Facebook não é seguro, mas o adoramos mesmo assim


Problemas de privacidade, links maliciosos, phishing... são muitos os perigos das redes sociais, mas não conseguimos sair delas, mostra pesquisa.


Depois que Daniel Peck, pesquisador da Barracuda Networks, fez uma pesquisa na qual o especialista passou muito tempo durante o ano passado observando as atividades nas redes sociais e analisando as táticas mais comuns utilizadas para phishing scam ou para direcionar pessoas para links maliciosos. Mas afinal, o quão perigosos são Facebook e Twitter?



Como parte de sua pesquisa, o especialista pesquisou usuários em 21 países e recebeu milhares de respostas a respeito do uso e percepções de redes sociais. Com esses dados, Peck encontrou pessoas que estão cientes dos riscos desse tipo de site, contudo esse conhecimento não é o suficiente para mantê-los totalmente seguros. Surpreendentemente, 92% dos pesquisados afirmaram que se preocupam com a segurança das redes sociais, e 40% foram além e disseram que se sentem “inseguros” no Facebook. Mesmo assim, esmagadores 93% utilizam a rede social de Zuckerberg, apesar de toda essa preocupação. O Twitter é quase tão popular, com 75% dos usuários ativos entre aqueles que responderam a pesquisa.



Leia também: Usuários frequentes do Facebook não se preocupam com privacidade



"A maioria dos usuários sabe que existe um problema, porém isso não é o suficiente para fazer com que pare de utilizar os serviços” afirmou Peck. E enquanto a segurança e a privacidade podem ser as maiores preocupações, elas figuram praticamente ao lado do receio de que o site não seja amigável ao usuário. Entre os pesquisados, 87% e 91% disseram que “fácil de usar” e “ter amigos que usam” são respectivamente as duas maiores influências na hora de escolher determinada rede social.



Os usuários também estão preocupados a respeito da segurança, com 51% destacando estar “insatisfeitos” com os controles de privacidade do Facebook. O pesquisador notou ainda que existem reclamações sobre a privacidade do site toda vez que ele é redesenhado. “Parece ser uma tempestade em copo d’água nos primeiros dois primeiros dias e depois todo mundo esquece e continua usando”, pontuou.



Outra constatação foi que Facebook e trabalho não são compatíveis, com 73% dos empregadores admitindo que acreditam que os funcionários compartilham informações demais online. Outros 86% disseram que o comportamento dos colaboradores nas redes sociais coloca em perigo a segurança da companhia.



Mas essas preocupações não se equiparam ao tipo de acesso às redes sociais que as empresas dão aos funcionários durante o expediente. Peck descobriu que apenas 31% dos locais de trabalho bloqueiam o Facebook, enquanto 25% bloqueiam o Twitter e apenas 20% não permitem o acesso ao LinkedIn. “Eles concluem que esses endereços não são tão seguros quanto deveriam e que há problemas definitivos de privacidade que precisam ser corrigidos, mas estão tranquilos em relação a isso”. concluiu.



http://idgnow.uol.com.br/seguranca/2011/12/13/facebook-nao-e-seguro-mas-o-adoramos-mesmo-assim/

os cibercriminosos brasileiros usam criatividade e até golpes simples para roubar dados bancários de milhares de internautas.

Na internet, eles não têm nome verdadeiro, muito menos menos sobrenome. mas podem ser encontrados com relativa facilidade nas redes sociais e até em raps no YouTube. Sempre exibindo seus feitos, comemorando os lucros e debochando das vítimas – que pode ser qualquer internauta, inclusive você. Bem-vindo ao mundo dos "Rauls".

Raul, coletivo raulzada, é como os golpistas digitais de todos os tipos se autodenominaram no submundo do cibercrime virtual. Com diferentes especializações e métodos, o que os une é o desejo por dinheiro fácil e rápido e o lucro – muito lucro, que estão obtendo com os golpes online. Só nos primeiros seis meses deste ano, a Federação dos Bancos admitiu perdas de 685 milhões de reais com golpes – contra apenas 55 milhões em roubos armados.

"O cibercriminoso brasileiro é diferente dos outros porque jamais pensa no longo prazo - ele é, sobretudo, imediatista", explica Fabio Assolini, analista-sênior de malware da Kaspersky Labs, em entrevista ao IDG Now! durante o encontro de experts da empresa russa de segurança digital em Cancun, no México.

O leque de truques da raulzada é amplo. "O brasileiro é bastante criativo", diz Assolini. Como exemplo, ele cita o fato de os Rauls terem sido os primeiros do mundo a usar o Twitter como plataforma de controle para um malware – o código do Cavalo de Tróia (trojan) foi feito de tal forma a consultar um perfil na rede social para obter instruções de como se atualizar. "É um processo de custo baixíssimo e bem eficiente", explica. Enquanto ninguém denunciar o perfil (o que pode nunca acontecer, já que não é seguido por ninguém), o Twitter não tem por que removê-lo. Antenados com o crescimento do Facebook, os golpistas também estão migrando para essa rede.

Leia também: Downloads: 10 softwares gratuitos para proteger seu PC

Os Rauls foram pioneiros também em códigos maliciosos (neste caso, um rootkit) contra Windows 64-bit, tido como muito mais seguro que o 32-bit usado pela maioria dos internautas.

Outra criação do cibercrime brasileiro é o phishing personalizado em massa. Após o roubo (ou vazamento) de milhões de dados pessoais, os golpistas conseguiram montar um enorme banco de dados combinando e-mails com o número do CPF. Nos últimos meses, milhões de internautas receberam e-mails, supostamente de seus bancos ou da Receita Federal, com seu nome completo e CPF, o que deu uma verossimilhança muito maior ao golpe. E-mails com "intimações da Justiça", também fazem sucesso, sem falar no velho e ainda incrivelmente eficaz "veja fotos da sua(seu) namorada(a) te traindo". Ele explica que, mesmo velhos, esses golpes continuam circulando a toda, "um sinal claríssimo de seu sucesso", diz.

Ao clicar sobre o link com a tal ameaça/oferta, geralmente a pessoa é levada para um site que pede para baixar/executar um programa. Ao insistir em ver o tal conteúdo, o internauta roda um malware que se instala no sistema e desaparece. Sem entender o que aconteceu (nada), a vítima fica sem saber que agora seu PC está sendo monitorado por um Raul, que tem acesso a simplesmente tudo o que é digitado na máquina. "Os vírus estão ficando mais sutis, a ponto de ser quase impossível perceber a presença deles na máquina", alerta Assolini.

Outro malware, bem mais sofisticado, altera as configurações do navegador e redireciona todo acesso daquele PC para um servidor intermediário, chamado proxy. Assim, quando o internauta digita www.banco.com.br, é desviado para uma página clonada – e o golpe está completo. Esse vírus é particularmente perigoso por fazer uma operação considerada legítima pelo Windows (uso de um proxy) e nem sempre ser detectado pelos antivírus, já que os criminosos atualizam o malware sempre que ele começa a ser barrado pelos programas. "Um de nossos programadores russos conseguiu resolver essa corrida desenvolvendo um código que barra esse tipo de ataque em 100% das vezes", garante o especialista.

Injeção de código

Outro golpe muito comum no País é a contaminação de um site – qualquer site, diga-se – com código malicioso. Ao visitar a página, o internauta que não tiver a última versão do Java(software quase onipresente que praticamente ninguém se importa em atualizar) pode ser contaminado sem nem imaginar o que houve, automaticamente. Até quem atualizou pode ser infectado, caso mande executar o programa, que engana o usuário dizendo ser essencial para executar algo na página, por exemplo. Muitas vezes, os donos do site nem ficam sabendo da injeção de código, pois os cibercriminosos retiram o malware antes de levantar suspeitas.

Atualmente, o Brasil é a pátria dos trojans bancários – os vírus cuja única função é roubar seu dinheiro. Segundo a Kaspersky, em 2010, 36% de todos os malwares desse tipo no mundo foram criados aqui pela raulzada. Estão ficando tão bons que agora até exportam malware para países como Portugal e Cabo Verde.

Falta legislação

E quem é o típico Raul? Homem, jovem (20 a 35 anos), alguns universitários e até graduados. Estão em todos os Estados, com destaque para o Pará. "A maioria é autodidata", diz o expert da Kaspersky. Há os inteligentes, que criam seus códigos, os testam contra os principais antivírus e depois usam suas obras nos ataques ou as vendem no mercado negro; e os novatos, que compram kits prontos – programas que, com poucos cliques no menu, geram malware contra os principais bancos brasileiros. Para os que não sabem como fazer, é só comprar os manuais e ler os tutorais. Está tudo lá, no submundo da web.

O meio preferido de comunicação são os canais de chat do IRC, um bate-papo dos primórdios da internet. Os Rauls também usam o IRC para trocar e vender as chamadas "infos" – pacotes com endereços de e-mail, CPF, dados bancários e, ultimamente, até milhas aéreas roubadas de programas de milhagem.

E qual o tamanho da raulzada? De acordo com o expert, é difícil saber, mas apenas um canal no IRC usado por eles é usado por 100 a 150 pessoas por dia - obviamente, nem todos criminosos, já que pesquisadores como Assolini e policiais costumam se infiltrar para saber o que se passa neste submundo.

Desconfiados, os Rauls ainda não confiam nos grandes esquemas que funcionam no exterior de recrutamento de laranjas, preferindo confiar em familiares e amigos para servir de ponto intermediário pelo qual passa o dinheiro desviado antes de ir para o destino final. Por isso, os laranjas são geralmente os primeiros a serem presos quando a polícia investiga o caso, o que é raro.

Por falar em polícia, eis o ponto crítico dessa história toda. Pela absoluta falta de legislação sobre cibercrimes, a raulzada ainda conta com a impunidade. "A polícia até prende, mas a justiça solta", diz Assolini. "É preciso, urgentemente, uma legislação específica para os golpes virtuais", defende.

Como se defender

E o pobre do usuário, como fica nessa guerra?

Em primeiro lugar, é preciso ser esperto. Justiça, bancos, operadoras de cartão de crédito, companhias aéreas nunca pedem dados pessoais por e-mail. Logo, 100% dessas mensagens são golpes. Se o seu companheiro(a) te traiu, também é absolutamente improvável que um desconhecido te mande fotos, ainda mais em um arquivo executável.

Parece ridículo? Pois a quantidade de pessoas que cai nesses truques simples ainda é muito alta, lamenta Assolini.

Além disso, é preciso um conjunto de travas de segurança. Além de um antivírus, o usuário precisa ficar em dia com os updates dos principais programas – os do Windows, lançados mensalmente pela Microsoft, os da Adobe (Flash e Reader) e os do Java. Sim, é uma chatice, mas não há alternativa. Falhas nesses programas são rapidamente exploradas pelos golpistas para atacar o micro. "A proteção funciona por camadas", diz Assolini. "Quando você sai de casa, tranca a porta, liga o alarme e solta os cachorros", compara.

No mundo virtual, vale a mesma coisa. Sem atenção, você será a próxima vítima da raulzada.

http://idgnow.uol.com.br/seguranca/2011/08/30/conhece-os-rauls-pois-devia-eles-estao-de-olho-no-seu-dinheiro/

Quatro dicas para manter sua conta do Facebook protegida

em 2011 vários problemas de segurança e privacidade atingiram a rede social. Saiba o que fazer este ano para não cair nos mesmos golpes.

Em dezembro do ano passado, o perfil do próprio fundador do Facebook, Mark Zuckerberg, foi invadido. Dezenas de fotos pessoais foram compartilhadas no site Imgur, com a seguinte legenda: “Está na hora de corrigir essas falhas de segurança”.

A rede social, mais tarde, confirmou o problema, mas defendeu que ele só existiu por um curto espaço de tempo e que já fora corrigido. A polêmica surgiu uma semana após a empresa chegar a um acordo com o governo dos Estados Unidos quanto às configurações de privacidade da plataforma.

O fim de ano, portanto, não foi agradável para o Facebook, mas, segundo Mike Geide, pesquisador de segurança da Zscaler ThereatLabZ, em 2011 a segurança do portal foi bastante modificada, embora, certamente, “ainda haja espaço para melhorias”.

“Os hackers estão ficando promovendo ataques cada vez mais sofisticados”, afirma. “Credenciais roubadas do Facebook são vendidas a um preço alto no submundo, tal qual endereços de e-mails”.

À medida que os cibercriminosos melhoram suas táticas, os usuários também precisam aumentar suas precauções. Para garantir a segurança de suas contas e, consequentemente das informações pessoais que elas possuem, falhas de julgamento não podem ocorrer. A seguir, veja quatro importantes recomendações para não cair em armadilhas.

Criptografia SSL

No passado, o Facebook só utilizava o HTTPS – protocolo mais seguro que o tradicional HTTP – na página em que se preenchia nome de usuário e senha. Trata-se de um procedimento semelhantes às das lojas online. Basta notar que sempre que você vai acessar sua conta, um pequeno cadeado aparece na extremidade do navegador.

Agora, porém, a rede social aplica a criptografia SSL a todas as partes de sua plataforma e, principalmente se você tiver o costume de utilizá-la em computadores públicos, o recurso é bastante útil.

Para ativá-lo, visite as configurações de sua conta e selecione “Segurança” à esquerda. Você verá se a “Navegação segura” está habilitada ou não. Clique em “Editar” para ligá-la.

Saiba, porém, que páginas criptografadas demoram mais para abrir e que alguns aplicativos não a suportam. De qualquer forma, vale a pena pelo menor testar o recurso, já que ele aumenta consideravelmente a proteção sobre seus dados.

Facebook now applies SSL encryption to all browsing done on the site, and it is strongly recommended if you use public computers or access points, such as at coffee shops, airports or libraries.

Cuidado com o que compartilha

As informações que você deixa visíveis no seu perfil podem parecer inofensivas, mas são ótimas dicas para hackers. Veja, por exemplo, a data de seu aniversário: em muitos casos, lembra Geide, ela é perguntada ao usuário quando ele solicita reenvio da senha. Deixá-la visível representa, sim, um risco.

O especialista também recomenda ao usuário desabilitar o recurso que permite a ele e seus amigos fazerem check-ins em lugares. Para isso, vá até “Configurações de privacidade” e selecione “Editar” na opção “Como funcionam as marcações”. Desligue a última caixa.

A questão, de acordo com Geide, é que hackers utilizam os lugares em que você esteve para formular golpes. Podem, por exemplo, enviar uma mensagem lembrando uma conferência em que você esteve a fim de convencê-lo a clicar em um link malicioso.

Use aplicativos e games com moderação

No passado, aplicativos maliciosos encheram o Facebook de spam e invadiram muitas contas. Desde então, rede social criou protocolos de segurança de modo a evitar que pragas como essas se espalhassem.

Uma das boas ferramentas para aumentar sua proteção é ir até a aba “Segurança” nas configurações da conta e clicar em “Senha de aplicativos”. Lá, você conseguirá códigos exclusivos para os programas que utiliza, assim você não terá que utilizá-los com sua conta da rede social.

Geide também recomenda que o usuário verifique com atenção as permissões que cada aplicativo solicita. Especialmente os que pedem autorização para escrever nos murais de amigos, pois isso serve para propagar um suposto golpe. Atenção também com os dados a que eles pedem acesso, como fotos ou mensagens a amigos.

“Pense sobre as expectativas que você tem em relação ao aplicativo”, sugere o pesquisador. “Se o nível de acesso requerido não for necessário para seu devido funcionamento, há a possibilidade de que ele faça algo que prefere não informar”.

Saia de sessão quando terminar

Quando terminar de usar a rede social tenha a certeza de que você fez o log off. “Isso serve como precaução contra pragas, como “likejacking”, que acessam contas que estejam abertas do Facebook”.

Likejacking é um tipo de clickjacking. Ele induz o internauta a clicar e um link que, automaticamente, é compartilhado em sua página na rede, como se ele tivesse o curtido. Esse golpe é comum na rede social e, por vezes, é fácil identifica-lo ao perceber que inúmeras pessoas estão curtindo a mesma coisa – um vídeo suspeito, por exemplo.

Caso você se esqueça de sair da sessão em um computador, uma boa solução é fazê-lo remotamente. Vá até a aba segurança novamente e selecione “Sessões Ativas”. Você verá em que máquinas seu perfil está ativo. Clique nas que gostaria de sair.

http://idgnow.uol.com.br/seguranca/2012/01/04/facebook-quatro-dicas-para-manter-sua-conta-do-facebook-protegida/

Seis dicas para usar o home banking com segurança

Acessar o banco pela internet é pratico, mas tenha cuidado: há criminosos esperando apenas um descuido seu para colocar as mãos em seu dinheiro.

Um dos golpes mais populares na internet são os e-mails de “phishing” que alegam que um banco está “recadastrando contas” ou fazendo uma “atualização de segurança” , e que tentam convencer o usuário a visitar um site (que parece o site do banco, mas é comandado por criminosos) para “confirmar seus dados pessoais”, incluindo aí o número da conta, agência, senha...

Não precisamos dizer que quem cai nessa história tem prontamente todo o dinheiro em sua conta roubado, e ainda corre o risco de ter que arcar com os custos de empréstimos feitos pelos falsários. Isso não significa que você deve evitar o home banking: não dá pra abrir mão desta comodidade com a correria da vida moderna. Basta seguir alguns cuidados básicos, como os que mostramos a seguir. Não garantimos que você ficará imune aos hackers, mas os riscos serão bem menores.

Leia também

» 10 passos para ficar seguro

1. Instale software de segurança: não dá pra frisar o quão importante é isso. Instale um pacote anti-vírus e anti-spyware, nem que seja um gratuito como o AVG Free ou o Microsoft Security Essentials, e o mantenha sempre atualizado. Um anti-vírus desatualizado é pior do que anti-vírus nenhum, pois dá uma falsa sensação de segurança.

2. Tenha cuidado com os e-mails: você recebeu uma mensagem do banco dizendo que é necessário algum tipo de recadastramento ou atualização, ou você perderá o acesso à sua conta. Em primeiro lugar, pare e pense: você tem conta no banco que supostamente mandou o e-mail? Não? Então vai atualizar o quê? Descarte a mensagem, pois é golpe.

Em segundo lugar, preste atenção: os golpistas costumam cometer erros grosseiros de português, que um banco de verdade nunca cometeria. Se a mensagem parece ter sido escrita por um repetente da 5ª série, desconsidere.

Em terceiro lugar, por mais legítima que a mensagem pareça, não clique em nenhum link. Mesmo um link que parece legítimo à primeira vista pode estar “armado” para levá-lo a uma página falsa que irá tentar roubar suas informações pessoais, isso se não infectar também seu computador com malware. Feche a mensagem, abra um navegador e digite manualmente o endereço do site de seu banco. Veja se a página fala sobre algum recadastramento, se ele for verdadeiro estará lá. Em caso de dúvidas, entre em contato com o atendimento ao cliente do banco.

3. Não continue na página se ela não for segura: antes de digitar seu nome de usuário e senha na página do banco, dê uma espiadinha no endereço. Ele deve começar com “https://” em vez de “http://”. O “s” extra indica uma conexão segura entre o site e seu navegador. Se a conexão não for segura, não prossiga. O Firefox e o Chrome dão uma forcinha, e destacam o começo do endereço em verde se estiver tudo OK.

4. Use uma senha forte: as melhores senhas tem pelo menos 8 caracteres e são uma combinação aleatória de letras (idealmente maiúsculas e minúsculas) e números, como “LVtkG70D”. “joao1234” ou “12senha3” não são combinações aleatórias, e são péssimas senhas pois são fáceis de adivinhar (assim como datas de aniversário). Se seu navegador se oferecer para guardar a senha, diga que não. Estas dicas servem não só para bancos, mas para qualquer site ou serviço na web.

E nem pense em usar a mesma senha do banco em qualquer outro site que você visita. Se você não quer ter o trabalho de criar senhas fortes e se lembrar delas, use um gerenciador de senhas como o LastPass, que é gratuito e funciona com qualquer navegador.

5. Evite computadores e redes públicas: não acesse o site de seu banco, de sua operadora de cartão de crédito ou mesmo uma loja virtual em um computador público, como uma Lan House, nem usando uma conexão Wi-Fi “gratuita” em um shopping ou restaurante. Você nunca sabe o que pode ter sido instalado no computador (há programas chamados keyloggers, que capturam tudo o que é digitado e enviam a informação para um criminoso) ou se há alguma “escuta” na conexão.

6. Proteja informações confidenciais: se você guarda recibos de banco ou formulários de imposto de renda no computador, encontre uma forma de criptografá-los. Assim, mesmo que seu computador cair em mãos erradas eles estarão a salvo de bisbilhoteiros. Uma alternativa é guardar estes arquivos em um pendrive ou HD externo com criptografia e um leitor de impressões digitais integrado. Assim, só você terá acesso a eles.

PCWorld EUA / PCWorld Brasil