O dilema das redes sociais e acessos indevidos

O Twitter foi vítima de um ataque em massa na última quinzena, onde diversas personalidades globais e empresas tiveram suas contas comprometidas. Uma mensagem falsa foi publicada em seus perfis prometendo o pagamento em dobro de bitcoins mediante depósito enviado a uma determinada conta. Obviamente, tratava-se se um golpe! Personalidades como Elon Musk, Barack Obama e Bill Gates, além de contas corporativas de grandes empresas como Uber e Apple, foram vítimas deste incidente.

Segundo Maurício Paranhos, diretor de operações da Apura S/A, empresa especializada em cibersegurança, este pode ter sido o maior ataque sofrido pela rede social até hoje. "As técnicas utilizadas para este ataque ainda estão sob investigação. Mas as possibilidades são diversas, desde técnicas de engenharia social, até o uso indevido de API´s mal configuradas", explica. 

A pergunta que paira sobre muitas pessoas nesse momento é: se grandes empresas e personalidades globais com milhões de seguidores tiveram suas contas comprometidas, como eu protejo a minha conta ou de minha empresa contra acessos indevidos?

Para o executivo, esse ataque não pode ser utilizado como referência para exemplos de perdas de acesso às redes sociais. Ao mesmo tempo que não existe um sistema 100% seguro, normalmente, as grandes corporações possuem tecnologia, processos e pessoas dimensionados e adequados para a proteção e também para a detecção e reação contra incidentes cibernéticos.

"Ataques como esse recente contra o Twitter eventualmente acontecem. Mas normalmente os problemas de perda de contas de acesso às redes sociais (account takeover) referem-se a falhas processuais dos usuários. O simples vazamento do usuário e senha de acesso à uma rede social ou uma solução de mensageria é a maneira mais fácil de um golpista conseguir acessar sua conta e executar golpes semelhantes em seu nome", ressalta o especialista em segurança cibernética.

GOLPE DO COMÉRCIO ELETRÔNICO

Outro golpe cada vez mais comum aqui no Brasil ocorre após você anunciar a venda de um imóvel, automóvel ou item pessoal em um portal de comércio eletrônico qualquer. Assim, um fraudador entra em contato contigo por telefone ou Whatsapp informando que ele faz parte do time de antifraude do portal relacionado e gostaria de validar que o anúncio não se trata de uma fraude. Ele informa que está lhe enviando um código por SMS que você deve confirmar para ele esse código. O que o fraudador está tentando fazer na verdade é habilitar sua conta de Whatsapp em um equipamento qualquer. A partir daí, ele entra em contato com seus amigos e familiares pedindo a transferência de recursos financeiros para uma conta terceira (de um laranja). Ou seja, é o fraudador aplicando um golpe se passando pelo time de antifraude.

Veja algumas dicas para se proteger contra problemas semelhantes:

• Tenha uma senha forte com letras números e caracteres especiais. Isso irá dificultar a quebra das senhas de forma automatizada. Além disso, troque sua senha periodicamente;
• Tenha senhas diferentes para serviços diferentes. Assim, no caso do vazamento de suas credenciais em uma rede social ou sistema específicos não comprometerá suas demais contas;
• Habilite o uso de um segundo fator de autenticação. Assim, um atacante além de possuir acesso às suas credenciais precisaria aprovar o acesso com o segundo fator de autenticação, seja um hardware, SMS ou aplicativo de autenticação;
• Tanto em relação às empresas quanto para uso pessoal, use solução de cofre de senhas. Para uso pessoal, use um aplicativo que criptografe suas senhas de acesso aos aplicativos, sistemas e sites. Assim, sua preocupação será em decorar a senha de acesso a este aplicativo e manter com você o segundo fator de autenticação. Para uso corporativo, uma solução de gerenciamento de acessos privilegiados (Privileged Access Management- PAM) vai controlar os acessos de forma adequada, onde os usuários conectam-se à solução de PAM e ela conecta-se à rede social, aplicativo ou sistema. Assim, mantem-se toda rastreabilidade dos acessos realizados além da senha de acesso ser trocada periodicamente de forma automatizada, evitando um acesso indevido de um ex-funcionário insatisfeito, por exemplo;
• Nunca clique em links não solicitados por e-mail, SMS ou soluções de mensageria. O ideal é sempre entrar no site oficial da empresa relacionada e procurar a informação direto na fonte;
• Jamais forneça códigos em SMS ou aprove acessos externos com sua solução de segundo fator de autenticação. Isso evitará que um golpista clone sua conta no Whatsapp ou em uma rede social, por exemplo;
• Proteger-se é essencial, mas detectar possíveis incidentes de forma ágil para uma rápida reação é primordial. Daí a importância do monitoramento de fontes abertas pelas empresas. A criação de perfis falsos corporativos e de executivos torna-se cada vez mais comum e golpes são aplicados em nome das empresas ou de seus executivos. Portanto, importante automatizar o monitoramento da criação destes perfis e também a identificação de ataques que estão sendo planejados contra sua empresa por meio de soluções de Inteligência em Fontes Abertas (Open Source Intelligence - OSINT);
• Desconfie sempre de coisas mirabolantes, seja uma celebridade prometendo devolver seu dinheiro em dobro ou um amigo ou familiar pedindo ajuda financeira.