Spams, vírus e usuários falsos se espalham pelo serviço.
Deixe sua pergunta sobre segurança na seção de comentários.
O aumento da popularidade do Twitter tem atraído cada vez mais usuários para a rede social. Até mesmo apresentadores de TV, atores e outros artistas estão fazendo uso do serviço para divulgar suas atividades, trabalhos e ideias. Como sempre, a popularidade em sites web é acompanhada de problemas – nesse caso, ataques de criminosos virtuais. A coluna Segurança para o PC de hoje explica como o Twitter está sendo explorado de forma maliciosa e dá dicas para que você possa se proteger.
Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.
>>> Spam, robôs e usuários falsos
Foto: Reprodução
Robô tentou seguir mais de 1.000 usuários para enviar propaganda. (Foto: Reprodução)
Criminosos podem criar usuários fantasmas ou “robôs” (“bots”) no Twitter para enviar mensagens automatizadas. Eles podem, inclusive, “seguir” seu perfil como uma maneira de convidá-lo a seguir o perfil falso, o que fará com que você receba, mais tarde, as mensagens contendo links para páginas maliciosas ou mesmo propagandas.
O uso massivo de robôs e mensagens automáticas também já foi usado para envenenar os assuntos populares, ou "Trending topics".
Dica: Preste atenção no nome dos usuários – os dos robôs são geralmente bem genéricos, contendo algum nome simples e um número. Visite os perfis individuais nos resultados de pesquisas. Perfis maliciosos normalmente têm poucas mensagens e todas estão relacionadas ao golpe. Isso não é regra, mas é uma característica a ser observada que poderá facilmente identificar vários robôs.
>>> O que está escondido em uma URL
O Twitter limita suas mensagens a 140 caracteres. Alguns links (URLs) excedem por si esse limite; outros são pelo menos longos o suficiente para tornarem impossível a adição de qualquer mensagem significativa, mesmo que sucinta. Por causa disso, é comum o uso dos serviços de encurtamento de URL, como TinyURL, Bit.ly e outros, de modo a possibilitar a troca de links dentro dos 140 caracteres.
Infelizmente, o link encurtado esconde a URL real, forçando usuários a clicarem em um link que pode levar para qualquer lugar. Além disso, cria-se um ponto único de falha: se o serviço de encurtamento for invadido por um criminoso, ele poderia direcionar todos os links para um vírus ou outra página indesejada. Um caso assim já aconteceu com o serviço Cli.gs, embora o redirecionamento não tenha sido malicioso.
Foto: Reprodução
TwitterFox mostra endereço completo de alguns links encurtados, mas não todos. (Foto: Reprodução)
Existem plugins para o Firefox que permitem que você visualize o link completo antes de clicar, no entanto eles nem sempre estarão disponíveis enquanto você estiver navegando no Twitter em outros computadores, por exemplo. O cliente TwitterFox, por exemplo, também “estende” URLs do bit.ly e do TinyURL.
Embora isso seja positivo, o problema permanece: são muitos serviços de encurtamento de URL. Por um lado, é preciso usar vários serviços para não sobrecarregar nenhum deles. No entanto, isso também impossibilita que todas as URLs completas poderão ser vistas, já que os programas teriam que ser constantemente atualizados para incluir a possibilidade de visualizar o link completo em cada novo serviço que aparecer.
Dica: O importante é desconfiar. Lembre-se: você não sabe para onde o link pode levar. Observe a barra de endereço e a barra de status no navegador e pare o carregamento da página se o endereço for suspeito.
>>> Analise o perfil, não a pessoa
Não importa se é uma mensagem simples, direta ou uma "@resposta": qualquer uma delas pode conter um vírus ou link para uma página falsa. Mesmo que ela venha de um conhecido seu, ele ainda pode ter sido infectado, ou mesmo ter caído no mesmo golpe que agora está sendo repassado a você.
Os próprios vírus podem enviar mensagens pelo Twitter em nome dos usuários infectados. É o que já está fazendo algumas variantes da praga conhecida como 'Koobface'.
Foto: Reprodução
Ataque enviava link para página clonada do Twitter, roubava credenciais de acesso e reenviava o link para contatos da vítima. (Foto: Reprodução)
Na semana passada, um golpe enviava links para o site “twitter.tk”, onde uma página clonada do Twitter roubava as credencias de acesso nela digitadas. O perfil roubado era usado para enviar várias mensagens diretas aos seus contatos, disseminando o mesmo link.
Embora nenhum vírus tenha sido propagado até agora, é bem provável que, em um momento oportuno, os criminosos irão usar todos os usuários e senhas roubados para enviar links para pragas digitais.
Isso, somado ao problema dos links explicado acima, gera uma situação perigosa.
Dica: as mensagens partem do perfil, e não, necessariamente, da pessoa por ele representado. Por isso, podem ser falsas e até maliciosas, mesmo quando você conhece a pessoa. Não confie em tudo que circula no Twitter.
>>> Brechas em serviços que interagem com o Twitter
Foto: Reprodução
Serviços de terceiros dependem do seu usuário e senha. Eles podem conter falhas, ou serviços falsos podem ser isca para que você digite suas credenciais. (Foto: Reprodução)
Jogos, serviços diversos, links para imagens – há uma infinidade de serviços que interagem com o Twitter, e novos estão sendo criados toda semana. Eles podem criar alguma nova funcionalidade, ou concorrer com uma já existente.
Esses serviços podem conter falhas de segurança diversas. Este mês de julho é o “mês de falhas do Twitter”. O especialista em segurança Aviv Raff está divulgando diariamente vulnerabilidades em serviços que trocam informações com o Twitter para alertar os responsáveis por esse tipo de site a respeito dos cuidados de segurança necessários.
Não há muito que se possa fazer a respeito, mas é preciso ter conhecimento que mesmo esses sites podem comprometer sua conta no Twitter e permitir que um criminoso a utilize de forma maliciosa.
Dica: você deve tomar cuidado com seu usuário e senha. Embora o Twitter não armazene nenhuma informação de valor – exceto pelo seu número de celular –, seu perfil ainda pode ser usado para disseminar pragas digitais que roubarão senhas de banco, por exemplo. Um site que interage com o Twitter pode usar seu nome de usuário e senha de uma maneira que você pode não gostar. Fique atento à reputação dos serviços antes de utilizá-los.
>>> Segurança no Twitter também é problema do Twitter
O Twitter é um serviço inovador. Seu modo de funcionar e suas aplicações tornam impossível a comparação com sites anteriores. Mesmo outras redes sociais operam de maneira diferente. O grande fluxo de mensagens no Twitter torna difícil a filtragem de conteúdo e a necessidade de links e textos curtos dificulta a observação de comportamentos estranhos, ao mesmo tempo em que uso contínuo do serviço, que incentiva o envio de várias mensagens por dia, torna várias medidas de segurança invasivas.
Os responsáveis pelo serviço têm diante de si um grande desafio: criar técnicas de segurança para proteger sua base de usuários. Até o momento, o Twitter fez escolhas discutíveis: não existe, por exemplo, verificação de e-mail válido no cadastro, nem qualquer tentativa de verificar a autenticidade de certos perfis. Por isso há muitos perfis falsos de pessoas famosas, por exemplo.
A responsabilidade do Twitter vai além de corrigir as brechas de segurança na programação do site. Eles precisam desenvolver sistemas de segurança que impeçam o envio de mensagens automatizadas e o cadastramento de robôs. Existem soluções, mas o Twitter é uma empresa pequena e não conta com o auxílio (técnico e financeiro) de nenhum grande portal. O problema não é apenas descobrir o que fazer, mas sim o que fazer entre aquilo é viável para as condições atuais.
A coluna Segurança para o PC de hoje vai ficando por aqui. Na quarta-feira (15) é dia de pacotão, no qual são respondidas dúvidas deixadas por leitores. Se você tem uma dúvida sobre segurança ou crimes virtuais, deixe-a na seção de comentários, abaixo. Até lá.
* Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna “Segurança para o PC”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na página @g1seguranca.
via e-mail
Adicione aos Favoritos:
0 comentários:
Postar um comentário