(in)Segurança na Internet

(in)Segurança na Internet

Têm sido publicados, no Automoveis-Online, artigos sobre pessoas que foram burladas em portais de automóveis. Alguns são sobre compradores incautos que fizeram negócios indesejados, outros são sobre vendedores que viram os seus dados de acesso roubados e as suas viaturas à venda por valores absurdos. Compradores e vendedores, ninguém escapa aos burlões.

A missão do Automoveis-Online passa por evitar estas situações. Garantindo assim tanto a compradores como vendedores que podem efectuar transacções com a tranquilidade de que, caso algo corra mal, existe alguém do outro lado que não vai desaparecer de um momento para o outro.

Com esse objectivo, comecei a escrever este artigo com o intuito de explicar como funciona a segurança na Internet. No entanto, a Segurança é um tema multidisciplinar que ultrapassa os meros aspectos técnicos. Por isso, a melhor forma será ilustrar os diversos ataques na primeira pessoa. Vamos seguir os passos de um utilizador fictício ao qual vou chamar Rui. Tal como o nome do utilizador é fictício, também serão os nomes do portais utilizados. Vamos então começar:

O Rui queria vender os seus automóveis rapidamente. Por isso, decidiu utilizar a Internet, afinal de contas, assim consegue anunciar os carros para todo o planeta. Muito melhor do que vender localmente! Escolheu um portal de automóveis usados e criou a sua conta. Colocou os seus carros à venda e esperou.

Passado alguns dias o Rui recebeu um telefonema de um amigo:

– «Então Rui! Vi agora o teu carro na Internet, no portal CarrosUsadosFixes. Não achas que está barato demais?»

– «Ei! Eu não pus os meus carros nesse portal… que se passa aqui?»

Foi ao portal em questão e viu um carro igualzinho ao seu, por metade do preço. Contactou o portal, explicando a situação. Responderam-lhe que esse tipo de ataque é comum em portais onde as imagens não estão protegidas. A resposta dizia ainda que o utilizador que tinha copiado o carro tinha sido bloqueado e convidavam o Rui a registar-se no CarrosUsadosFixes, porque era um portal que protegia as suas fotos. O Rui concordou que talvez fosse melhor mudar para um portal mais seguro. Cancelou a sua conta anterior e mudou de portal.

Passado uns dias apareceu-lhe uma mensagem no e-mail. Pelos vistos já tinha um comprador!

Era uma pessoa que residia fora de Portugal. Queria comprar o carro, mas gostava de o ver melhor. Por isso, pedia que lhe enviasse mais fotos. «Está no papo» – pensou o Rui enquanto anexava fotos ao e-mail – «este carro está excelente». No entanto, a resposta tardou. Alguns dias depois, ao navegar na Internet, o Rui clicou num anúncio que o levou a um portal de automóveis usados onde viu um carro igualzinho ao seu, com as fotos que tinha enviado por e-mail para o comprador.

Frustrado, mas decidido a vencer os burlões, o Rui contactou esse portal explicando a situação. O portal respondeu-lhe que há pessoas que fingem ser compradores para conseguir fotos que de outra forma não conseguiriam, por estarem protegidas contra cópia. Informaram também que tinham bloqueado o burlão.

«Bem» – pensou o Rui – «agora já estou escaldado, já não me apanham». E continuou, cuidadosamente a tentar vender os seus carros.

Certo dia, recebeu um e-mail do CarrosUsadosFixes. Dizia que tinham de fazer uma alteração qualquer de actualização de qualquer coisa. «Não percebi nada, mas está bem… façam lá a alteração que precisam» – pensou o Rui. E, no fundo era simples. Bastava clicar no link que vinha no e-mail e entrar na sua conta. O Rui clicou no link e abriu a já familiar página de login. Estava já a escrever a palavra-passe quando reparou que faltava uma letra no endereço do site. «CarroUsadosFixes? Caramba, é Carros ou Carro?» – pensou o Rui. Desconfiado, escreveu o endereço à mão noutra janela. Apareceu-lhe uma página igualzinha. Como achava que o site certo era CarrosUsadosFixes, puxou dos contactos e telefonou para o portal. Explicaram-lhe que esse site era falso e que o e-mail era também falso. Tratava-se de uma forma de lhe roubarem os dados de acesso à conta. Disseram-lhe também que nenhum portal, ou qualquer outra entidade, necessita dos dados de acesso dos utilizadores para realizar alterações ao sistema. Disseram-lhe também que os dados de acesso eram só dele e que nunca os deveria dar a ninguém, sob que pretexto fosse.

«Ufa, esta foi por pouco.» – pensou o Rui para com os seus botões.

Algumas vendas depois, o Rui estava contente com o portal. Mas, os dias começaram a passar e não recebia mensagens. Assim se passaram duas semanas até que um dia recebeu um telefonema de uma pessoa irada, dizendo que queria o carro que tinha comprado.

– «Mas eu não lhe vendi carro nenhum.» – respondeu o Rui, confuso.

– «Vendeu sim senhor, ainda ontem fiz a transferência da primeira parte do pagamento combinado para a conta que me enviou por e-mail.» – responderam-lhe

– «E qual é o seu e-mail?» – perguntou o Rui. Com essa informação, pesquisou no seu programa de e-mail e encontrou uma série de e-mails supostamente trocados entre si um comprador. A série de e-mails terminava com o envio de dados de uma conta bancária que ele desconhecia. O valor combinado também era muito baixo. O Rui visitou o portal e viu que tinha todos os seus carros a metade do preço!

– «Então, já se lembra do que combinámos?» – insistiu o indivíduo ao telefone.

– «Passa-se aqui algo estranho, mas vamos perceber isto juntos…»

Após combinar encontrarem-se, o Rui telefonou para o portal. Explicou a situação, e após alguns minutos conseguiram perceber que alguém tinha descoberto a sua palavra-chave. E não tinha sido muito difícil, era o seu nome! E como também usava a mesma palavra-chave para o e-mail, os burlões conseguiram trocar os preços dos carros, e responder aos e-mails por ele, tudo debaixo das suas barbas.

– «Não deve usar palavras-chave tão simples» – explicou-lhe o apoio técnico do CarrosUsadosFixes. – «Deve ser uma palavra que não conste em nenhum dicionário e que as pessoas não consigam prever, por muito bem que o conheçam. Ah, e para prevenir, tente não usar a mesma palavra-passe para vários serviços.»

– «Oh, mas como é que consigo memorizar tantas palavras-chave diferente?» – perguntou o Rui

– «É simples, pode usar um pequeno grupo de palavras chave diferentes para aqueles serviços importantes, como e-mail e serviços que envolvem transacções monetárias, e uma palavra-chave para os restantes serviços. Mas nunca se esqueça que ao usar uma palavra-chave para vários sites isso significa que não se importa que alguém os controle. Para uma conta bancária isso não é aceitável, mas para um fórum de discussão online já pode ser. Tudo depende da sua personalidade.»

– «Mas mesmo assim, tenho 5 ou 6 palavras-chave diferentes para recordar, não consigo…» – queixou-se o Rui.

– «Bem, nesse caso pode escrever num papel. Mas, lembre-se que é como escrever o pin do seu cartão num papel, deve trazer o papel sempre consigo e nunca deixar que o vejam a ler. Há outras soluções, como deixar que o browser que usa para visitar o site memorize as palavras-chave, mas isso está muito dependente da confiança que tem no seu browser e nas pessoas que usam o seu computador. Além disso, se o computador avariar pode perder acesso a todos os seus dados.»

O Rui assim fez. Mas decidiu tomar precauções adicionais: tomou as palavras-chave mais importantes, mas que usava poucas vezes e colocou-as num cofre. Depois, colocou as palavras-chave que usava mais vezes num papel, na sua carteira. Mas, em vez de escrever uma lista de sites, utilizadores e palavras-passe decidiu escrever só as palavras-passe. «É só o que preciso de me lembrar, e assim se alguém ler o papel, não percebe o que é isto.»

A técnica de armazenamento utilizada pelo Rui, é apenas uma de várias possíveis. Na verdade, não existe consenso na forma ideal de um utilizador comum proteger as suas palavras-chave. O único facto com o qual os especialistas concordam é que é importante que todos protejam as suas palavras-chave. Mesmo em serviços aparentemente tão simples como o e-mail. Na história que acabámos de ver, o e-mail foi usado para trocar informação que levou a uma transferência bancária. Noutras situações, o e-mail de um utilizador incauto pode ser usado para executar ataques mais complexos e é precisamente por esse motivo que se deve ter precauções com os dados de acesso, mesmo que não pareça importante.

Poderia continuar a escrever por páginas e páginas mas parece-me que este artigo já está grande demais. Fico-me por aqui e dou os meus parabéns a quem chegou até esta linha tendo lido tudo o que está para trás. Espero que tenham ficado mais alerta para estes problemas e para as manhas dos ciber-criminosos.

Booking.com