Saiba como evitar os vírus que atacam redes sociais

Redes sociais estão na mira dos hackers há muito tempo. Sites como Orkut, Twitter, MySpace e Facebook são usados para manter contatos com conhecidos, amigos e colegas de trabalho. Por isso, uma mensagem, um link que circula por um desses sites carrega uma credibilidade maior, permitindo que códigos maliciosos dos mais variados consigam se espalhar. Se isso não fosse o bastante, existem ainda erros de segurança que dão “vantagens” para os malfeitores. Nesse cenário, é possível proteger as informações inseridas de forma restrita nesses sites? Talvez não, mas ainda dá para aproveitar algumas facilidades das redes sociais sem perder muita segurança, desde que o perfil seja gerenciado com cuidado.

Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.

Na sexta-feira (29), a coluna resumiu, entre outros fatos, a descoberta de uma brecha no Twitpic que poderia permitir ataques no Twitter. O G1 também noticiou os novos golpes que visam os usuários do serviço de microblog.

Para o uso seguro das redes sociais é importante manter em mente que a conveniência trazida por elas vem ao custo da privacidade. Quanto mais informações você revelar publicamente, maior será a chance de ser encontrado por outras pessoas. Por outro lado, você estará se expondo mais, aumentando riscos.

É preciso também compreender que mesmo informações fechadas para amigos, ou até dados que somente a rede social utiliza – como por exemplo as listas de “favoritos”, “gatas(os)” e “paquera” no Orkut, ou o número de celular no Twitter – podem ser comprometidos no caso de um vírus ou roubo de conta.

A tendência é a de que os golpes dentro das redes sociais não parem. E a maioria deles se dá na forma de pragas digitais.

>>>> Vírus em redes sociais usam a arma da simplicidade

A rede social mais popular no Brasil, o Orkut, foi atacada em larga escala por um vírus pela primeira vez em maio de 2006. A praga tinha um funcionamento simples: ao ser instalada, ela tentava verificar se o Orkut estava aberto no Internet Explorer. Se estivesse, o código malicioso usava as credenciais de acesso armazenadas no navegador para enviar um recado (scrap) a todos os amigos da vítima.

A mensagem, que vinha acompanhada do link para o vírus, era a seguinte:

“Dá uma olhada nas fotos da nossa festa, ficaram ótimas.”

Com essa frase tão simples, o vírus conseguiu infectar milhares de usuários. É justamente a banalidade da situação – um amigo enviando fotos de uma festa – que não despertou suspeita. Algumas vítimas afirmaram que o amigo que enviou a mensagem infectada tinha, de fato, participado de uma festa com elas alguns dias antes.

A lição para os internautas é clara: mesmo os recados e mensagens mais corriqueiros e banais podem ser maliciosos.

Desde então, o Google adicionou – lentamente e à prestação – diversos recursos de segurança ao Orkut para impedir que criminosos se aproveitassem do site tão facilmente. Funcionou, em parte também porque os usuários têm ficado mais espertos. Mas os golpes ainda continuam, em escala menor, porém talvez em maior número.

Vale dizer que nada disso está restrito ao Orkut, ou ao Twitter, mencionado no início da coluna. O MySpace foi alvo de diversos abusos semelhantes, além de ser usado como intermediário em infecções. O Facebook “ganhou” uma família de vírus própria, a Koobface, que já tem mais de 56 variações. Em janeiro, começaram a aparecer em escala razoável perfis falsos na rede social profissional LinkedIn. Há pouco mais de duas semanas, a fabricante de antivírus Panda Security publicou um alerta informativo sobre os novos links maliciosos divulgados em comentários do YouTube.

>>>> Golpes não dependem de falhas de segurança

Alguns sites, como o Orkut e o Facebook, permitem que aplicativos de terceiros sejam executados no perfil. Já no caso do Twitter, existe uma interface pública que viabiliza serviços como o TwitterFeed e o Twitpic, clientes como o TwitterFox, entre outros. Essas funções podem facilmente conter erros e/ou vazar informações que os usuários talvez não queiram que sejam publicadas. Outro problema é que as informações ficam armazenadas em mais de um local. Como a coluna já falou anteriormente, uma informação colocada no perfil não pode mais ser considerada um segredo.

Outros dois problemas de segurança comuns enfrentados por sites de redes sociais são o XSS (Cross-site Scripting) e XSRF (Cross-site Request Forgery). Eles permitem, respectivamente, que código não-autorizado seja executado no navegador do internauta em nome do site, e que uma página de terceiros realize ações como se fosse o internauta visitante.

Porém, as mensagens maliciosas e perfis falsos em redes sociais costumam explorar outra coisa: a curiosidade dos internautas. Com isso, os próprios usuários acabam se infectando, sem saber, ao clicar em links plantados por criminosos. A enganação, também chamada de engenharia social, independe de qualquer recurso da segurança do website.

Também é possível que vírus contraídos por outros meios, como mensageiros instantâneos ou e-mails, capturem os dados de acesso à rede social. Em outras palavras, o vírus não precisa circular pela rede social para capturar essas informações. E de fato muitas pragas que usam as redes sociais na verdade têm outros interesses, como, por exemplo, instalar um antivírus fraudulento no PC.

Embora hoje muitos vírus não sejam sofisticados o bastante para roubar dados das redes sociais para auxiliar outros golpes, se os criminosos forem espertos isso não deve continuar por muito tempo. Por isso, a coluna Segurança para o PC deixa as seguintes dicas:

1) Considere o uso da rede social ao cadastrar uma informação ou usar um serviço. Em outras palavras, o que você quer aproveitar de cada rede social? Se você não espera receber uma oferta de emprego pelo Orkut, melhor não cadastrar o número de telefone comercial lá, ou mesmo qualquer informação profissional. Se você tentou usar o Twitter pelo celular e desistiu, retire seu número do cadastro. E se não retirar, lembre-se que seu número de telefone foi deixado lá!

2) Proteja-se de vírus, mas lembre-se que seus amigos podem ser infectados também. Ter em mente a vulnerabilidade de seus amigos o ajudará a não pensar que algo está protegido porque somente eles têm acesso.

3) Procure sempre manter em mente o cálculo “ganho em conveniência” e “perda de privacidade”. Você estará fazendo essa troca o tempo todo, e às vezes a conveniência ganha é superior à privacidade perdida – ou vice-versa! Acessar a rede social a partir de um computador público como uma lanhouse, por exemplo, pode ser conveniente, mas pode acabar resultando no roubo da sua conta.

4) Não dispense cuidados gerais de segurança com o PC. Ter um computador seguro de modo geral é necessário para que todas as outras tarefas – de compras online ao acesso a sites de redes sociais – sejam realizadas com segurança.