A Web multiplica suas armadilhas, também graças ao Covid. Os PCs saem do ambiente protegido dos escritórios, as redes se abrem para os milhares de fluxos de conectividade generalizada. Alguém se aproveita disso. E a segurança do computador remoto está em risco, mais do que ontem e talvez menos do que amanhã. As armadilhas estão crescendo de forma alarmante, alertam os especialistas: o "Phishing” de e-mails fraudulentos que examinam dados pessoais, vírus que “engancham” os programas que baixamos ou até mesmo simples páginas da Web que abrimos imprudentemente sem saber onde estamos navegando. No escritório eles nos salvam (nem sempre) o procedimentos da empresagerido por profissionais. Em casa estamos menos seguros, porque estamos menos protegidos mas também porque somos descuidados. As armadilhas aumentam, mas felizmente as ferramentas para se defender também aumentam. Desde que você tome as precauções necessárias para evitar o pior.
Neste guia rápido, aqui estão dois exemplos do que pode acontecer e como devemos, ou devemos nos comportar. O primeiro exemplo diz respeito ao ataque: aqui está a última armadilha que se espalhou com grande velocidade no mundo da Internet, explorando o famoso e difundido Microsoft Office. O segundo exemplo diz respeito à defesa: aqui está uma teste à disposição de todos para verificar o quanto sabemos sobre segurança informática e o que devemos fazer (ou não fazer) para levantar as barreiras.
Antecipamos imediatamente as conclusões. Uma boa prática de segurança do computador pessoal requer antes de tudo duas coisas: manter todo o ecossistema do nosso computador constantemente atualizado (o hardware, o sistema operacional e o software, ou seja, os programas) e usar um cautela consciente, tanto quando abrimos e-mails cuja origem não conhecemos de forma absolutamente certa, como quando navegamos em sites não "certificados" ou da nossa experiência anterior ou com outros sistemas que ilustraremos a seguir.
Engano se disfarça de Office
Ai de responder casualmente a uma solicitação de login, normalmente contida em um mensagem de email com um anexo (aviso de pagamento ou fatura, falso) que reproduz aquele usado pela Microsoft para acessar seus produtos. O golpe, um "phishing" muito bem embalado porque o procedimento foi capaz de burlar muitos mecanismos de controle anti-malware, inclusive de empresas, começou a se espalhar em agosto passado e ainda continua. É uma tentativa clássica de roubo de identidade, como tantas outras. A vítima insere seu próprio credenciais que alimentam a base de dados fraudulenta da organização pirata, que teria até agora recolhido pelo menos mil credenciais de acesso ao Office 365 utilizadas a nível profissional. Não só isso: os piratas da ocasião teriam recolhido um bom número de credenciais ainda mais delicadas: as doacesso a sistemas corporativos, já que muitos usuários usam descuidadamente as mesmas credenciais para várias contas. Uma prática que deve ser evitada da forma mais absoluta.
Até o pirata está errado (talvez)
O único fato aparentemente consolador, mas na verdade ainda mais preocupante, é que a fraude surgiu porque alguns especialistas em segurança de TI descobriram que os próprios invasores cometeram um erro. De fato, eles publicaram na Web parte das listas de usuários e senhas roubadas relacionadas, sem usar os esconderijos dos chamados "teia escura”, ativando automaticamente os algoritmos de indexação do Google e permitindo assim que todos pesquisem e consultem o saque. A mensagem é preocupante: os piratas foram descobertos porque se deixaram descobrir, e se não tivessem cometido um erro (talvez deliberadamente, para testar sabe-se lá quais procedimentos ainda mais sofisticados) a fraude teria ficado escondida por muito tempo vir. Aprendemos a lição: além de Diferenciar credenciais de login dos vários serviços (contas de empresas, bancos, etc.) vamos trocá-los com certa frequência e, em qualquer caso, imediatamente se tivermos uma vaga suspeita de que possam ter sido roubados.
Um teste e um pára-quedas
Dentre os milhares de cuidados que sempre devem ser tomados para enfrentar e prevenir ataques, indicamos dois, que podem ser considerados a base de uma boa prática: a forma de verificar a "limpeza" e segurança do site que queremos consultar (perder alguns segundos antes de clicar nele, mas vale a pena) e um teste para entender em que ponto nosso conhecimento sobre segurança de computadores é, em suas armadilhas e nas contramedidas a adotar. Digamos assim: o hot check do site que desconhecemos representa uma defesa de primeiro nível (juntamente com a diferenciação dos códigos de acesso dos vários serviços) que seria bom implementar sempre e em qualquer caso, enquanto o teste pode ajudar-nos a alinhar numa série conjugada de expedientes e sobretudo de atitudes a manter.
Site desconhecido? melhor investigar
Se tivermos instalado no nosso PC um software de proteção total, que inclui também a análise em tempo real das páginas web que consultamos, podemos considerar-nos decentemente protegidos na nossa navegação. Mas ainda precisamos saber duas coisas: o programa que nos protege deve ser mantido constantemente atualizado por conter as últimas "assinaturas" dos procedimentos a serem adotados e dos locais a serem considerados perigosos; no entanto, softwares desse tipo são bastante pesados para nosso computador e para nossa conexão, no sentido de que aumentam a quantidade de dados que consumimos e tendem a desacelerar a navegação porque usam uma quantidade maior de dados para serem trocados na rede, mas também porque eles retardam a operação do nosso PC ocupando uma parte dos recursos de processamento.
Uma ajuda on-line
Se não utilizamos este tipo de software, convém continuar a utilizar (mesmo à menor suspeita) os recursos que a própria web nos disponibiliza online, acedendo a um dos serviços que verificam em tempo real o validade do site que queremos ir. Dentre os sites "controladores" indicamos um que funciona bastante bem: URLVoid. Funciona assim: na máscara que se abre, inserimos o nome do site onde queremos ir sem o www inicial, damos o ok e esperamos alguns segundos pela resposta, após o nosso site "alvo" ter sido escaneado simultaneamente pelos principais motores antivírus e anti-malware do globo, comunicando-nos o resultado. Certamente está tudo bem apenas se a cor verde aparecer, enquanto se apenas um dos resultados associados aos buscadores de antivírus incluídos na verificação ficar vermelho, pode ser um falso positivo: no entanto, é aconselhável ser cauteloso, evitar navegar em o site digitalizado e talvez tente novamente mais tarde.
Vamos fazer um autoexame
Chegamos ao teste para testar nossos bons ou maus hábitos de computador. Um dos procedimentos de autoteste on-line mais eficazes, de acordo com avaliações atualizadas de especialistas, é o Teste Nacional de Privacidade feito pela NordVPN, um bom fornecedor de serviços vpn. O teste é em inglês, mas é simples e claro. Não se destina apenas aos que já são especialistas, mas é compreensível e praticável (a fortiori) por todos. Leva apenas alguns minutos, depois de clicar em “iniciar”, para responder a Perguntas 20 chave e ter as respostas relacionadas, que dizem respeito, entre outras coisas, à conscientização e consequências das permissões que concedemos aos aplicativos sobre o compartilhamento e uso de nossos dados, o que deve ser feito quando um aplicativo nos notifica da disponibilidade de uma atualização, como verificar e melhorar a segurança da nossa rede Wi-Fi, como empacotar uma senha suficientemente segura, como entender se um site que contém solicitações de informações confidenciais pode, por sua vez, ocultar a identidade mascarada de um pirata, como verificar se nossa smart TV não contêm funções de espionagem (isso também acontece) e, claro, como identificá-los e como se defender contra uma tentativa de phishing. Vamos estudar e aplicar-nos pelo menos um pouco. É conveniente.
