais eficaz – é manter todos os softwares atualizados, inclusive o sistema operacional.
Para verificar as aplicações que têm vulnerabilidades conhecidas ou que precisam de atualização é recomendado usar um programa como o Secunia Personal Software Inspector. Ele faz uma varredura completa nos softwares instalados no PC.
Procure se manter informado das falhas existentes para as várias aplicações utilizadas e assim aplicar as correções o mais rápido possível. O site About.com Antivirus Software é um bom recurso para coletar informações. Outra dica é o McAffe Avert Labs, que fornece informações sobre as últimas ameaças e quais softwares afetam.
Apesar dos aplicativos serem um caminho de menor resistência para as invasões, os hackers não desistiram de produtos da Microsoft. Portanto, é interessante definir e habilitar a opção para baixar as atualizações do Windows automaticamente. Nessas atualizações estarão inclusos também o Internet Explorer e o pacote Office.
Cinco mitos sobre segurança
Se você pensa que está fazendo todo o necessário para seus sistema estar seguro, então pense novamente. Aqui estão cinco mitos sobre segurança digital.
Eu não tenho nada que um hacker queira
Muitos usuários acreditam que os dados de seus computadores têm valor somente para eles e, portanto, não precisam se preocupar. Há três problemas nesse tipo de pensamento. Primeiro, em vez de furtos de dados, muitas vezes os hackers querem assumir o controle do computador de modo a instalar um malware ou para distribuir spam. Segundo, o invasor pode usar dados triviais que estão em seu PC, como seu nome, RG, endereço e data de nascimento para usar sua identidade em ataques ou sites de compras. E terceiro lugar, a maioria dos ataques são automatizados para procurar e invadir todos os sistemas vulneráveis, sem fazer discriminação dos arquivos instalados no PC.
Tenho software antivirus instalado, por isso estou seguro.
O antivírus é necessidade absoluta e é um grande começo, mas não protege contra tudo. Alguns antivírus não detectam nem bloqueiam spams, tentativas de phishing, spywares e outros ataques de malware. Somente caçam vírus. Mesmo um antivírus mais abrangente deve ser atualizado regularmente, pois novas ameaças são descobertas diariamente. Tenha em mente também que os desenvolvedores de antivírus e antimalwares precisam de tempo para adicionar a proteção contra ameaças emergentes e, portanto, seu sistema estará vulnerável em dias de ataques recém lançados.
A segurança é uma preocupação apenas se eu usar o Windows
A Microsoft certamente teve sua cota de problemas de segurança ao longo dos anos, mas isso não significa que outros sistemas ou aplicativos estão livres de ataque. Linux e Mac OS X também possuem falhas ou brechas. Como sistemas operacionais e navegadores web alternativos que estão ganhando mercado, se tornam alvos atraentes para ataques.
Meu computador está protegido pelo firewall do meu roteador.
Um firewall é um ótimo bloqueio para acesso não autorizado à rede, mas os hackers descobriram há muito tempo que a maneira mais rápida de passar pelo firewall é através de portas que permitem que os dados passem sem restrições. Por padrão, o firewall não bloqueia portas por onde passam dados do MSN, por exemplo. Assim também como outros programas que acessam a internet não são bloqueados e os invasores se aproveitam dessas brechas. Além disso, muitos ataques de hoje são baseados na web ou originários de um ataque de phishing para atrair o usuário a um site malicioso. E contra isso o firewall não protege.
Desde que eu visite apenas sites idôneos e confiáveis, não tenho nada com o que me preocupar.
As chances de ataques serão bem menores se você acessar sites confiáveis. Mas mesmo sites idôneos sofrem invasões e clonagem. Sites como o da Apple, CNN, eBay, Microsoft, Yahoo e até mesmo o FBI já foram comprometidos por hackers que coletavam informações de seus usuários e assim instalavam software malicioso nos computadores dos visitantes.
Recursos adicionais de segurança
Muitos sites e serviços na web podem ajudá-lo a aprender mais sobre ameaças ou podem até analisar sua máquina para verificar se elaestá limpa e segura. Eis alguns deles
Hoax Encyclopedia: Possui uma boa base de dados sobre vírus de e-mail e mensagens de hoax (falsos vírus). Antes de encaminhar aquele e-mail para seus familiares avisando sobre um novo vírus devastador, passe nesse site para checar se é verdade.
McAfee Virus Information Library: A McAfee mantém uma lista completa de ameaças de malware, incluindo detalhes de como elas se espalham e como proceder para se proteger.
Microsoft Security Support Center Consumidor: Nesta página você vai encontrar soluções para os problemas de segurança mais comuns, bem como links para outras informações e recursos de programas da Microsoft.
Microsoft Malicious Software Removal Tool: Essa ferramenta é projetada para verificar e remover ameaças generalizadas. Seu sistema de busca é menor do que um completo antimalware, mas identifica uma boa quantidade de ameaças. A Microsoft lança uma nova versão com updates de segurança na segunda terça-feira de cada mês.
Microsoft Security Essentials: Esse antivírus gratuito fornece proteção em tempo real para PCs com Windows contra vírus, worms, spyware e outros softwares maliciosos.
PhishTank: É um banco de dados de sites de phishing conhecidos. É possível inserir o nome de um site para fazer pesquisa e também o usuário pode inserir um novo site de phishing encontrado.
Trend Micro Housecall: Um serviço fornecido pela Trend Micro que faz uma varredura no computador para descobrir e eliminar quaisquer vírus, worms e outros malwares que podem estar residindo nele.
Você sabe como evitar ser vítima de malwares? E como não cair nas armadilhas criadas pelas mensagens que carregam cavalos de troia. Sabe como evitar os golpes de engenharia social? Criminosos virtuais possuem um variado repertório de ação e seus métodos não param de evoluir.
Novas técnicas de ataque são criadas diariamente com o claro objetivo de invadir nossos computadores e isso tem permitido que os caras maus fiquem sempre um passo a frente do que os programas de segurança podem fazer. Mas usuários bem informados têm mais chances de escapar ilesos
Para ajudar você nessa batalha sem fim, PC World identificou 11 das mais recentes e furtivas ameaças bem como formas de você defender-se delas.
URLs curtas
Mensagens no Twitter e outros sistemas de mensagens eletrônicas incluem links que geralmente foram encurtados por serviços como o Bit.ly, Goo.gl e Migre.me. Tais URLs, embora economizem um bom espaço nas mensagens, não difíceis de serem decifradas pois não oferecem qualquer pista de para onde irá levar quem nelas clicar e nada garante que o endereço curto não tenha sido criado por um cacker e acabe levando internauta para um site malicioso.
Quem utiliza um aplicativo chamado TweetDeck, por exemplo, tem a opção de visualizar detalhes de uma URL que tenha sido encurtada antes de se clicar nela
Veja antes de clicar: Vários softwares navegadores oferecem ao internauta a possibilidade de instalar complementos e serviços que realizam uma função parecida. Quando uma URL curta é criada, por exemplo, no TyniURL, quem a criou pode incluir uma opção que permite a visualização da URL original. Mas para que isso funcione, quem está vendo a URL curta precisa que seu browser possua algum tipo de cookie o add-on instalado (e o navegador deve estar habilitado para permitir a instalação de cookies.
O ExpandMyURL e o LongURLPlease são dois exemplos de serviços que acrecentam funcionalidades ao navegador que permitem verificar com seguraça o que está por trás de uma URL abreviada e funcionam com a maior parte dos encurtadores de URL usados atualmente.
Em vez de mudar o endereço da URL curta para a completa, o ExpandMyURL verifica o endereço e deixa a URL na cor verde caso seja um site considerado seguro.
O Goo.gl, encurtador de URLs do Google, proporciona segurança de forma automática verificando a URL destino para detectar e identificar sites maliciosos, advertindo o internauta quando a URL encurtada pode incluir qualquer tipo de ameaça. Infelizmente, o Goo.gl está limitado aos serviços e produtos do próprio gigantes de buscas.
Coisas que ameaçam seu perfil
Detalhes pessoais que você compatilha em redes sociais, tais como lugar onde estuda, cidade natal, data de aniversário, estão entre os item usados pelas perguntas secretas para ajudar um internauta quando este esquece a senha de algum serviço específico.
Alguém que colete informações suficientes a seu respeito pode, assim, ser capaz de acessar algumas de suas contas na web. E sabe-se lá o que ele fará depois disso.
Privacidade nas redes sociais: Depois de se cadastrar em uma determinada rede social, como o Facebook, clica na área de configurações para ajustar a privacidade dos seus dados.
Não converse com estranhos: Vez por outra todo usuário de redes sociais acaba recebendo uma solicitação de contato de uma pessoa que você não tem a menor ideia de quem seja. Se você está mesmo preocupado em proteger suas informações pessoais, jamais aceite este tipo de solicitação.
Compartilhe com cautela: Considere remover informações valiosas do seu perfil. Quem precisa saber delas, como seus amigos, provavelmente sabem quando é seu aniversário ou em que cidade você nasceu.
Pense também duas vezes antes de participar de listas e jogos online. Embora possam parecer formas inocentes e divertidas de compartilhar o tipo de comida preferida, o primeiro show que você viu na vida ou o lugar onde conheceu sua atuam mulher, um criminoso de posse de tais informações pode conseguir construir um perfil suficiente para assumir sua identidade - virtualmente ou não.
Impostores na rede social
Se você já se conectou com alguém no Facebook, LinkedIn, Twitter ou outra rede social, é porque você conhece e confia nessa pessoa. Mas há pessoas mal intencionadas que podem assumir o controle da conta de seu amigo e se aproveitar dessa confiança.
Exatamente por isso, tenha cuidado com golpes que podem ser enviados por seus contados. Caso um cracker consiga invadir e sequestrar uma conta de um contado, seja por meio de malware, phishing e outras técnicas, ele pode usar a mesma técnica para tentar invadir e sequestar sua conta e, assim, roubar seus dados pessoais.
Um dos golpes que podem aplicar é enviar mensagens e pedir que você clique em links adulterados que vão infectar seu PC ou comprometer a própria conta. Por isso, não saia clicando em qualquer coisa que um contato de rede social enviar para você. Em caso de dúvida, envie um e-mail pessoal a ele ou mesmo telefone para checar se a mensagem foi realmente enviada por ele e com qual propósito.
Rastros digitais
E agora que atividades como entretenimento, compras e socializar informações estão cada vez mais presentes na vida online, cada usuário deixa um rastro digital rico em detalhes sobre ele mesmo.
Livros que você leu, filmes que alugou, pessoas que compartilham os mesmos interesses que os seus e outros detalhes, constituem uma mina de ouro de dados para sites de busca, anunciantes e qualquer um que queira bisbilhotar seu computador e, principalmente, sua vida.
Fazer negócios com empresas em que você confia: Ao acessar um site de compras, leia sempre as políticas de privacidade. Todo site de comércio eletrônico idôneo deve ter um link para esse documento e deixar bem claro que as suas informações estão protegidas e sempre perguntar se pode ou não usar qualquer dos dados fornecidos e em que situações isso pode ser feito.
Uso de navegação privativa: As versões atuais do Internet Explorer, Firefox, Safari, e Chrome incluem formas de navegar em que você não deixa rastros do que tenha feito na web.
Scareware
Provavelmente você já ouviu falar de phishing. Trata-se de uma técnica usada com o objetivo de tentar roubar dados do usuário. Criminosos usam e-mails que tentam se passar como mensagens enviadas por um banco ou instituição de cobrança, por exemplo, solicitando que se preencha um determnado documento ou confirme algumas informações de crédito.
Ao clicar no arquivo anexo, que supostamente traz as informações a serem confirmadas/preenchidas, é instalado um pequeno arquivo que passa a informação ao hacker quando seu computador está conectado. Caso o usuário caia na armadilha, abrindo o arquivo em questão, ele abrirá uma porta ao invasor.
O Scareware por sua vez é uma variação desse padrão de ataque. Uma janela de alerta se abre quando se está navegando, e exibe um alerta de contaminação por vírus e solicita que o usuário (compre e) instale um antivírus para eliminar a praga detectada.
Reflita: se você NÃO tem um antivírus instalado, como pode aparecer uma janela de alerta? E se você TEM um software de segurança instalado, por que uma mensagem seria emitida para você comprar mais um programa de antivírus?
Familiarize-se com seu programa de antivírus ou solução integrada de sergurança a tal ponto que possa diferenciar as verdadeiras mensagens de alerta emitida por ele de uma janela pop-up falsa.
Mas é importante não entrar em pânico e pensar com calma. Você já deve ter proteção antimalware. Se não, pode usar uma ferramenta online, como o Housecall da Trendmicro ou a Ferramenta de Remoção de Software Mal-intensionado da Microsoft. Depois de fazer a varredura e eliminar um eventual malware, instale um bom aplicativo antimalware para proteger seu PC de futuras invasões.
Atualização do seu navegador: Essas mensagens falsas acabam levando o usuário a um site falso, que pode infectar seu sistema. As versões atuais de browsers e programas de segurança possuem proteção para alertar contra esses tipos de sites.
E mesmo quem tem o bom hábito de manter das ferramentas sempre atualizadas não está totalmente livre, já que não há sistemas a prova de falhas.
Fique atento na hora de digitar uma URL. Às vezes, uma letra trocada levará o usuário para uma página que tem um visual idêntico ao do endereço original, mas trata-se de um site phishing.
Além disso, navegadores com versões atuais destacam o domínio digitado em negrito para que você possa saber se está realmente visitando, digamos, o www.pcworld.com.br genuíno ou um site falsificado como www.pcworld.com.br.phishing-site.ru.
Cavalos de troia em mensagens de texto
Alguns hackers podem enviar mensagens disfarçadas como se fossem da sua operadora de celular ou de seu banco. Essas mensagens de texto podem levar o usuário a um site malicioso ou mesmo pedir para instalar uma atualização que irá alterar as configurações do seu celular. Na realidade, está pe apenas uma maneira sofisticada de tentar capturar senhas e nomes dos usuários menos atentos.
Caso receba uma mensagem que pareça ser de uma fonte confiável mas que solicita a instalação ou atualização de um software, não clique em nada e entre em contato com com a instituição para verificar se, de fato, existe alguma atualização que deve ser realizada.
Empresas idôneas - e principalmente bancos – não enviam e-mails ou mensagens pedindo para instalar softwares, a menos que você solicite. Não aceite cegamente a apelos de atualização que informam que se não for feito você não mais terá acesso online a sua conta corrente, por exemplo. Qualquer dúvida, ligue sempre para a instituição ou operadora.
Notebook perdido, dados expostos
A mobilidade que os notebooks e smartphones oferecem são muito bem vindas, mas também por isso, são facilmente alvo de roubos e mesmo perda. E se tiverem dados confidenciais, como senhas de banco e informações sigilosas de sua empresa, por exemplo, sua vida pode mudar para sempre se o laptop ou celular cair em mãos erradas.
Criptografar os dados: para se prevenir, é possível usar um utilitário como o Microsoft BitLocker para criptografar os dados. Infelizmente o BitLocker está disponível apenas para o Windows 7 e mesmo assim é exclusivo das versões Ultimate e Enterprise do sistema (também está disponível para o Widnows Server 2008). Mas você pode usar outro programa de criptogtrafia, como o TrueCrypt, de código aberto, portanto, gratuito.
Atenção: Tenha certeza de que sua senha de acesso para desbloquear os arquivos esteja guardada em local seguro. Se você resolver memorizá-la, trate de usar uma senha que você tem certeza que sempre lembrará. Caso contrário vai entender realmente o quanto um sistema de criptografia pode proteger seus dados.
Use senhas fortes: se a intenção é proteger os dados, não adianta inserir senhas como data de nascimento, nome do filhos ou outras informações que podem ser descoberta facilmente. Senhas mais longas são boas. Senhas fortes são melhores ainda.
Apesar da frase ser fácil de lembrar, com caracteres diversos, será bem mais difícil de descobrir ou quebrar a senha. Mesmo se você for a única pessoa que acessa seu PC, é recomendado usar uma senha difícil de descobrir - caso um hacker tivnha acesso físico ao seu notebook, tente tornar a vida dele mais difícil.
Bloqueie o BIOS: o BIOS é o primeiro programa que o PC carrega para apresentar o hardware ao sistema operacional. A tela inicial apresentada quando o computador é ligado, informa como ter acesso ao BIOS e isso é geralmente feitp or peio de uma tecla (DEL, Esc ou F10). Uma vez dentro do software, encontre as configurações de segurança: basta navegar com o cursor usando as teclas de direcionamento (setas).
É claro que existem métodos para contornar essa senha existem, mas ela cria mais um degrau de dificuldade, mesmo para os hackers mais persistentes. E ele pode não ter tempo suficiente para isso.
Usar um serviço de recuperação: se o laptop for roubado, não há como obter o hardware de volta, mas ao menos os dados podem ser apagados. Alguns fabricantes como HP e Dell oferecem serviços para apagar dados remotamente, assim que os computadores forem conectados à internet.
Ao relatar à empresa que seu laptop foi perdido ou roubado, um pequeno aplicativo aguarda para ser acionado assim que for conectado a internet. Em seguida, ele "contata" o centro de monitoramento para transmitir as informações de localização da máquina e assim os dados são apagados remotamente.
Embora menos abrangente, utilitários gratuitos como o FireFound (add-on do Firefox) fornecem capacidades semelhantes. É possível configurar o programa para apagar automaticamente suas senhas, histórico de navegação, cookies, seguindo um número de tentativas erradas de logar no sistema.
Hotspots Wi-Fi confiáveis ou seguros
Hoje em dia, redes Wi-Fi estão disponíveis em quase toda parte e isso é muito bem-vindo. O problema é que pessoas mal intencionadas criam hotspots com o objetivo de atrair usuários desavisados. Uma vez conectados a essas armadilhas, o usuário pode ter o tráfego de seus dados capturados e recolhida qualquer informação confidencial que for enviada, como nomes e senhas.
Verifique o nome da rede: se você quiser se conectar à internet em um cibercafé, restaurante ou qualquer outro local público, pergunte qual o SSID (nome) da rede do estabelecimento.
O SSID de uma rede em um lanchonete como o McDonald’s, por exemplo, poderia ser mcdonalds. Um hacker pode configurar um roteador sem fio nas proximidades do local onde está a lanchonete e definir seu SSID para mcdwifi ou mcdonalds2.
O notebook do usuário então identifica as redes e pode ser que o sinal da rede falsa esteja até mais forte. Na dúvida em qual rede se conectar, certifique-se qual a rede oficial do local.
Não confie em redes abertas, que não tenham senha para se conectar. Caso precisar acessar mesmo assim, então a recomendação é não acessar contas de e-mail, onde você terá que usar senha e usuário. As redes abertas são muito suscetíveis a ataques e você pode ter seus dados roubados.
Rede Wi-Fi com baixa segurança
Usuários cautelosos se preocupam em inserir uma senha forte em sua rede sem fio de forma a se manterem longe de invasões. Mas a proteção por senha por si só não é suficiente.
Usar criptografia mais forte: vários tipos de criptografia de rede estão disponíveis e há algumas diferenças entre elas. A criptografia WEP (Wired Equivalent Privacy) é a variedade mais comum encontrada nas redes sem fio. Isso já ajuda muito, mas essa proteção ainda pode ser quebrada.
Esses dois tipos de criptografia resolvem as fragilidades da WEP. No menu do seu roteador é possível encontrar a opção de segurança sem fio. Selecione e ative a WPA ou WPA2. Digite uma senha, salve as configurações e reinicie o seu roteador. Assim sua navegação na internet já será mais segura.
Backups ameaçados
Por mais que se fale sobre o assunto, é sempre bom dizer que é necessário fazer backups regulares de seus arquivos insubstituíveis, como fotos e vídeos de família, por exemplo. Mas mesmo armazenando as cópias em discos externos ou DVDs, eles podem ser perdidos ou até mesmo roubados.
Codificar seus dados de backup
A dica é utilizar um programa de backup que ofereça guardar seus dados com criptografia ou pelo menos uma senha, para impedir acesso não autorizado. Se quiser ir mais longe, é possível adquirir um disco rígido externo com proteção biométrica, na qual se cadastra a impressão digital para acessar os dados, como os HDs Lacie d2.
Use um serviço de backup online: é possível usar serviços como o Windows Live Skydrive da Microsoft, que oferece 25 GB de armazenamento gratuito, onde é exigido usuário e senha para ter acesso permitido. Infelizmente, copiar 25 GB nesse serviço pode ser uma tarefa bem demorada. Mas, por uma pequena taxa, é possível usar um serviço como o Mozy, que inclui ferramentas para automatizar o processo e garantir a regularidade do processo de backup.
Softwares sem atualizações e correções (não apenas o Windows)
Hackers sempre tentaram começar suas invasões por meio de alguma brecha do Windows. Porém a Microsoft está conseguindo se proteger, com atualizações constantes e isso está levando os hackers buscarem outros elos fracos na cadeia de segurança. Por exemplo, produtos como o Adobe Reader, onde muitos documentos da rede são fornecidos com esse formato, são uma ótima fonte de ataque.
Instale todas as atualizações de segurança: é necessário ter um firewall e um antimalware para proteger seu sistema, mas uma das formas mais simples – e mais eficaz – é manter todos os softwares atualizados, inclusive o sistema operacional.
Procure se manter informado das falhas existentes para as várias aplicações utilizadas e assim aplicar as correções o mais rápido possível. O site About.com Antivirus Software é um bom recurso para coletar informações. Outra dica é o McAffe Avert Labs, que fornece informações sobre as últimas ameaças e quais softwares afetam.
Apesar dos aplicativos serem um caminho de menor resistência para as invasões, os hackers não desistiram de produtos da Microsoft. Portanto, é interessante definir e habilitar a opção para baixar as atualizações do Windows automaticamente. Nessas atualizações estarão inclusos também o Internet Explorer e o pacote Office.
Cinco mitos sobre segurança
Se você pensa que está fazendo todo o necessário para seus sistema estar seguro, então pense novamente. Aqui estão cinco mitos sobre segurança digital.
Eu não tenho nada que um hacker queira
Muitos usuários acreditam que os dados de seus computadores têm valor somente para eles e, portanto, não precisam se preocupar. Há três problemas nesse tipo de pensamento. Primeiro, em vez de furtos de dados, muitas vezes os hackers querem assumir o controle do computador de modo a instalar um malware ou para distribuir spam. Segundo, o invasor pode usar dados triviais que estão em seu PC, como seu nome, RG, endereço e data de nascimento para usar sua identidade em ataques ou sites de compras. E terceiro lugar, a maioria dos ataques são automatizados para procurar e invadir todos os sistemas vulneráveis, sem fazer discriminação dos arquivos instalados no PC.
Tenho software antivirus instalado, por isso estou seguro.
O antivírus é necessidade absoluta e é um grande começo, mas não protege contra tudo. Alguns antivírus não detectam nem bloqueiam spams, tentativas de phishing, spywares e outros ataques de malware. Somente caçam vírus. Mesmo um antivírus mais abrangente deve ser atualizado regularmente, pois novas ameaças são descobertas diariamente. Tenha em mente também que os desenvolvedores de antivírus e antimalwares precisam de tempo para adicionar a proteção contra ameaças emergentes e, portanto, seu sistema estará vulnerável em dias de ataques recém lançados.
A segurança é uma preocupação apenas se eu usar o Windows
A Microsoft certamente teve sua cota de problemas de segurança ao longo dos anos, mas isso não significa que outros sistemas ou aplicativos estão livres de ataque. Linux e Mac OS X também possuem falhas ou brechas. Como sistemas operacionais e navegadores web alternativos que estão ganhando mercado, se tornam alvos atraentes para ataques.
Meu computador está protegido pelo firewall do meu roteador.
Um firewall é um ótimo bloqueio para acesso não autorizado à rede, mas os hackers descobriram há muito tempo que a maneira mais rápida de passar pelo firewall é através de portas que permitem que os dados passem sem restrições. Por padrão, o firewall não bloqueia portas por onde passam dados do MSN, por exemplo. Assim também como outros programas que acessam a internet não são bloqueados e os invasores se aproveitam dessas brechas. Além disso, muitos ataques de hoje são baseados na web ou originários de um ataque de phishing para atrair o usuário a um site malicioso. E contra isso o firewall não protege.
Desde que eu visite apenas sites idôneos e confiáveis, não tenho nada com o que me preocupar.
As chances de ataques serão bem menores se você acessar sites confiáveis. Mas mesmo sites idôneos sofrem invasões e clonagem. Sites como o da Apple, CNN, eBay, Microsoft, Yahoo e até mesmo o FBI já foram comprometidos por hackers que coletavam informações de seus usuários e assim instalavam software malicioso nos computadores dos visitantes.
Recursos adicionais de segurança
Muitos sites e serviços na web podem ajudá-lo a aprender mais sobre ameaças ou podem até analisar sua máquina para verificar se elaestá limpa e segura. Eis alguns deles
Hoax Encyclopedia: Possui uma boa base de dados sobre vírus de e-mail e mensagens de hoax (falsos vírus). Antes de encaminhar aquele e-mail para seus familiares avisando sobre um novo vírus devastador, passe nesse site para checar se é verdade.
McAfee Virus Information Library: A McAfee mantém uma lista completa de ameaças de malware, incluindo detalhes de como elas se espalham e como proceder para se proteger.
Microsoft Security Support Center Consumidor: Nesta página você vai encontrar soluções para os problemas de segurança mais comuns, bem como links para outras informações e recursos de programas da Microsoft.
Microsoft Malicious Software Removal Tool: Essa ferramenta é projetada para verificar e remover ameaças generalizadas. Seu sistema de busca é menor do que um completo antimalware, mas identifica uma boa quantidade de ameaças. A Microsoft lança uma nova versão com updates de segurança na segunda terça-feira de cada mês.
Microsoft Security Essentials: Esse antivírus gratuito fornece proteção em tempo real para PCs com Windows contra vírus, worms, spyware e outros softwares maliciosos.
PhishTank: É um banco de dados de sites de phishing conhecidos. É possível inserir o nome de um site para fazer pesquisa e também o usuário pode inserir um novo site de phishing encontrado.
Trend Micro Housecall: Um serviço fornecido pela Trend Micro que faz uma varredura no computador para descobrir e eliminar quaisquer vírus, worms e outros malwares que podem estar residindo nele.
Postagens
0 comentários:
Postar um comentário