Uma das moças mais populares do Fotolog.net já recebeu diversas ligações de um homem que dizia conhecê-la pela internet, falando coisas pornográficas e suspirando. Quem relata o fato, ocorrido há cerca de três meses, é João Vicente Costa, com seis anos de experiência profissional na área de segurança de informação. Costa não cita o nome da moça, mas conta que, da última vez que a viu, ela estava bastante assustada.
Ele publicou em maio um livro sobre fotologs, que tem um capítulo específico sobre segurança na internet, no qual explica que a principal regra é evitar dar informações excessivas sobre si mesmo. Para Costa, todas as informações disponibilizadas – fotos de família, da casa, do carro, dos locais que se freqüenta – são justamente as informações que qualquer bandido gostaria de ter. "Imagine um psicopata alucinado por uma bela menina, por exemplo, que costuma mostrar-se sensualmente em seu fotolog. Ele junta as informações que a garota deixa na internet e fica fácil chegar até ela."
Mas isso não quer dizer que é preciso ficar com medo e fechar todos os canais de comunicação no mundo virtual. "Mostre-se, mas se previna", adverte Costa. Em "Fotolog e Fotografia Digital", ele escreve: "É muito bom se mostrar sensualmente aos colegas de fotolog. Porém, você não sabe quem está do outro lado lhe acompanhando no seu dia-a-dia. Pode ser qualquer pessoa" (p.20).
Segundo Costa, independente da aplicação web que esteja usando, se a pessoa quiser se mostrar, o ideal é que não divulgue informações como onde mora, que lugares freqüenta, objetos de valor que possui. "Acho que o potencial de aplicações como o fotolog ainda não foi totalmente descoberto pelos bandidos. Ainda não, mas não podemos deixar que eles descubram e ajam, para só depois tomarmos precauções", considera.
Costa diz que, ao escrever sobre segurança, se imaginou no lugar de uma pessoa mal-intencionada. "Em pouquíssimo tempo eu teria informações privilegiadas sobre várias adolescentes. Daí, a marcar um pseudo-encontro para fotografar ou algo assim, ficaria fácil. Pessoas que se expõem demais podem ser presas fáceis", explica.
Ele aconselha os pais a acompanharem os perfis de Orkut e os fotologs dos filhos adolescentes, o que não é nenhuma invasão de privacidade, uma vez que o conteúdo é público. "Os bandidos podem facilmente se fazer passar por outras pessoas, apresentar perfis fictícios e, com isso, atrair pessoas inocentes e despreparadas."
Para ele, Orkut, programas de mensagens instantâneas (como ICQ ou MSN Messenger), chats, fotologs, enfim todo canal que possibilite fácil, rápido e prático acesso, podem ser usados por qualquer pessoa mal-intencionada, com o objetivo de conquistar a confiança de um usuário despreparado. O importante é saber disso e permanecer alerta.
Engenharia social: a simples arte de enganar
As pessoas que conhecem pouco do mundo virtual são, na verdade, novos alvos de uma prática já conhecida no meio empresarial, chamada por alguns especialistas de engenharia social, ou seja, a arte de burlar a segurança explorando falhas humanas. Muitas vezes, hackers conseguem invadir sistemas não por causa de suas habilidades técnicas, mas por serem bons "engenheiros sociais", entendendo o comportamento das pessoas e a melhor forma de tirar proveito delas.
João Vicente Costa, especialista em segurança de informação, lembra que o mais notável de todos é o caso de Kevin Mitnick. "É provavelmente o mais famoso do mundo virtual. Ele não era um grande hacker, mas um gênio em engenharia social. Conseguia ler senhas apenas olhando uma pessoa digitá-la, mesmo rapidamente. Fantasiava-se de funcionário de empresas e era um grande ator", conta. Das proezas de Mitnick – fugas da polícia, duelo com outros hackers e captura em 1995 – surgiu o filme exagerado Track Down e vários livros, entre eles a obra escrita pelo próprio anti-herói, A arte de enganar. Atualmente Mitnick mudou de lado. Sua empresa Mitnick Security Consulting dá consultoria a todas as companhias que necessitam de segurança de informação, como bancos, negócios feitos através da rede, entre outros.
Como no caso de Mitnick, Costa percebeu, ao trabalhar em uma multinacional, que o problema não era a segurança dos sistemas para barrar o acesso externo à empresa, mas sim as falhas "nas portas dos fundos". Ele diz que funcionários pessimamente treinados deixavam seus computadores abertos e conectados, saindo por longas horas de suas salas, o que tornava vulnerável o sistema. Em outras palavras, embora uma invasão de fora muitas vezes fosse difícil, nada impedia que acontecesse um ataque de dentro, com algum usuário sem permissão acessando o computador aberto por outra pessoa.
Outra ação comum de engenheiros sociais, explica Costa, é o envio de e-mails em que fingem se passar por funcionários de provedores de serviços e, dessa forma, capturam senhas de acesso. É comum também um outro tipo de atuação que lembra filmes de espionagem. "Alguém mal-intencionado pode se passar por funcionário da área de suporte técnico e com isso coletar senhas e informações preciosíssimas. Alguns são tão caras-de-pau que chegam a usar crachás da empresa." (RD)
Tecnologia facilitou a vida dos estelionatários
A tecnologia facilitou a vida dos estelionatários, diz o delegado da Divisão de Informática da Polícia Civil do Paraná, Eduardo Marcelo Castella. "O problema é que os usuários não são cautelosos, acham que a internet é um ambiente seguro, em que não há atuação de pessoas de má-fé. As pessoas colocam informações na rede e esquecem que ela é pública", explica. Para ele, embora a web traga grandes benefícios, não sendo ruim ou boa em si mesma, pessoas mal-intencionadas podem utilizar a rede para fins escusos.
Nas compras pela internet, Castella ressalta que é preciso tomar o cuidado de saber se a loja é confiável, se possui endereço físico, se é conhecida. "É preciso confirmar esses dados. Mesmo em lojas conhecidas, é preciso observar se na página de compra há certificação de segurança, através do ícone de cadeado, que fica no canto direito do navegador. É bom clicar nele para ver se a certificação é válida." Porém, ele adverte, não adiantará nada usar um sistema seguro se o próprio computador da pessoa estiver infectado com os chamados "spywares", programas invasores que enviam números de cartão de crédito ou senha de banco digitados em computadores para criminosos do submundo virtual.
Outro problema, diz Castella, é o roubo de equipamentos como notebooks. "O problema não está no furto do aparelho, mas das informações que estão armazenadas", comenta.
Segundo o delegado, em casos de roubos e invasões de redes de computadores, grandes empresas normalmente evitam ações policiais, porque podem resultar em escândalos e danos à imagem. "Imagine um ataque a um banco. A instituição pode perder mais se a história vazar", exemplifica. Quando clientes de bancos observam saques indevidos em suas contas, são orientados a procurar o gerente da instituição para verificar o que aconteceu. "Se constatada a falha, os clientes são indenizados", esclarece. (RD)
