Vídeo: Como descobrir se seus emails e senhas vazou na Deep Web e como se proteger (Outubro 2024)
Em cada um dos recentes ataques ao Evernote, Facebook, Twitter e outros, as empresas envolvidas foram rápidas em apontar que as senhas permaneciam seguras. Mas as informações do usuário têm vida própria e os efeitos de um ataque em um indivíduo podem ser sentidos muito tempo após o término do ataque.
Os ataques que vimos
Normalmente, o que você ouve quando uma grande empresa é comprometida é algo como as informações de pagamento ainda são seguras, as senhas foram criptografadas, mas outras informações estavam acessíveis. Geralmente, isso inclui nomes de usuário e e-mails.
Para a maioria de nós, isso pode não parecer perigoso. Afinal, enviamos nossos próprios e-mails o tempo todo - até os publicamos online. Mas há riscos para os usuários que tiveram essa pequena quantidade de informações exposta.
Derek Halliday, gerente sênior de produtos da segurança móvel da Lookout, explicou ao SecurityWatch como essas informações podem tornar os usuários alvos. "As informações da conta podem ser usadas para potencialmente permitir a caça submarina, pois fornecem informações contextuais exclusivas sobre as pessoas - uma maneira de contatá-las", afirmou ele. "E o fato de que em um determinado momento eles se inscreveram para um serviço específico".
É por isso que os emails de alerta legítimos frequentemente lembram aos usuários que podem ter suas informações expostas que ninguém nunca solicitará sua senha. Se um hacker sabe que você usa o Evernote (por exemplo), é um trabalho curto criar uma mensagem que pareça ser do Evernote e enviar para o endereço de e-mail usado para gerenciar sua conta. Talvez seja solicitado que você forneça sua senha, informações de pagamento ou induza você a clicar em um link malicioso.
"Vimos cibercriminosos que estão dispostos a se envolver no 'longo golpe'", disse Mark Risher, co-fundador e CEO da Impermium. "Um ataque de várias etapas que vai além da violação direta de dados confidenciais".
"Quando os criminosos invadem uma conta na rede social, geralmente podem encontrar detalhes pessoais que acrescentam legitimidade a caça submarina", continuou Risher, que citou uma associação de ex-alunos como um desses detalhes pessoais. Ele explicou que poderia ser usado para desbloquear o recurso "pergunta secreta" - que às vezes pergunta qual era o mascote da sua escola ou o nome do seu primeiro animal de estimação - em outro site.
O pior caso
Chester Wisniewski, consultor sênior de segurança da Sophos, disse que, embora o Evernote e outros sites recentemente comprometidos garantam suas senhas com hashes criptográficos e dados aleatórios do tipo "salt", nem todos os usuários podem estar protegidos. Ele explicou que se os usuários escolherem senhas fracas ou comuns ", provavelmente os criminosos a terão".
Com as informações limitadas disponíveis, as senhas mais fáceis ainda podem ser recuperadas. "Os criminosos vão atacar os mais fáceis, e podem não se preocupar com o resto", disse Wisniewski.
Para alguns dos bandidos, basta obter acesso a contas de mídia social como Facebook ou Twitter. Alguns o utilizam como uma oportunidade de ganhar dinheiro, tentando espalhar infecções por malware. Mais invasores empreendedores podem tentar usar a senha roubada para desbloquear uma conta de webmail.
"Eles costumam procurar e-mails do banco do usuário; muitas vezes há um recurso de 'esqueci minha senha' naquele banco, que depende apenas do acesso à conta de e-mail", disse Risher.
Continuando no pior cenário possível, os invasores podem não ser executados depois de terem acesso às informações bancárias on-line. "Muitos desses caras não vão se envolver diretamente no roubo de identidade, eles o venderão", disse Wisniewski.
Ele continuou explicando que, no caso de trojans bancários, os atacantes usarão os 10% das contas mais importantes - ou seja, aqueles com os fundos mais disponíveis - e venderão os outros 90% das informações. Isso significa que as informações do usuário, uma vez comprometidas, podem continuar sendo usadas e reutilizadas até que o proprietário finalmente recupere o controle.
Mantenha-se seguro
"As boas notícias em todas as recentes são que nada pessoalmente identificável foi levado", disse Wisniewski, que enfatizou várias vezes que as empresas afetadas pelo menos pareciam ter tomado boas medidas para proteger as informações dos usuários.
Mas, como vimos, isso nem sempre é suficiente. Os usuários precisam seguir os avisos para alterar as senhas quando solicitados pelos serviços invadidos. Eles também devem procurar selecionar senhas fortes e exclusivas para cada serviço online, talvez utilizando um gerenciador de senhas para facilitar a tarefa.
O importante é entender que as informações do usuário são valiosas e ainda podem ser úteis para os invasores muito depois de você ter garantido uma conta afetada. A Internet oferece inúmeras maneiras de se divertir e trabalhar, mas também oferece muitos caminhos para ataques.
