Thursday, 28 de March de 2024 ISSN 1519-7670 - Ano 24 - nº 1281

Redes sociais resistem ao cibercrime

Descobrir que o banco do qual se é correntista teve parte das contas invadidas e roubadas pode colocar em xeque a credibilidade da instituição financeira e levar parte dos clientes a fechar suas contas. Essa reação não parece ser tão forte, no entanto, quando no lugar de bancos estão redes sociais e sites de relacionamento. Nas últimas semanas, pelo menos quatro sites conhecidos foram atacados, com o vazamento de informações, sem que isso gerasse uma crise de reputação. Essa condescendência parece indicar mudanças não só no perfil do público, mas entre os próprios hackers. Além disso, fornece pistas de como a reação rápida aos “arrombamentos” pode fazer diferença na hora de conter de eventuais crises.

A primeira lição tirada dos episódios é que manter os usuários bem informados é melhor que tentar disfarçar os fatos. Dos quatro sites invadidos – LinkedIn, eHarmony, Last.FM e Twitter – os três primeiros informaram o incidente em seus próprios blogs oficiais. O LinkedIn e a eHarmony também enviaram e-mails aos internautas que tiveram as senhas roubadas, recomendando sua troca. Procuradas, as companhias informaram não dispor de porta-vozes para comentar o assunto.

As providências parecem ter protegido o LinkedIn – a única das empresas atacadas com ações em bolsa – do mau humor de Wall Street. Os investidores não viram o ataque como um risco à operação da companhia. Um dia antes dos ataques, as ações da companhia fecharam na Nasdaq a US$ 93 o papel. No dia do anúncio da invasão, as ações apresentaram até um leve aumento, fechando a US$ 93,08 por ação. Desde o incidente, os papéis acumulam alta de 2,72%, tendo fechado ontem a US$ 95,30.

Incidente provocou críticas ao grupo japonês

“O LinkedIn agiu de maneira rápida, o que foi visto de forma positiva pelos investidores”, afirma Jason Vieira, analista internacional da Cruzeiro do Sul Corretora. No dia 6, depois que blogs informaram o acesso indevido a 6,5 milhões de senhas, a rede social divulgou um comunicado informando o incidente, com recomendações sobre as medidas de proteção pelos usuários.

No blog oficial do LinkedIn, Vicente Silveira, diretor da rede social, informou que boa parte das senhas roubadas não foi publicada e que os nomes adotados pelos usuários para se identificar no site foram protegidos. Nos Estados Unidos, a empresa acionou o FBI para investigar o caso. As contas de membros com senhas roubadas foram desativadas.

As providências do LinkedIn – e a percepção do mercado sobre o incidente envolvendo a empresa – contrata com o que aconteceu com a Sony. Em abril do ano passado, a companhia sofreu ataques em suas redes PlayStation e Sony Online Entertainment, usadas por 100 milhões de pessoas para jogar videogames, ver filmes e ouvir música on-line. Os dados de 77 milhões de usuários, incluindo números de cartão de crédito, foram acessados indevidamente, o que provocou um prejuízo de US$ 171 milhões, segundo cálculos da Sony, sem contar as perdas dos usuários por fraudes causadas pelo vazamento de dados. O incidente provocou uma chuva de críticas ao grupo japonês.

“No caso da Sony, usuários pagam pelo serviço”

Rick Summer, analista da consultoria Morningstar, com sede nos Estados Unidos, pondera que o caso da Sony foi mais grave, porque houve exposição dos números de cartões de créditos e de outras informações pessoais dos usuários. “No LinkedIn, a maior parte da informação é pública. Além disso, os usuários da Sony podem encontrar alternativas de jogo online, enquanto os do LinkedIn podem não ter uma alternativa para transferir o perfil.”

Agravou a situação a demora da Sony em reconhecer o problema e tomar providências: foram cinco dias para confirmar a invasão e quase dois meses para restaurar a rede. “A Sony já não estava bem e isso foi a gota d'água. A estratégia do LinkedIn foi mais bem avaliada pelo mercado”, compara Fernado Belfort, analista sênior da consultoria Frost & Sullivan.

O desempenho positivo das ações do LinkedIn mostra o otimismo dos investidores nos projetos da companhia, que nos últimos meses lançou uma série de ferramentas e serviços para empresas e profissionais cadastrados, afirma Belfort.

Já a decisão dos usuários em permanecer no LinkedIn e em outros sites invadidos recentemente deve-se a um outro fator. Segundo o especialista, o serviço gratuito transmite aos usuários a sensação de que o vazamento de informações não consiste em uma grande perda. “No caso da Sony, os usuários pagam pelo serviço. Quando a rede social é gratuita, as expectativas sobre os serviços são menores”, diz Belfort.

Medidas mais rígidas

Isso não quer dizer que as redes sociais saiam ilesas dos ataques ou que as invasões não venham a ter consequências no futuro. Segundo analistas, com o reforço dos investimentos dos bancos em segurança, os criminosos virtuais estão procurando outras fontes de informação de que possam se servir para novas fraudes. Para as redes sociais em particular, os dados dos usuários são a moeda que movimenta seus negócios: as informações são vendidas para a elaboração de pesquisas e outros serviços por agências de publicidade. Perder o acesso exclusivo aos dados danifica o modelo de negócio.

É devido a esses grandes bancos de dados controlados pelas redes sociais que essas empresas tornaram-se os alvos preferidos dos cibercriminosos neste ano, ao lado de outras instituições que reúnem vastos cadastros de usuários. De acordo com um levantamento da Open Security Foundation, sites como Mercotour.com, Universidad de Chiclayo e University of Virginia lideraram, em junho, as perdas por invasão de cibercriminosos.

O único caso brasileiro registrado é o da Agência Petrobras, invadida por hackers em 3 de junho. A invasão resultou no roubo de dados de contas de 36 usuários, de uma base de 13 mil pessoas, entre jornalistas e funcionários. Procurada, a Petrobras informou que o site está em um servidor externo contratado de terceiros, fora da rede da estatal. Segundo a companhia, a rede interna não foi atingida. A estatal comunicou os usuários afetados e informou que vai adotará medidas mais rígidas na segurança do site.

***

Especialistas preveem um forte ciclo de fraudes

Especialistas em segurança da informação aguardam uma grande onda de ataques na internet, em decorrência do roubo de informações de redes sociais. Mesmo sem dados financeiros de usuários de sites como LinkedIn, eHarmony e Last.FM, cibercriminosos têm condições de cometer crimes na internet, tendo em mãos e-mails, informações sobre a vida dos internautas e suas redes de contatos.

O primeiro passo dos hackers que invadiram os sites é negociar as informações com cibercriminosos. Com essa base de dados, eles dão início a ataques amplos ou direcionados. Fábio Assolini, analista da empresa de antivírus Kaspersky, afirma que o mais provável é uma nova onda de ataques conhecidos como phishing, ou pescaria. Cibercriminosos enviam para milhões de pessoas e-mails com informações falsas de uma empresa ou instituição, sugerindo que o usuário acesse um site (também falsificado), com o objetivo de roubar informações como senhas e números de cartões de crédito.

Outra hipótese é enviar e-mails com arquivos infectados por algum software nocivo (malware). Nesse caso, o alvo não é o dono da conta de e-mail, mas a empresa na qual ele trabalha. “O potencial de ataques é enorme”, afirma Assolini. O analista observa que os dados obtidos permitem ao criminoso se passar por um parceiro comercial e enviar mensagens falsas ou infectadas a executivos. Como o cibercriminoso sabe nomes de contatos dos profissionais, ele aumenta as chances de que o arquivo enviado seja aberto. Em consequência, arquivos infectados são instalados na rede de computadores da companhia.

Falha permite acesso ao servidor do banco de dados

Leonardo Bonomi, diretor de suporte da Trend Micro, especializada em segurança virtual, também considera as empresas o principal alvo dos cibercriminosos, no caso da invasão do LinkedIn. “Existe o risco de roubo de informações financeiras dos bancos de dados das empresas usando táticas como o malware”, afirma Bonomi. No caso de pessoas que usam a mesma senha ter acesso à rede da empresa e a outros sites, o risco de invasão por cibercriminosos aumenta.

Outro risco é uma falha de segurança no MySQL, banco de dados de código aberto pertencente à Oracle, amplamente adotado por sites e empresas, inclusive pelo LinkedIn. Uma falha encontrada em algumas versões antigas do programa permite o acesso ao servidor do banco de dados sem a senha correta. “Se os cibercriminosos usaram essa falha para invadir o LinkedIn, podem fazer isso com outros sites”, diz Assolini.

***

[Cibelle Bouças, do Valor Econômico]