A Facebook Inc. e a Twitter Inc. estão se armando para enfrentar um novo inimigo: o “spam social”. Um dos seus soldados é Tao Stein, um engenheiro da Facebook. Às quatro horas de uma manhã de maio, Stein foi tirado da cama por um alerta de spam no seu celular. O site de rede social estava sendo inundado por mensagens que divulgavam um link para ganhar um iPad, dizendo: “Hey, check out this link free iPad.” Mas não havia nenhum iPad grátis, somente um programa malicioso, ou malware, que fazia com que os usuários do Facebook, ao clicar no link, repassassem involuntariamente a mensagem para os seus amigos no site.
Stein acionou a cafeteira e ligou o computador, rodando um programa para filtrar as mensagens com as ofertas de iPad. Ele tinha que ficar ajustando o filtro, pois o spam rapidamente mudava a sua mensagem-isca para enganá-lo. “Nós temos que continuar interagindo até achar o calcanhar de Aquiles deles”, disse Stein, cujo esforço conseguiu conter o spam por apenas um dia.
Spams, um velho incômodo na internet, preparam-se agora para um segundo ato. Ao contrário dos tradicionais e-mails, que geralmente vêm de estranhos, esta nova espécie – apelidada de spam social – parece sempre vir dos amigos. Criminosos acham a internet tentadora porque eles podem espalhar as suas mensagens através de uma cadeia de fontes confiáveis. Esse tipo de spam ameaça a utilidade das redes sociais. A Facebook informa que menos de 4% do conteúdo compartilhado no seu site é spam; o Twitter diz que apenas 1,5% das mensagens, ou tweets, tinham spam em 2010. Em média, spams atingem menos de 0,5% dos usuários do Facebook por dia, ou cerca de 4 milhões de pessoas. Mas a Facebook acrescenta que o volume está crescendo mais rápido que a sua base de usuários.
Especialistas alertam para hackers sofisticados
“É uma queda de braço e o nosso objetivo é estar sempre um passo à frente”, diz Pedram Keyani, um gerente de engenharia da Facebook responsável pelo esforço anti-spam. Em 2008, a Facebook tinha apenas um engenheiro como Stein trabalhando para proteger a integridade do site. Hoje, Stein trabalha com um grupo de 30, mais uma equipe de segurança de 46 e outros 300 focados em outros problemas. No total, perto de 1.000 dos 3.000 empregados da empresa – incluindo engenheiros, advogados, gerentes de operações de usuários e analistas de risco – exercem algum papel no combate a spams, segundo a empresa. A Twitter afirma que, até o fim deste ano, terá cinco programadores na “ciência do spam” – três a mais do que hoje – e nove especialistas em abusos nas contas, no seu quadro de 750 funcionários.
O spam social está crescendo ao mesmo tempo em que ataques via emails tradicionais parecem estar declinando. “Os disseminadores de spam resolveram se mudar para onde as pessoas estão e onde as defesas são fracas: Facebook e Twitter”, diz Chester Wisniewski, um analista da firma de segurança Sophos Ltd. Um ataque comum de spam social no Facebook, conhecido como like-jacking (algo como “sequestro do curtir”), consiste em induzir o usuário a abrir uma imagem ou link que aparenta ter sido recomendado por um amigo, o qual teria clicado o botão “curtir”, ou “like”, na versão original do site em inglês.
Mais nocivas ainda são as ofertas a princípio irresistíveis – como um iPad grátis – que levam as pessoas a rodar algum malware que pode tomar conta do navegador de internet, senão do computador inteiro. Alguns desses programas são capazes de imitar usuários, chegando a começar estranhas sessões de conversa com amigos. Especialistas em segurança alertam que um volume crescente de ataques de hackers sofisticados usa informação disponível nos perfis das redes sociais para enganar usuários com mensagens pessoais.
“Este jogo nunca terá um vencedor ou perdedor”
Clin Wilson, um morador de San Francisco, descobriu que a sua conta no Facebook estava enviando spams quando um colega clicou numa oferta para um jantar grátis na cadeia de restaurantes Cheesecake Factory. A oferta era falsa e incluía um link que instalava um malware. Wilson, que é diretor-presidente da empresa de software Cazoomi Technology Co., logo postou uma nota na sua conta no Facebook, alertando os amigos para evitarem o spam. “É pior que email-spam porque é difícil de parar”, disse ele. Wilson no final descobriu como remover o malware de seu navegador, mas estima que isso lhe custou US$ 500 em perda de produtividade.
Enfrentar spams requer uma equipe porque eles se movem rapidamente. A Facebook afirma que bloqueia por dia 200 milhões de ataques ao seu site. A Facebook não tem condições de prevenir spams, mas está fortalecendo suas estratégias para dificultar a criação e o uso de perfis falsos. Quando a Facebook suspeita de uma conta, pede ao usuário que confirme sua identidade, mesmo que este tenha a senha correta. Às vezes a empresa solicita ao usuário que identifique seus amigos. A ideia é certificar-se de que uma pessoa – não um computador – complete o teste, o que aumenta o custo de disseminar o spam.
Essas iniciativas podem estar dando resultado. A Twitter diz que a sua taxa de tweets com spam baixou de 11% em 2009 para 1,5% em 2010. Keyani, da Facebook, diz que adota uma visão de longo prazo. “Este é um jogo que nunca terá um vencedor ou perdedor. Nós vamos apenas continuar brigando.”
***
[Geoffrey A. Fowler, Shayndi Raice e Amir Efrati, do Wall Street Journal]