Mostrando postagens com marcador URLs encurtadas. Mostrar todas as postagens
Mostrando postagens com marcador URLs encurtadas. Mostrar todas as postagens

segunda-feira, 22 de janeiro de 2018

PRAGAS DIGITAIS ― COMO SE PROTEGER (Parte 9)

COZINHEIROS DEMAIS ESTRAGAM A SOPA.

Vimos que os URLs encurtados foram idealizados com vistas ao Twitter, mas passaram a ser usados em sites, blogs e até na mídia impressa. No entanto, se facilitam a personalização, a memorização e a geração de mecanismos de QR CODE, também potencializam os riscos de fraude, pois, depois de encolhidos, eles são exibidos como combinações aleatórias de caracteres sem qualquer relação com o endereço original.

Como prevenir acidentes é dever de todos, jamais siga um URL encurtado sem antes verificar para onde ele aponta e se é ou não seguro. Você pode revertê-lo ao formato estendido com o Check Short URL ou o URL X-Ray ― apenas para ficar em dois exemplos ― e checar sua segurança no site Check Sucuri (que analisa tanto links estendidos quanto encolhidos). 

Outras opções dignas de menção são o URLVoid  ― que não só indica qual o site responsável por um URL, mas também informa quando o domínio foi registrado, sua posição no ranking do Google e quantos avisos de reputação maliciosa foram registrados por sites de varredura ― e o VirusTotal ― que usa mais de 50 ferramentas diferentes para checar arquivos e links suspeitos e apresenta os resultados em poucos segundos (ou minutos, dependendo do tamanho do arquivo).

Observação: Se você usa o Firefox, não deixe de instalar o add-on Long URL Please, que exibe os links em sua forma completa, já com o endereço final, facilitando, portanto, a identificação de eventuais maracutaias.

Quanto ao phishing, tenha em mente que não existe ferramenta de segurança idiot proof (capaz de proteger o usuário de si mesmo). Quem der ouvidos ao canto da sereia se dar mal, e ponto final. E como ainda tem gente (e como tem!) que acredita na inocência de Lula, que os processos contra ele não passam de perseguição política, que Dilma, a ex-presidente competenta e honesta, foi deposta por um golpe da Globo, das “elites”, dos “coxinhas, e blá, blá, blá, não chega a surpreender que cibervigaristas se deem bem com mensagens de que a vítima está sendo corneada (siga o link “x” ou abra o anexo “y” para ver as fotos), foi sorteada num concurso para o qual nunca se escreveu (siga o link “x” ou abra o anexos “y” para saber como receber o prêmio), precisa recadastrar seus dados de login para continuar tendo acesso ao netbanking (mesmo que não seja cliente da instituição que supostamente mandou a mensagem), e assim por diante.

Em alguns casos, só mesmo sendo muito “desligado” para cair no conto do vigário, mas a criatividade do ser humano não tem limites, e alguns estelionatários digitais produzem engodos bastante convincentes. 

Volto a lembrar que instituições financeiras e órgãos governamentais não usam o correio eletrônico para solicitar o recadastramento de dados, nem ― muito menos ― enviam emails com anexos ou links. Na dúvida, atente para a redação da mensagem; se houver erros crassos de ortografia e gramática, ou se o email começar com saudações informais, como “oi” ou “olá”, é golpe. Na dúvida, ligue para o gerente do seu Banco ou para o órgão que supostamente enviou a mensagem ― mas jamais use o número de telefone informado na própria mensagem.

Segundo a McAfee, os ataques baseados em engenharia social começam pela pesquisa, isto é, pela coleta de informações sobre o alvo, que fornecem ao atacante elementos para a construção do anzol, tais como hobbies, endereços de casa e do local de trabalho, estabelecimento bancário em que ele tem conta, e por aí vai. O anzol tem por objetivo encenar um “enredo” convincente envolvendo o alvo e que proporcione um pretexto para a interação. Nesse aspecto, as possibilidades mais comumente exploradas são:

1) Reciprocidade (as pessoas ganham alguma coisa, ficam agradecidas e sentem-se na obrigação de retribuir o favor);
2) Escassez (as pessoas tendem a obedecer quando acreditam que algo está em falta);
3) Consistência (uma vez que se comprometam a fazer algo, as vítimas cumprem a promessa para não parecerem pouco confiáveis);
4) Propensão (é mais provável que os alvos obedeçam se o engenheiro social for alguém de quem eles gostam);
5) Autoridade (explora a propensão da vítima a obedecer quando a solicitação vem de alguma autoridade);
6) Validação social (tendência a obedecer quando outras pessoas estão fazendo o mesmo).

Por último, mas não menos importante, o Enredo é a execução propriamente dita do ataque, que pode envolver divulgação de informações pessoais/confidenciais, transferência de valores, etc., e a Saída, que encerra a interação, mas, dependendo dos resultados do golpe, ela é postergada para produzir vantagens adicionais.

A melhor defesa contra a engenharia social é a informação. Mesmo tendo um arsenal de segurança responsável e mantendo o sistema e os programas atualizados, as brechas humanas continuam a existir. Como muitos internautas não têm noção do perigo que correm e se maravilham com a Web, eles tendem a acreditar em tudo aquilo que leem nesse meio.

Cautela e canja de galinha nunca fizeram mal a ninguém.

Visite minhas comunidades na Rede .Link:

sexta-feira, 19 de janeiro de 2018

PRAGAS DIGITAIS ― COMO SE PROTEGER (Parte 8)

O AMOR É UMA DELÍCIA, COMEÇA NA PRAÇA ACABA NA POLÍCIA. 

Ninguém abre um anexo de email ou segue um link clicável se a maracutaia é evidente, mas a história é outra quando a oferta parece irrecusável. Cientes disso, os cibercriminosos se valem da engenharia social para explorar a inocência, a ingenuidade, a confiança ou a cobiça das pessoas.

Dos serviços baseados na internet, o correio eletrônico é o mais popular ― todo internauta tem, pelo menos, um endereço de email. Tome muito cuidado com mensagens que transportam anexos ou exibem links clicáveis, mesmo que o remetente lhe pareça confiável. Emails de phishing scam costumam exibir nomes de pessoas ou empresas “acima de qualquer suspeita”, ou mesmo de órgãos "intimidadores", como a Receita Federal, a Justiça Eleitoral, etc., visando ludibriar as vítimas e se locupletar através dos dados pessoais/confidenciais que elas informam inocentemente (senhas bancárias e números de documentos ou de cartões de crédito).

Desconsidere mensagens de que você ganhou na loteria, está negativado na praça, herdou uma fortuna de um parente de quem jamais ouviu falar, está sendo chifrado pelo cônjuge, precisa fazer ajustes na declaração de IR ou recadastrar seus dados bancários, por exemplo. Tenha em mente que instituições financeiras e órgãos do governo não enviam email solicitando recadastramento de senhas, nem (muito menos) anexos ou links clicáveis para solucionar supostas pendências. Em caso de dúvida, entre em contato com o suposto remetente por telefone e confira a autenticidade do comunicado.

Outro recurso largamente utilizado é o spyware ― software programado para espionar os hábitos de navegação da vítima e colher dados que ajudam os estelionatários digitais a desfechar seus golpes. É mais comum ser infectado ao abrir anexos ou clicar em links que vêm em emails de phishing, mas o programinhas espiões também são disseminados em sites contaminados e em aplicativos gratuitos descarregados de fonte não confiáveis. Muito cuidado, portanto.

Igualmente importante é não usar computadores públicos (de escolas, lanhouses etc.) para acessar webservices que exijam login (seu nome de usuário e senha). Se não houver alternativa, faça uma varredura na máquina com um antivírus online ― como o ESET Online Scanner, o House Call Free Online Virus Scan (da TrendMicro) e o Norton Security Scan (da Symantec) ―, abra o navegador no modo privado (anônimo) e nunca salve suas senhas.

Observação: Hoje em dia, quase todo mundo tem um smartphone e um plano de dados. Conectar-se através de redes Wi-Fi públicas (como de hotéis, lojas, consultórios, etc.) pode ser mais econômico, mas é bem menos seguro.

Para realizar transações bancárias (netbanking) de maneira mais segura, você pode instalar uma distribuição Linux num dispositivo de mídia removível (pendrive ou HDD externo) e acessar o site do Banco a partir dali. Como isso é trabalhoso e pouco amigável a leigos e iniciantes, a alternativa é instalar o aplicativo do Banco no smartphone ou no tablet e usá-lo sempre que for acessar sua conta.

URLs encurtadas se popularizaram devido à limitação de caracteres em postagens do Twitter, mas logo passaram a ser vistas em sites, blogs e assemelhados. Conferir o real endereço para onde elas apontam fica ainda mais difícil, mas sempre se pode recorrer ao SUCURI, por exemplo, que checa a segurança tanto em links encurtados quanto normais.

Observação: Sites como ExpandMyURLKnowurl LongUrl convertem links encurtados em convencionais e, em alguns casos, informam também se a página é segura. Dependendo do serviço usado no encurtamento do link, você pode obter mais informações introduzindo o URL reduzido na barra de endereços do navegadoracrescentando um sinal de adição (+) e teclando Enter.

Voltaremos a esse assunto na próxima postagem. Até lá.

Visite minhas comunidades na Rede .Link: