mar 26 2010
Segurança na WEB, aprenda a se Proteger! – Parte 1
Nós do Blog Ctrl Alt Del começaremos a escrever alguns artigos de como se proteger de ataques relacionados a WEB e esperamos realmente que consigamos,
Provavelmente o tipo de ataque que é mais usado e tem maior índice de sucesso é o famoso “Phishing”.
Phishing, nada mais é que um técnica de “Engenharia Social”, onde o criminoso tentam “pescar” os usuários “curiosos” por e-mail, site ou programa pegar dados sensíveis do usuário, como informações bancárias, cartão de crédito… Esse tipo de ataque usa a curiosidade/ingenuidade do usuário contra o próprio usuário. Um exemplo de seu uso simples de entender, é como o caso do tão falado julgamento da Isabella.
Muitos usuários ficam ávidos atrás de noticias sobre isso, um criminoso pode usar esse fato e então enviar e-mails “aleatórios” com um link afirmando algo como:
“Acabou o julgamento, veja a noticia final no Link”
O usuário sem pensar, resolve clicar no Link e ao acessa-lo recebe uma mensagem que precisa “instalar” um software para continuar vendo a noticia, que por sua vez recebe o aval para ser instalado. Pronto, o usuários esta contaminado e o sistema já esta com sua segurança comprometida.
A dica fácil de se proteger contra isso, é simples. Você iria há um lugar que você NÃO conhece, com uma pessoa que NÃO conhece e o confiaria a sua segurança a ele? Não? Então porque o faria na internet?
Você recebeu um e-mail de alguém que não conhece, visitou um link que você não tem a minima ideia pra onde vai e ainda por cima instala uma coisa no seu sistema, que nem imagina o que seja. Viu o quanto de ingenuidade essa técnica precisa para funcionar?
Um vetor fácil de ataque são os bancos também. Vira e mexe tem algum e-mail com algum e-mail de um banco conhecido que você nunca solicitou (MUITAS vezes você nem sequer tem conta no banco), dizendo para você entrar num “link” e então “atualizar” cadastro (coisa que um banco nunca faz) ou as vezes dizendo que você tem que olhar o saldo ou coisa do tipo.
Seja prudente, os bancos NÃO permitem esse tipo de contato direto por e-mail, além do que eles não permitem nenhum tipo de “movimentação” no seu dinheiro via internet, sem que você assine uma folha dizendo explicitamente que você deseja fazer movimentações pela Internet. Dessa forma, se receber um e-mail do gênero do SEU BANCO, NÃO abra SEM ter certeza que NÃO pediu aquele serviço, simplesmente Exclua.
Depois acesse o site oficial do seu banco. Se tiver algo errado, esse erro estará la, num ambiente seguro e transparente para você.
Nesses casos, você ja esta desconfiando de quem lhe envia e-mail, certo? Mas, e quando você recebe um e-mail de algum contato conhecido? Como julga-lo seguro? O que fazer, para descobrir?
Uma forma simples e fácil, é ao abrir o e-mail (hoje, praticamente qualquer provedor de e-mail bloqueia links e pede sua permissão para poder ativa-los) e perceber algum link, desconfie. Passe o ponteiro por cima do link!
Um exemplo?
Percebeu que o assunto (ABSURDO! COMO UMA MULHER TEM CORAGEM DE FAZER ISSO?) tenta “Aguçar” minha curiosidade para saber o que tem de “tão absurdo”, indiretamente me forçando a clicar no tal Link, que diz ser de um site seguro, do site globo.com certo? ERRADO!
Ao passar o ponteiro do mouse por cima do link e olhar no canto inferior esquerdo do browser, vai se surpreender para onde esse link na verdade vai te levar (Mostrando no Chrome, Firefox, Internet Explorer):
Percebeu que o link mostrado (que é o verdadeiro e aonde você vai ser direcionado) é um link de um encurtador? Isso quer dizer que você só vai saber o que vai acontecer depois que clicar nele… e então, quer correr o risco? 
E detalhe, esse e-mail foi enviado de um contato de e-mail de alguém que conheço e o link “parecia” ser de um site seguro, ou seja, em teoria, deveria ser um e-mail válido. Se eu fosse apenas ver isso, sairia clicando e correr o risco de comprometer a segurança do meu sistema.
Ta vendo como uma dica tão simples (passar o mouse por cima do link) pode tornar sua vida muito segura na Web? Se você começar a tratar o modo como usa a internet, mais ou menos como faria na “vida real”, boa parte dos ataques não funcionariam.
Um outro detalhe, é que o ataque (phishing) não se limita a instalar coisas no seu sistema. Ele também pode faze-lo clicar em um link e direciona-lo a uma página “clonada”. Por exemplo, você pode receber um e-mail de um banco “x”, ao clicar nele, você é levado a um site que é quase 100% igual ao site original do banco. Dessa forma, nessa distração você acaba colocando agência, conta, senha…
Porém, você entendeu as dicas dadas nesse artigo e provavelmente, não vai mais cair nesse tipo de ataque, concorda? 
Hoje, Browsers como Internet Explorer 8 e Firefox, tem embutido um “Anti-Phishing”, que checa um banco de dados com vários links maliciosos bloqueando-os. Mas, ainda não é a solução para o problema, já que muitos acabam passando despercebido. Só que tenha em mente, que com ele ligado, ao menos você aumenta sua proteção.
No artigo, tentei explanar o principal ataque da Web e como se proteger a ele. No próximo artigo, irei mostrar alguns sistemas de seguranças gratuitos, para que se possa te ajudar a proteger.
Até o próximo artigo!
Tweets that mention Segurança na WEB, aprenda a se Proteger! – Parte 1 -- Topsy.com
mar 26, 2010 @ 16:41:49
[...] This post was mentioned on Twitter by prog_ctrlaltdel and prog_ctrlaltdel, Carinhena. Carinhena said: Post Novo: Segurança na WEB, aprenda a se Proteger – Parte 1 http://bit.ly/9O6R20 [...]
Aumenta em 87% o número de ataques a servidores
abr 22, 2010 @ 10:20:41
[...] e ataque phishing (você pode ler um tutorial explicando sobre a técnica e como se proteger dela aqui mesmo no Blog) aumentaram [...]