Segurança digital em tempos de Copa

A Copa do Mundo 2010, com sede na África do Sul, parece ser a copa da “zebra”. Nomes de peso jÁ foram eliminados do mundial, como Inglaterra, ItÁlia, França e o Brasil, com uma derrota de 2 a 1 para a Holanda nas quartas de final.

A rotina dos brasileiros começa a voltar ao normal. Ninguém mais faltarÁ ao serviço para assistir os jogos da seleção, por exemplo. De qualquer forma, os ânimos de milhões de torcedores ao redor do globo estão em polvorosa com a chegada da fase decisiva da competição. O mundo inteiro continua acompanhando os jogos na expectativa de conhecer o grande campeão, na final que ocorrerÁ no dia 11 de julho.

Toda a comoção internacional em torno de um grande evento esportivo que só acontece a cada quatro anos é uma ótima oportunidade para comemorações, reuniões com os amigos e apostas. Mas também é um prato cheio para criminosos virtuais, que usam o evento como isca para atrair a atenção dos usuÁrios a fim de espalhar malwares e roubar dados pessoais.

Antes mesmo do início do evento, mensagens maliciosas com a temÁtica da Copa começaram a circular. Em maio, a TrendMicro divulgou um relatório que apontou a incidência de spam prometendo prêmios em nome da Fifa. Nas duas amostras coletadas pela companhia de segurança, havia documentos anexos que solicitavam dados pessoais da vítima. Um deles, inclusive, pedia uma doação em dinheiro para o remetente.

O Brasil sustenta uma expressiva cultura futebolística. Ao mesmo tempo, o país é forte na produção e nos ataques através de bankers – programas maliciosos desenvolvidos para roubar senhas bancÁrias. Segundo estudo da Kaspersky divulgado em março deste ano, o Brasil lidera o ranking global de infecções por trojans bankers, com 36% das ameaças no mundo, seguido pela China, com 21%.

Diante desse cenÁrio, o país parece uma vítima em potencial para toda a sorte de golpes virtuais envolvendo a Copa do Mundo. Nas próximas pÁginas, você confere como funcionam as principais ameaças que se aproveitam do evento.

Ninguém gosta de abrir a caixa de entrada de e-mails e deparar-se com dezenas de mensagens de remetentes desconhecidos, que não são nada mais do que lixo. E isso estÁ se tornando cada vez mais comum. O relatório de ameaças divulgado pela McAfee referente ao primeiro trimestre do ano mostra que, entre janeiro e março, o trÁfego de spam atingiu uma média de aproximadamente 139 bilhões de mensagens por dia, o que representa 89% de todo o trÁfego de e-mail no mundo.

Conforme o estudo, essas mensagens tratam de diversos assuntos. Algumas oferecem remédios para impotência sexual, outras trazem anúncios para cassinos online que, na verdade, estão relacionados a redes de bots. Outras temÁticas incluem loterias, mulheres solitÁrias e produtos para adultos.

O Brasil ocupa uma posição alta na lista de remetentes de spam. Uma pesquisa da Symantec divulgada em maio aponta que o país é o terceiro colocado, com 9,39% das mensagens, atrÁs da Índia (15,21%) e Estados Unidos (20,13%).

“Os ´hackers do mal´ se unem e criam o que chamamos de engenharia social, ou seja, iscas que se espalham na internet com o intuito de aguçar a curiosidade e colher dados sigilosos”, explica OrÁcio Kuradomi, consultor de segurança virtual e criador do ÚnicoNET – sistema de gerenciamento e segurança de redes. “A partir da curiosidade dos usuÁrios, inserem programas espiões nas mÁquinas e passam a ter acesso a tudo que é digitado, inclusive às telas acessadas pelo usuÁrio”, complementa.

Para despertar o interesse dos usuÁrios, os cibercriminosos aproveitam assuntos de grande repercussão. A Copa do Mundo é uma excelente oportunidade para isso. De acordo com a Symantec, apenas entre abril e maio deste ano, o volume de spam relacionado ao evento cresceu 27%.

A maior parte das ameaças envolve mensagens de e-mail indesejadas. Kuradomi aponta algumas modalidades, como e-mails com ofertas de pacotes turísticos falsos para a Copa do Mundo, falsos bolões virtuais e mensagens prometendo prêmios e vantagens milagrosas. “Muitos chegam a comprar uma oferta que não existe”, afirma o especialista. Além disso, hÁ outro grande perigo: a obtenção de dados cruciais pelos criminosos. “Alguns usuÁrios informam o número de cartões de crédito para realizar a compra e sofrem as consequências por muito tempo, pois com os números de cartões, os bandidos virtuais pagam contas de terceiros, fazem assinaturas e muitos outros golpes”, revela.

Os ataques não visam somente o usuÁrio final. Os spammers também enviam suas mensagens com links maliciosos e arquivos perigosos em anexo a empresas. Na primeira semana do campeonato, marcada pela vitória do Brasil sobre a Coreia do Norte, os pesquisadores da Symantec identificaram 45 e-mails enviados com malwares específicos a companhias de vÁrios segmentos, como químicos e financeiros, por exemplo.

As mensagens são enviadas em nome de uma fabricante de artigos esportivos, patrocinadora do evento, não revelada pela Symantec. Para aprimorar a eficiência do ataque, o e-mail inclui, além de um anexo em formato PDF, um link que leva ao download de um programa malicioso. “Esse ataque ´duplo` significa que, mesmo se o PDF for removido pela barreira do antivírus, o link malicioso permanece no corpo da mensagem e chegarÁ ao destinatÁrio”, explica Tony Millington, engenheiro de operações relacionadas a malware da companhia.

O especialista aponta que, ao clicar no link, o usuÁrio faz o download de um executÁvel que se instala na mÁquina e notifica aos criminosos que o sistema infectado estÁ online. Com isso, “eles podem ter controle total e levar adiante qualquer plano malicioso”, conclui.

Você jÁ recebeu uma mensagem, provavelmente em inglês, em nome de um membro importante de algum país africano, solicitando ajuda para uma transação financeira que resultaria em grandes lucros? Esse é o chamado 419 scam (ou fraude 419). O nome vem do artigo nº 419 do código penal da Nigéria, que trata desse tipo de crime.

A prÁtica começou ainda na década de 80, quando as mensagens eram transmitidas através de cartas e faxes. O seu princípio é convencer a vítima a mandar dinheiro ou objetos de valor para o remetente da mensagem, em troca de uma fortuna que, na verdade, nunca chegarÁ.

Caso o usuÁrio sinta-se tentado a entrar no esquema e responder a mensagem, o criminoso manterÁ contato constante, sempre pedindo pequenos “favores” para que a grande quantia possa ser transferida, o que inclui o envio de dinheiro para cobrir despesas como taxas, impostos e viagens.

Na contrapartida, existem alguns sites dedicados a ludibriar os próprios golpistas. Um exemplo é o 419-Eater, que, além de explicações e esclarecimentos detalhados sobre o golpe, mantém uma galeria de “troféus”, com fotos enviadas pelos envolvidos nos esquemas em algumas situações embaraçosas. Trata-se do chamado “scambaiting”. A ideia é manter o contato com os criminosos utilizando um e-mail falso, enviar dados inventados e “enrolar” os golpistas, de forma a dar o troco e fazê-los perder tempo ao invés de prejudicar pessoas incautas.

A fraude ganhou o mundo. “Atualmente, esse tipo de estratégia se massificou e sua propagação não é mais exclusiva da Nigéria”, afirma Jorge Mieres, analista de segurança da ESET na América Latina. “De fato, o Brasil, junto à Argentina, ao México e Peru são os principais emissores de ameaças na América Latina.”

Substitua, então, o “membro do governo de um país africano” e “transferência bancÁria” por “loteria” e “prêmios da Fifa” e tenha uma idéia de como um cibercriminoso aproveita a Copa do Mundo para convencer vítimas a fornecer dados pessoais e dinheiro a troco de uma recompensa prometida.

Em maio, especialistas do laboratório de pesquisas da Trend Micro alertaram para uma ameaça desse tipo. As mensagens chegam com o anúncio de que o destinatÁrio venceu um prêmio milionÁrio e precisa fornecer seus dados pessoais para reivindicar a fortuna.

“O treinador da seleção brasileira, Dunga, foi agredido na manhã desta terça-feira por um torcedor (…). Clique aqui e veja as fotos.” Receber um e-mail como esse até pode atiçar a curiosidade mórbida de algumas pessoas, ainda mais porque a mensagem simula uma notícia de um portal de notícias legítimo do Brasil. 

Ao receber qualquer comunicado desse tipo, é melhor verificar a veracidade da informação acessando diretamente o portal. Isso porque, ao clicar no link, provavelmente o usuÁrio serÁ infectado por um trojan banker.

Trata-se de um malware do tipo cavalo-de-troia, que vem disfarçado em uma mensagem aparentemente legítima e, depois de baixado e instalado, dedica-se a obter dados de autenticação e credenciais de usuÁrios de internet banking.

Esses programas podem cumprir seu objetivo de diversas formas. Alguns capturam todas as teclas digitadas pela vítima, outros, apenas aquilo que for introduzido nos sites de bancos. HÁ ainda técnicas mais sofisticadas, como substituição de janelas verdadeiras por cópias idênticas falsas e até mesmo a captura dos movimentos do mouse. Ou seja, dependendo da complexidade da infecção, nem mesmo o uso do teclado virtual mantém um usuÁrio seguro.

De acordo com a Kaspersky, o Brasil é o país mais afetado por ataques de bankers, representando 36% das ameaças no mundo todo. Para Kuradomi, a estatística é um reflexo do número de hackers existentes no país, além do “grande e acelerado aumento de internet banda larga no país, a falta de conhecimento por grande parte dos usuÁrios que hoje acessam a rede e a enorme oferta de cartões de crédito”. Mieres ainda ressalta que é numerosa a quantidade de pessoas no país que acessam a Internet e usam recursos oferecidos online pelas empresas bancÁrias. “Some isso à falta de conscientização que existe em torno do modus operandi dos delinquentes e o país se torna um ambiente muito explorado por eles”.

Dmitry Bestuzhev, analista de Pesquisas Globais da Kaspersky Lab para a América Latina, explica, no blog Secure List, o “jeitinho brasileiro” de espalhar ladrões de dados bancÁrios pela web. “Eles nunca são disseminados como arquivos isolados. O processo de infecção sempre envolve a instalação de uma vasta gama de programas maliciosos adicionais no computador da vítima.”

Em geral, o servidor hospeda um cavalo-de-troia responsÁvel por fazer o download de outras infecções, normalmente um ladrão de senhas de redes sociais, um programa para combater as funcionalidades do antivírus e, por fim, malwares que interceptam a atividade da vítima na rede e enviam para os criminosos os dados inseridos em sites bancÁrios.

Bestuzhev notou alguns aspectos interessantes a respeito do perfil dos criadores de bankers brasileiros. A maioria desses programas é escrita em Delphi, uma linguagem de programação que, conforme o especialista, não é comumente incluída nos currículos das universidades e é ensinada em cursos específicos.

“Isso sugere que os cibercriminosos não são necessariamente pessoas com educação superior e podem ser muito jovens”, avalia. Essa impressão é reforçada pelo fato de vÁrias amostras estarem infectadas com Virut, malware que se espalha através de sites com downloads de cracks e números de série para programas baixados ilegalmente, pÁginas pornogrÁficas e redes de compartilhamento P2P.

O destino desses jovens é incerto. Na verdade, é possível que o termo “cibercriminoso” nem mesmo seja adequado. Isso porque o ato de disseminar um malware ou enviar mensagens fraudulentas pela rede não é considerado crime pela legislação brasileira. “O simples phishing no Brasil não é crime. O envio de softwares maliciosos é o delito que chamamos de crimes na internet e não pela internet”, destaca a advogada e especialista em Direito de T.I. e Telecomunicações Laine Souza.

O crime passa a existir quando o cracker usa as informações coletadas através de um software malicioso para cometer delitos offline. “Se ele se passar pela pessoa, é uso de identidade falsa. Caso compre com o cartão de crédito dela, configura estelionato. Transferir dinheiro da conta bancaria da vítima para outra conta via internet banking é furto mediante fraude”, explica. Logo, a punição recebida serÁ aplicada de acordo com o código penal brasileiro, variando conforme o crime cometido.

Prevenir é a melhor estratégia para evitar incômodos. “Os usuÁrios tendem a não considerar as medidas de segurança simplesmente por desconhecer que existem métodos maliciosos destinados a atacar seus dados sensíveis e privados”, avalia Mieres. Entre as atitudes preventivas, estão o uso de programas antivírus e firewall sempre atualizados, capazes de bloquear esse tipo de atividade. Igualmente importante é não abrir arquivos anexos não esperados e jamais fornecer dados pessoais. Por fim, “ninguém dÁ nada de graça, então, devemos sempre desconfiar de prêmios e brindes. Na dúvida, ao invés de clicar no e-mail, digite no browser o endereço do site e confirme se hÁ alguma promoção”, orienta Laine.

Quem não toma os devidos cuidados e acaba infectado por um malware desse tipo deve tomar algumas atitudes rapidamente para evitar maiores problemas. “Identificando que foi infectada por algum programa espião, a pessoa deve limpar a mÁquina e monitorar a conta no banco, trocando imediatamente todas as senhas”, explica a advogada. Além disso, é possível pedir um ressarcimento ao banco, apresentando ao gerente uma carta e comprovando que foi realizada uma transferência bancÁria por uma pessoa não autorizada.

A constatação desse fato é possível graças a alguns plugins instalados pelos sites bancÁrios, que identificam e autorizam determinada mÁquina a realizar transações online. Por isso, é importante ser criterioso na hora de realizar operações bancÁrias via internet. “As pessoas têm que se conscientizar e não cadastrar diversos computadores que podem movimentar a conta e nunca logar no banco em uma lan house ou em redes fornecidas por terceiros, tais como wireless, aeroportos e bares”, alerta Laine.

Procurar por determinadas informações sobre a Copa em um site de buscas, como o Google, pode ser uma atividade perigosa. Uma série de resultados posicionados no topo transmitem confiabilidade, mas é bom pensar duas vezes antes de clicar nos links. Eles podem ser pÁginas maliciosas colocadas em evidência através de técnicas de Black Hat SEO.

Antes de tudo, é preciso explicar o conceito de SEO (search engine optimization). É uma série de técnicas utilizadas para elevar o ranking de um endereço eletrônico, fazendo com que ele ganhe posições em sites de busca. A prÁtica é legítima, realizada por profissionais sérios, e traz efeitos que podem demorar um pouco para surgirem, mas que garantem uma boa reputação para o site.

Na contramão, existem maneiras bem mais rÁpidas de posicionar uma pÁgina no topo das pesquisas, embora não sejam consideradas honestas. É o chamado Black Hat SEO, ou SEO poisoning (envenenamento dos motores de busca). Uma das técnicas mais usadas pelos manipuladores para enganar os sistemas de rastreio dos sites de busca é o keyword stuffing (abuso de palavras-chave). Como o nome sugere, é a inserção de uma quantidade abusiva de palavras-chave com o objetivo de atrair os bots de rastreamento para elevar as posições da pÁgina no ranking.

Outros métodos ainda escondem o texto na pÁgina, configurando-o com a mesma cor utilizada no fundo e realizam o redirecionamento de pÁginas, de modo que o usuÁrio, ao acessar um site, encontre, na verdade, um conteúdo totalmente diferente do esperado.

De acordo com a ESET, “quando a informação buscada é de transcendental importância a nível global, como por exemplo, a Copa do Mundo 2010, uma gama de possibilidades se abre para os criminosos virtuais que utilizam a relevância desses acontecimentos para atrair a atenção dos usuÁrios e esperar que assim eles acessem, sem saber, pÁginas da web com conteúdo malicioso e fraudulento”.

Um exemplo disso foi um alerta da PandaLabs, divulgado poucos dias antes do início da competição. Cibercriminosos aproveitaram os recursos do Black Hat SEO para posicionar, no topo dos resultados, sites que ofereciam o download do malware MySecurity Engine, que funciona como um falso antivírus. A intenção desse tipo de ameaça é disparar falsos alertas de vírus ao usuÁrio e cobrar uma certa quantia em dinheiro para a suposta “remoção” das pragas inexistentes.

Essa prÁtica é corriqueira. Segundo dados do Google, divulgados pela ESET latinoamericana no Blog de Laboratorio, os falsos antivírus representam 60% do conteúdo malicioso descoberto em sites que usam a técnica de abuso de keywords.

“Identificar pÁginas web com conteúdo malicioso através do buscador não é uma tarefa fÁcil”, destaca Mieres, da ESET. Portanto, o usuÁrio deve redobrar a atenção e atentar para as tentativas de bloqueio dos próprios  motores de busca. “Por exemplo, uma maneira de prevenção se dÁ quando o endereço de uma pÁgina com conteúdo malicioso ou fraudulento é listada com a advertência de que o acesso a ela representa um potencial perigo”, ressalta o especialista.

“Preferir navegar em sites com a extensão final “.com.br” é uma medida de segurança, pois os mesmos possuem cadastro de CNPJ obrigatório no Brasil, que também pode ser consultado no site http://www.registro.br“, acrescenta Kuradomi.

Aproveitar assuntos de grande repercussão para atrair usuÁrios através de técnicas de engenharia social para espalhar arquivos maliciosos e capturar informações pessoais é uma prÁtica comum, que continuarÁ em evidência mesmo com o fim desta edição da Copa do Mundo.

Pode ser difícil rastrear e capturar os responsÁveis pela criação e disseminação das ameaças. No entanto, hÁ uma ampla comunidade de profissionais empenhados em analisar links e arquivos e providenciar a derrubada de sites maliciosos.

O usuÁrio pode contribuir para tentar tornar a web um espaço mais seguro. Os próprios navegadores oferecem a opção de denunciar um site como falso. Além disso, é recomendado reportar o caso à Safernet, associação sem fins lucrativos criada com o objetivo de enfrentar crimes e violações executados através da Internet. Quem for vítima de algum golpe, também deve entrar em contato com a polícia civil mais próxima, como recomenda Kuradomi.

A prevenção, porém, jamais deve ser esquecida. “Desconfiar sempre de propostas miraculosas e evitar negociar em sites de empresas desconhecidas são precauções essenciais”, afirma o consultor. “Uma forma segura é efetuar sempre o pagamento com boleto bancÁrio, evitando assim, fornecer o número do cartão.”

Outro ponto imprescindível é atentar-se aos dados solicitados pelo site. Se forem, por exemplo, muito pessoais, desconfie!”, alerta. Kuradomi ainda recomenda que consumidores dêem preferência a negociações por telefone, além de manter o sistema operacional sempre atualizado.

 “A instalação de um antivirus com capacidades proativas permite detectar e bloquear ese tipo de atividade”, destaca Mieres.”Em conjunto, é importante atualizar o sistema operacional e os aplicativos com nível de prioridade alto, como o Adobe Reader, e manter-se informado sobre as capacidades criminosas aproveitadas pelos criminosos, através de uma fonte de informação confiÁvel”.

A Copa acabou para nós brasileiros, mas continua para os crackers que precisam de asuntos interesantes para capturar a atenção das suas vítimas em potencial. E, se as primeiras mensagens fraudulentas envolvendo a Copa na África do Sul começaram a circular jÁ em 2006, não se espante se, nos próximos días, você começar a ganhar alguns “prêmios da Fifa” por conta da realização do mundial aqui no Brasil.