Durante anos, a engenharia social tem sido uma técnica eleita pelos ciber-criminosos para infectar os utilizadores. De facto, a popularidade das redes sociais tem resultado num aumento dos ataques que utilizam este tipo de técnicas. Não nos esqueçamos da escala em que estas redes sociais são utilizadas: o Facebook tem mais de 500 milhões de utilizadores, e o Twitter continua a crescer, com mais de 190 milhões de utilizadores. É cada vez mais comum que os utilizadores destas redes comuniquem com os seus amigos e conhecidos por esse meio em vez de utilizarem o e-mail, por exemplo, e os ciber-criminosos estão cientes disto.Rapidamente surgiram novas variantes deste worm, criado por um indivíduo chamado Mikey Mooney, que aparentemente queria atrair os utilizadores para um serviço concorrente do Twitter. Outros ataques foram realizados adaptando técnicas comuns de optimização de resultados de pesquisas em motores de busca ao ambiente do Twitter. Este serviço de rede social chamado “Twitter Trends”, baseia-se numa lista dos tópicos mais populares no Twitter. Quando um utilizador selecciona um tópico através desta funcionalidade, consegue consultar todos os “tweets” publicados relacionados com esse tema. Por se tratarem dos tópicos mais lidos, obviamente são um alvo apetecível para os ciber-criminosos, que publicam “tweets” com links para páginas Web maliciosas que instalam malware nos PC’s dos utilizadores.
Tal como o Twitter, o Facebook tornou-se outro dos alvos populares para os ciber-criminosos. Os ataques de phishing destinados a sequestrar contas do Facebook têm sido particularmente notórios, com falsos sites do Facebook desenvolvidos para roubar os dados de conta dos utilizadores. Têm ocorrido muitos outros casos de fraude, como um esquema detectado em que os utilizadores podiam aceder às contas de outros em troca de uma quantia. O Facebook foi também alvo de uma família específica de malware, o Koobface, que explorava esta rede social para se propagar. Este worm evoluiu, utilizando actualmente outros canais de propagação como o MySpace ou o Twitter. Outras variantes deste malware têm também instalado outras ameaças nos sistemas infectados, como banker Trojans e rogueware.
Para além das redes sociais, existe uma diversidade de serviços online que, por se integrarem no conceito de Web 2.0, foram ou são potenciais vítimas deste tipo de ataques, tal como sucedeu com o YouTube, cuja possibilidade dos utilizadores adicionarem comentários nas páginas dos vídeos, levou os criminosos a criarem contas que geravam uma série de comentários automaticamente. Os comentários incluíam links para páginas maliciosas desenvolvidas para infectar os visitantes. No total foram gerados mais de 30.000 comentários maliciosos. Também o Digg.com foi marcado com mais de meio milhão de comentários desta natureza em apenas algumas horas, que encaminhavam os utilizadores para exemplares de rogueware.
Apesar de não representarem nada de novo, os ataques através de técnicas de optimização de resultados de pesquisas em motores de busca mostraram um aumento significativo da sua presença ao longo do ano passado, com o objectivo de melhorar o posicionamento das páginas Web dos ciber-criminosos nos resultados mostrados pelos motores mais comuns, como o Yahoo e o Google. A Panda Security desvendou um dos maiores ataques deste tipo até à data, num esquema que envolvia cerca de um milhão de páginas Web relacionadas com a marca Ford que na realidade encaminhavam para páginas maliciosas. Mesmo após tornado público, o esquema manteve-se activo, mudando apenas as marcas utilizadas para atrair as vítimas. O método passava pelo pedido de instalação de um codec para que os utilizadores conseguissem visualizar um vídeo, mas na realidade era um falso antivírus chamado MSAntiSpyware2009. Desde então, muitos casos semelhantes surgiram e continuam a surgir, utilizando diferentes temas mas não se podendo deixar de destacar o facto da relevância que os ciber-criminosos dão cada vez mais a estas técnicas, associando-as sempre aos temas mais recentes e explorando ferramentas como o Google Trends para descobrirem exactamente que termos são mais procurados na Internet.
A Panda deixa um conjunto de dicas que te serão úteis para te manteres alerta e evitares alguns dos perigos a que te encontras exposto ao navegar:
1. Instala uma solução de segurança eficaz e actualizada. Para te protegeres de códigos maliciosos, a melhor estratégia é possuíres uma solução de segurança eficaz e sempre actualizada. As soluções da Panda Security contam com actualizações em tempo real, graças à ligação permanente com a Inteligência Colectiva, um conjunto de servidores online que fornecem actualizações contínuas, mantendo-te permanentemente protegido sem teres que te preocupar com isso.
2. Instala os pacotes de correcções dos principais fabricantes de software para resolver eventuais falhas e vulnerabilidades de software que possam permitir a infecção do computador, e que são normalmente exploradas pelos hackers.
3. Não cliques em links quando conversas por instant messaging ou recebes um e-mail (especialmente links que prometem conteúdos aliciantes como os relacionados com celebridades). Ainda que o link venha directamente de alguém que conheces, escreve-o ou copia-o no endereço no browser. Em caso de suspeita, o melhor é ignorares. Bloqueia pessoas com as quais não queiras interagir. Além disso, muitas destas mensagens criadas para te enganar vêm em Inglês ou mal traduzidas para Português, o que te pode ajudar a identificá-las.
4. Evita fornecer endereços de e-mail de amigos e familiares, e impede os sites de redes sociais de verificarem a tua lista de contactos. Estes endereços poderão ser utilizados para o envio de mensagens em massa a todos os contactos da tua lista.
5. Presta especial atenção ao teu e-mail, já que este é frequentemente utilizado para propagar ameaças, ataques de phishing e outros esquemas distribuídos através de spam. Tipicamente, em determinadas alturas do ano surgem ondas de spam com ofertas irreais. Estas mensagens solicitam aos utilizadores dados confidenciais ou a transferência de informação que na realidade se trata de um ficheiro infectado. Como tal, nunca é demais alertar para que ignores todos os e-mails provenientes de remetentes desconhecidos. As soluções da Panda Security incluem anti-spam para filtrar e analisar todos os teus e-mails e evitar que percas tempo a eliminar mensagens indesejadas.
6. Não forneças informação confidencial pela Internet. Nunca se deve enviar informação privada (dados, morada, escola onde andas, etc.) por e-mail ou mensagens instantâneas, nem em blogs ou fóruns. Quem te conhece realmente sabe o que precisa sobre ti e não precisa de te perguntar. Tem cuidado ao criar perfis para serviços como o FaceBook, Hi5 ou Myspace. É aconselhável não utilizares o teu nome verdadeiro, mas sim um nome falso. Aprende a configurar o teu perfil para que apenas os teus amigos possam ver a tua informação mais sensível.
7. Fica atento a qualquer suspeita. Se um programa de que não te recordas instalar começar a mostrar falsas infecções ou pop-ups a convidar-te para comprar um produto, cuidado. Poderás ter algum tipo de malware instalado no teu computador. As soluções da Panda Security incluem anti-phishing, que te protege contra fraudes online.
8. Deixa o teu router desligado quando te ausentas. Isto impedirá que outros utilizadores se liguem à tua rede durante a tua ausência, possivelmente com objectivos maliciosos. Por exemplo, alguém poderá ligar-se à tua rede e transferir código malicioso que se poderá manter na rede até que inicies o teu computador e consequentemente se infecte.
9. Toma precauções ao utilizares computadores partilhados. Muitos utilizadores frequentam ciber-cafés para ler e-mails, conversar com amigos, consultar as páginas pessoais nas redes sociais, etc. Neste caso, deverás tomar algumas precauções. Primeiro, não actives qualquer opção que guarde passwords no computador local ao acederes a contas a partir de computadores públicos. Isso permitirá ao utilizador seguinte aceder a qualquer uma das tuas contas. Certifica-te que o computador que utilizas não está infectado. Ao primeiro sinal suspeito (pop-ups, funcionamento irregular…), pára de utilizar o computador. Mais importante ainda, nunca utilizes computadores partilhados para transferências bancárias ou compras!
10. Não te ligues a redes sem fios desprotegidas, já que poderás estar a ligar-te a uma rede deliberadamente criada por hackers para roubar qualquer informação que partilhes através da Internet. Mesmo que tenhas pago para lhe aceder, é sempre preferível utilizar redes seguras e de confiança.
11. Define passwords fortes, com pelo menos oito caracteres, alfanuméricos, e que misturem maiúsculas e minúsculas. Por mais confiança que tenhas nos teus amigos, nunca partilhes as tuas passwords, já que estes podem ser enganados por alguém que os levem a fornecê-las ou a serem roubadas.
Tal como o Twitter, o Facebook tornou-se outro dos alvos populares para os ciber-criminosos. Os ataques de phishing destinados a sequestrar contas do Facebook têm sido particularmente notórios, com falsos sites do Facebook desenvolvidos para roubar os dados de conta dos utilizadores. Têm ocorrido muitos outros casos de fraude, como um esquema detectado em que os utilizadores podiam aceder às contas de outros em troca de uma quantia. O Facebook foi também alvo de uma família específica de malware, o Koobface, que explorava esta rede social para se propagar. Este worm evoluiu, utilizando actualmente outros canais de propagação como o MySpace ou o Twitter. Outras variantes deste malware têm também instalado outras ameaças nos sistemas infectados, como banker Trojans e rogueware.
Para além das redes sociais, existe uma diversidade de serviços online que, por se integrarem no conceito de Web 2.0, foram ou são potenciais vítimas deste tipo de ataques, tal como sucedeu com o YouTube, cuja possibilidade dos utilizadores adicionarem comentários nas páginas dos vídeos, levou os criminosos a criarem contas que geravam uma série de comentários automaticamente. Os comentários incluíam links para páginas maliciosas desenvolvidas para infectar os visitantes. No total foram gerados mais de 30.000 comentários maliciosos. Também o Digg.com foi marcado com mais de meio milhão de comentários desta natureza em apenas algumas horas, que encaminhavam os utilizadores para exemplares de rogueware.
Apesar de não representarem nada de novo, os ataques através de técnicas de optimização de resultados de pesquisas em motores de busca mostraram um aumento significativo da sua presença ao longo do ano passado, com o objectivo de melhorar o posicionamento das páginas Web dos ciber-criminosos nos resultados mostrados pelos motores mais comuns, como o Yahoo e o Google. A Panda Security desvendou um dos maiores ataques deste tipo até à data, num esquema que envolvia cerca de um milhão de páginas Web relacionadas com a marca Ford que na realidade encaminhavam para páginas maliciosas. Mesmo após tornado público, o esquema manteve-se activo, mudando apenas as marcas utilizadas para atrair as vítimas. O método passava pelo pedido de instalação de um codec para que os utilizadores conseguissem visualizar um vídeo, mas na realidade era um falso antivírus chamado MSAntiSpyware2009. Desde então, muitos casos semelhantes surgiram e continuam a surgir, utilizando diferentes temas mas não se podendo deixar de destacar o facto da relevância que os ciber-criminosos dão cada vez mais a estas técnicas, associando-as sempre aos temas mais recentes e explorando ferramentas como o Google Trends para descobrirem exactamente que termos são mais procurados na Internet.
A Panda deixa um conjunto de dicas que te serão úteis para te manteres alerta e evitares alguns dos perigos a que te encontras exposto ao navegar:
1. Instala uma solução de segurança eficaz e actualizada. Para te protegeres de códigos maliciosos, a melhor estratégia é possuíres uma solução de segurança eficaz e sempre actualizada. As soluções da Panda Security contam com actualizações em tempo real, graças à ligação permanente com a Inteligência Colectiva, um conjunto de servidores online que fornecem actualizações contínuas, mantendo-te permanentemente protegido sem teres que te preocupar com isso.
2. Instala os pacotes de correcções dos principais fabricantes de software para resolver eventuais falhas e vulnerabilidades de software que possam permitir a infecção do computador, e que são normalmente exploradas pelos hackers.
3. Não cliques em links quando conversas por instant messaging ou recebes um e-mail (especialmente links que prometem conteúdos aliciantes como os relacionados com celebridades). Ainda que o link venha directamente de alguém que conheces, escreve-o ou copia-o no endereço no browser. Em caso de suspeita, o melhor é ignorares. Bloqueia pessoas com as quais não queiras interagir. Além disso, muitas destas mensagens criadas para te enganar vêm em Inglês ou mal traduzidas para Português, o que te pode ajudar a identificá-las.
4. Evita fornecer endereços de e-mail de amigos e familiares, e impede os sites de redes sociais de verificarem a tua lista de contactos. Estes endereços poderão ser utilizados para o envio de mensagens em massa a todos os contactos da tua lista.
5. Presta especial atenção ao teu e-mail, já que este é frequentemente utilizado para propagar ameaças, ataques de phishing e outros esquemas distribuídos através de spam. Tipicamente, em determinadas alturas do ano surgem ondas de spam com ofertas irreais. Estas mensagens solicitam aos utilizadores dados confidenciais ou a transferência de informação que na realidade se trata de um ficheiro infectado. Como tal, nunca é demais alertar para que ignores todos os e-mails provenientes de remetentes desconhecidos. As soluções da Panda Security incluem anti-spam para filtrar e analisar todos os teus e-mails e evitar que percas tempo a eliminar mensagens indesejadas.
6. Não forneças informação confidencial pela Internet. Nunca se deve enviar informação privada (dados, morada, escola onde andas, etc.) por e-mail ou mensagens instantâneas, nem em blogs ou fóruns. Quem te conhece realmente sabe o que precisa sobre ti e não precisa de te perguntar. Tem cuidado ao criar perfis para serviços como o FaceBook, Hi5 ou Myspace. É aconselhável não utilizares o teu nome verdadeiro, mas sim um nome falso. Aprende a configurar o teu perfil para que apenas os teus amigos possam ver a tua informação mais sensível.
7. Fica atento a qualquer suspeita. Se um programa de que não te recordas instalar começar a mostrar falsas infecções ou pop-ups a convidar-te para comprar um produto, cuidado. Poderás ter algum tipo de malware instalado no teu computador. As soluções da Panda Security incluem anti-phishing, que te protege contra fraudes online.
8. Deixa o teu router desligado quando te ausentas. Isto impedirá que outros utilizadores se liguem à tua rede durante a tua ausência, possivelmente com objectivos maliciosos. Por exemplo, alguém poderá ligar-se à tua rede e transferir código malicioso que se poderá manter na rede até que inicies o teu computador e consequentemente se infecte.
9. Toma precauções ao utilizares computadores partilhados. Muitos utilizadores frequentam ciber-cafés para ler e-mails, conversar com amigos, consultar as páginas pessoais nas redes sociais, etc. Neste caso, deverás tomar algumas precauções. Primeiro, não actives qualquer opção que guarde passwords no computador local ao acederes a contas a partir de computadores públicos. Isso permitirá ao utilizador seguinte aceder a qualquer uma das tuas contas. Certifica-te que o computador que utilizas não está infectado. Ao primeiro sinal suspeito (pop-ups, funcionamento irregular…), pára de utilizar o computador. Mais importante ainda, nunca utilizes computadores partilhados para transferências bancárias ou compras!
10. Não te ligues a redes sem fios desprotegidas, já que poderás estar a ligar-te a uma rede deliberadamente criada por hackers para roubar qualquer informação que partilhes através da Internet. Mesmo que tenhas pago para lhe aceder, é sempre preferível utilizar redes seguras e de confiança.
11. Define passwords fortes, com pelo menos oito caracteres, alfanuméricos, e que misturem maiúsculas e minúsculas. Por mais confiança que tenhas nos teus amigos, nunca partilhes as tuas passwords, já que estes podem ser enganados por alguém que os levem a fornecê-las ou a serem roubadas.
{mosgoogle}
