Vazamentos de senha são um dos problemas mais irritantes da era digital. À primeira vista, pode não parecer grande coisa: quem se importa se alguém descobrir a senha de uma conta de e-mail antiga que raramente é usada e não possui nenhuma informação de valor?
Mas aí você lembra que esse mesmo e-mail está vinculado às suas contas de redes sociais, sem falar no banco e em outros aplicativos, e agora está nas mãos dos cibercriminosos. Além da angústia de perder dinheiro e dados, esse vazamento pode causar grandes dores de cabeça para seus amigos, familiares e colegas — afinal, uma conta invadida pode ser usada para enviar e-mails de phishing ou aplicar golpes em seu nome, para todos os seus contatos.
Neste post, explicamos como suas credenciais podem ser roubadas e como reduzir o risco de vazamento. Claro, cautela e vigilância desempenham um papel enorme nesse processo, mas existem soluções de alta tecnologia projetadas especificamente para evitar vazamentos, que geralmente lidam com ameaças de uma maneira mais eficiente.
Trojans espiões
Esses discretos espiões, uma vez instalados em seu dispositivo, geralmente não exibem sinais visíveis de atividade. Afinal, quanto mais tempo eles permanecerem fora do radar, mais dados eles poderão roubar e passar para seus desenvolvedores, como senhas de aplicativos bancários ou serviços de jogos.
Um Trojan pode entrar em seu computador ou smartphone se você abrir um arquivo malicioso enviado por outro usuário, baixá-lo de um site ou copiá-lo de uma mídia externa. Lembre-se de que qualquer arquivo executável da internet é uma armadilha em potencial.
Mas mesmo os arquivos que parecem não executáveis precisam ser tratados com atenção. Os cibercriminosos fazem o possível para enganar as vítimas disfarçando arquivos maliciosos como imagens, vídeos, arquivos, documentos etc., e muitas vezes conseguem. Por exemplo, eles podem alterar o ícone ou usar um nome de arquivo que imita um formato seguro. Além disso, mesmo um documento ou uma planilha pode se transformar em uma armadilha sob certas condições: um script malicioso no documento pode explorar uma vulnerabilidade no programa que você usa para abri-lo.
Phishing
Os e-mails de phishing são enviados de diversas formas, mas o objetivo é sempre atrair a vítima para um site falso e fazer com que insira as credenciais. Pode ser uma mensagem dizendo que a conta bancária foi bloqueada ou uma oferta antecipada para uma pré-estreia exclusiva. Ou pode ser um link de phishing de um estranho atraente no Tinder, um potencial comprador do seu produto na Amazon ou até mesmo um amigo próximo (se o e-mail dele for invadido por golpistas).
A dica padrão nessa situação é observar atentamente a URL: alguns sites falsos têm uma letra a mais no endereço, um nome de domínio duplo, etc. No entanto, isso nem sempre ajuda, pois os cibercriminosos atuais aprenderam a disfarçar suas falsificações. Por exemplo, no caso de um ataque “browser-in-the-browser” (BitB), você pode ver um site de phishing com um endereço genuíno.
Ataques no navegador
Muitas vezes, as senhas são roubadas por meio de vulnerabilidades do navegador ou extensões. No primeiro caso, um código especialmente criado em uma página da Web planta spyware no seu dispositivo. No segundo, você mesmo instala um script malicioso sob o disfarce de um prático plug-in de navegador. Depois disso, quando você acessa, digamos, um site de banco, esse script redireciona todo o tráfego por meio de um servidor proxy hackeado, roubando suas credenciais no processo.
Wi-Fi Públicos
Os invasores também podem interceptar dados (incluindo senhas) enviados pela rede se você estiver usando Wi-Fi não criptografado ou com proteção WEP antiga. Outra variante é quando um hacker configura um ponto de acesso Wi-Fi público com um nome semelhante a uma rede existente (geralmente pertencente a um café, hotel ou centro de negócios próximo). O usuário desatento se conecta ao hotspot falso e todo o tráfego da Internet flui direto para os cibercriminosos.
Você pode evitar esses vazamentos verificando cuidadosamente os nomes das redes, evitando pontos de acesso suspeitos e desabilitando a conexão automática ao Wi-Fi. Melhor ainda, certifique-se de que todo o seu tráfego seja criptografado, então, mesmo se você se conectar ao hotspot errado, os bisbilhoteiros não saberão o que você está enviando pela rede, nem para onde.
Senhas por todos os lados
Existem, é claro, pessoas que anotam senhas em blocos de notas e pedaços de papel, e as deixam à vista de qualquer um que estiver passando por perto. Não seja como elas. Também é perigoso escrever senhas em arquivos de texto inseguros em seu computador ou smartphone, ou armazenar senhas no navegador para preenchimento automático.
Então, o que fazer em vez disso? Afinal, os especialistas em segurança da informação reforçam sobre a importância de senhas fortes que não possam ser adivinhadas. Eles também não param de alertar de nunca usar a mesma senha mais de uma vez, porque se ela for roubada, os invasores terão mais para roubar de você. A solução, então, é criar um palácio de memórias, lotado de senhas longas e complexas? Dificilmente alguém tem uma memória tão boa para armazenar todas.
Uma opção mais fácil é usar um gerenciador de senhas protegido por criptografia forte. Basta digitar todos os seus logins e senhas e memorizar apenas uma senha mestra para o próprio cofre.
Vazamentos externos
Todos os itens acima são sobre como manter as senhas seguras do seu lado, mas vazamentos geralmente ocorrem em serviços remotos de internet: lojas online, redes sociais, trocas de criptografia ou qualquer outro recurso com autenticação de login. Ao invadir esses sites, os cibercriminosos podem obter um enorme banco de dados de usuários, além de senhas e outros dados pessoais.
Além disso, os proprietários desses sites nem sempre estão dispostos a denunciar esses hacks. Enquanto isso, seus dados são repassados ou colocados à venda na dark web. Os especialistas de segurança da informação monitoram a publicação de tais bancos de dados e alertam os usuários.
Como sempre, no entanto, tenha cuidado: também aqui, esses “especialistas” podem parecer golpistas disfarçados. Este é um método comum de phishing: o usuário recebe uma mensagem sobre um suposto vazamento e é convidado a seguir um link para um site solicitando suas credenciais supostamente para verificação, quando a senha é roubada de verdade.
Proteção para todos os gostos
É claro que o roubo de senha não é o único infortúnio que pode acontecer na sua vida digital. Os invasores têm todos os tipos de truques na manga para roubar dados valiosos, esvaziar contas bancárias online e causar outros danos: spyware, ransomware, sites falsos, miners maliciosos… a lista é interminável.