Proteger seu PC contras as ameaças no mundo selvagem da Web não é só
uma questão de manter seu antivírus favorito atualizado. Na verdade, a
popularização dos softwares de segurança forçou os malfeitores a
recorrer a truques cada vez mais engenhosos na busca pelo controle de
PCs alheios.
Mas não se preocupe. Estes truques são mais eficazes se as vítimas
não estiverem conscientes do perigo. E hoje, caro leitor, vou mostrar
como evitar algumas das mais diabólicas armadilhas. Conhecê-las já é
metade do caminho para vencer a batalha.
Phishing
Vamos começar com o mais provável ataque que você poderá encontrar no
dia-a-dia. Sites de “phishing” tentam imitar o visual e comportamento
de um outro site, na tentativa de convencê-lo a fornecer login, senha e
informações pessoais. Embora eles possam assumir qualquer forma, os
bandidos preferem imitar site de bancos e redes sociais. Os ataques
normalmente vem de dois lados: URLs com erros de digitação ou mensagens
de e-mail fingindo vir de fontes legítimas.
 |
| O "Facebook" está lhe oferecendo US$ 1.000! Você só precisa informar login, senha, e-mail, número de telefone, endereço de casa... vai dizer que não é suspeito? |
Uma pista torna fácil detectar um site de phishing: o endereço é o
mesmo que o endereço do site pelo qual ele tenta se passar. Se o
Facebokk.com, Faceb00k.com ou Facenook.com pedirem sua senha do
Facebook, saia correndo. Repito: examine o endereço de qualquer site que
pede login antes de digitar sua senha.
Além disso, a maioria dos sites de mídia social e bancos usa
critptografia HTTPS por padrão em todas as conexões. Se o site onde você
está não tem o “cadeado” do lado da barra de endereços, é um bom sinal
de que há algo errado.
Os três principais navegadores (Internet Explorer, Chrome e Firefox)
incluem sistemas de navegação segura que alertam sobre suspeita de
phishing e site maliciosos, enquanto plugins como o Web of Trust e o McAfee Site Advisor podem fornecer uma camada extra de proteção.
E-mails maliciosos
Os bandidos adoram e-mail. Frequentemente histórias de contas no
Twitter ou servidores web hackeados começam da mesma forma: “Um membro
de nossa equipe abriu um e-mail malicioso”.
Mas não é exatamente assim. Na maioria dos casos apenas abrir uma
mensagem não irá causar nenhum problema. O perigo são os links ou anexos
inclusos com ela. A solução? Fique com os dois pés atrás ao abrir links
enviados por e-mail, e não abra anexos sem certificar-se de que estão
limpos (passando-os por um antivírus) antes.
 |
| Oh não! O "Suporte do Webmail" vai cancelar meu e-mail! Hmmm... na verdade não, é golpe! |
Você dever ter ainda mais cautela com mensagens que dizem ser de
bancos, serviços comoo PayPal, redes sociais ou qualquer outro serviço
onde você precise fazer login. Tais mensagens frequentemente são
tentativas de phishing, e é muito, muito fácil falsificar o endereço do
remetente em um e-mail. Alguns provedores e clientes de e-mail conseguem
identificar e avisar sobre mensagens suspeitas, mas estes sistemas de
detecção não são à prova de falhas.
Muitos antivírus pagos são capazes de analisar automaticamente os
anexos para identificar malware, mas ainda assim é recomendável pedir
uma análise manualmente antes de abrí-los, só para ter certeza.
E embora nem todas as mensagens maliciosas contenham erros de
ortografia e gramática, muitas delas tem. Se você vir um e-mail “do seu
banco” que parece ter sido escrita por um fugitivo da quarta série,
ignore-a.
Mensagens de phishing costumam apelar para nosso senso de urgência,
curiosidade ou ganância para nos fazer agir rapidamente e sem pensar.
Você não precisa rodar um programa no PC para “sincronizar o token” do
banco (isso não existe), aquela “intimação” para comparecer à Polícia ou
Receita Federal é falsa (estes documentos NUNCA são entregues por
e-mail), não há nenhum Príncipe Nigeriano precisando de sua ajuda para
tirar dinheiro da Suíça e as “fotos da festa de ontem”, ou aquelas que
mostram você sendo traído, muito provavelmente são uma armadilha. Antes
de agir pare, respire fundo e pense no assunto por dois segundos. Assim
você poderá evitar muitas dores de cabeça.
Falsas mensagens de erro ou de atualização
Há todo um ecossitema de sites e táticas para convencê-lo a instalar
malware em seu PC enquanto você navega na internet. São sites e
mensagens que pipocam na tela e se disfarçam de pedidos para atualizar o
navegador, ou instalar um componente necessário para ver uma página.
Outros se fantasiam de ferramentas de segurança, e mostram mensagens de
erro horríveis alertando de “dezenas de erros críticos” ou “centenas de
vírus detectados” em seu PC, e prometem fazer o problema desaparecer com
um clique, e alguns dólares.
Clicar em qualquer botão num destes avisos, mesmo um botão de
“Cancelar” ou “Fechar”, dá ao malfeitor a autoridade para executar
código em sua máquina, e instalar malware disfarçado de Flash, Quicktime
ou um Antivírus, que provavelmente irá tornar sua vida digital um
inferno nas próximas semanas.
 |
| Esta janela de atualização do Chrome é falsa. Clicar em qualquer lugar dela, mesmo nos espaços em branco ou no X no canto superior direito, inicia o download de malware para seu PC |
Evitar estas armadilhas é fácil: se um site pede para você atualizar
um software, como o Flash, vá manualmente até o site do fabricante do
programa (no caso a Adobe) e procure lá pela tal atualização, em vez de
aceitar o que é oferecido em um pop-up. E nunca clique em nenhum botão
nestas mensagens, feche a aba ou janela do navegador.
“Drive-By Downloads”
As falsas atualizações e “alertas” maliciosos são parte de uma nova
tendência rumo a “Drive-By Downloads”, ataques projetados para instalar
software em seu computador na surdina, sem que você perceba,
aproveitando-se de vulnerabilidades no sistema operacional, navegador ou
softwares relacionados.
Um ataque bem sucedido pode infectar um computador sem nenhuma
interação com o usuário, além do simples fato dele visitar um site. Sem
falsa mensagem de erro, sem janelinha de download, sem perguntar se você
quer mesmo rodar um programa baixado, sem nada.
Novamente, as precauções básicas contra estes ataques são simples.
Tenha sempre um antivírus ou pacote de segurança em seu PC, e
mantenha-os atualizados. Certifique-se também de manter o sistema
operacional, e todos os seus apps, atualizados. Fique de olho no Windows
Update (Painel de Controle / Sistema e Segurança / Windows Update), ou configure-o para instalar atualizações automaticamente.
Além disso use o Secunia PSI
para automatizar a atualização do restante dos seus programas. Este
excelente utilitário roda em segundo plano procurando atualizações e as
instala automaticamente sempre que possível, ou pede a você para
instalá-las manualmente caso contrário.
 |
| O Secunia PSI indica quais programas em seu PC precisam ser atualizados, e automatiza parte da tarefa |
Desativar o suporte a JavaScript (como um plugin como o NoScript) e
desinstalar o Java reduz o risco de ataques, mas pode causar outras
dores de cabeça. Sem JavaScript muitos serviços populares na Web (como
Google Docs, GMail, Outlook.com, Flickr e inúmeros outros) deixam de
funcionar corretamente, e sem Java os “guardiões” de vários sistemas de
home banking também não funcionam, o que te impedirá de completar
transações. Ou seja, a segurança não compensa o incômodo.
Quem usa o IE deve ativar um recurso o Filtro de ActiveX, que
bloqueia por padrão conteúdo usando esta tecnologia, que é
frequentemente um vetor de ataque para os malfeitores. Abra o IE, tecle
Alt, clique no menu Ferramentas e selecione a opção Filtragem ActiveX,
se ela já não estiver marcada.
Os plugins Web of Trust e Site Advisor, que já mencionamos, também
podem alertá-lo quando você está em um site que uma conhecida fonte de
ataques, mas os “Drive-By Downloads” já apareceram em sites legítimos
através de anúncios maliciosos. A melhor opção é se manter atualizado
para ficar protegido.
Ataques “Zero-Day”
Este tipo de ataque explora uma vulnerabilidade até então
desconhecida, e ainda não corrigida, em um software para comprometer seu
sistema. O nome vem do fato de que os desenvolvedores tem “zero dias”
para corrigir o problema antes dele ser explorado pelos malfeitores.
Fora seguir as dicas acima, não há muito o que você pode fazer quando
a estas ameaças. Os mais paranóicos podem ativar todas as várias opções
de segurança em seus sistemas operacionais e navegadores, mas para ser
honesto, isso é provavelmente um exagero.
"HACKERS"!
Ataques diretos por malfeitores a um computador doméstico não são
comuns, a não ser que você seja um “alvo valioso” como um
alto-executivo, político influente, ou uma pessoa famosa. Ainda assim,
você pode se proteger contra eles habilitando algum tipo de Firewall,
como o incluso no Windows (Painel de Controle / Sistema e Segurança / Firewall do Windows), que funciona bem, mas verifica apenas tentativas de intrusão em sua máquina.
 |
| O Firewall do Windows não é tão bom quanto algumas alternativas, mas certamente é melhor do que nada. Ative-o! |
Se você que proteger contra atividade suspeita partindo de sua
máquina, o que pode ser sinal de infecção por malware, irá precisar de
um Firewall mais sofisticado, que exigirá um pouco mais de esforço para
ser corretamente configurado. O ZoneAlarm e o Comodo Firewall
(nas versões de 32 e 64 Bits) são suas opções excepcionais e gratuitas.
A maioria dos pacotes de segurança pagos também oferece Firewalls
robustos.
Via: IDGNow
Nenhum comentário:
Postar um comentário