Notícia postada originalmente em: https://brasil.elpais.com/brasil/2017/11/14/tecnologia/1510661373_118000.html

A pegada digital dos usuários da Internet abrange redes sociais, registros financeiros e informações de caráter sensível, como fotos, guardadas em serviços de armazenamento na nuvem. Frequentemente, um endereço de email é o único respaldo de tudo isso. Encontrando a senha ou as perguntas de segurança para a sua recuperação, hackers podem baixar todos os dados da vítima, limpar sua conta bancária e apagar as cópias de segurança.

Personalidades como o presidente da França, Emmanuel Macron, a política norte-americana Sarah Palin e a agência de notícias Associated Press, dos EUA, já sofreram o sequestro de suas contas on-line. Mesmo assim, apesar da crescente preocupação dos usuários com a segurança, as recomendações dos especialistas continuam voltadas para medidas preventivas que as vítimas poderiam adotar, e poucas vezes para a raiz do problema: como se dão as grandes violações da segurança digital, onde os delinquentes compram as listas de senhas roubadas e quais são os métodos preferidos dos hackers.

Partindo dessa premissa, o Google, em colaboração com a Universidade da Califórnia em Berkeley, analisou durante um ano o ecossistema de roubos e de compra e venda de senhas nos mercados negros da Deep Web, identificando 788.000 vítimas potenciais dos keyloggers, programas que capturam o que o usuário tecla ou o que ele vê na tela, enviando esses dados a um servidor externo controlado pelo hacker. Há também 12,4 milhões de vítimas potenciais dos kits de phishing, a prática de enganar o usuário para que ele digite sua senha em sites falsos controlados pelos bandidos, e 1,9 bilhão de senhas expostas por falhas de segurança que são vendidas nos mercados negros.

Classificados por seu risco, detectamos que o ‘phishing’ é a maior ameaça, seguida pelos ‘keyloggers’ e as violações de segurança em serviços de terceiros

Segundo os investigadores, entre 12% e 25% dos ataques de phishing e keylogger resultaram na obtenção de uma senha válida para acessar a conta da vítima no Google. Mas os deliquentes cibernéticos vão além e usam ferramentas cada vez mais sofisticadas para tentar obter o número de telefone, a direção IP e a geolocalização do usuário, a fim de burlar as medidas de segurança que os sites adotam.

“Classificados por seu risco, detectamos que o phishing é a maior ameaça, seguida pelos keyloggers e as falhas de segurança em serviços de terceiros”, concluiu o Google em seu estudo. As violações dos sistemas de segurança, como a sofrida pelo Yahoo, afetam diretamente a segurança das contas do Gmail e de outros serviços. Segundo o estudo, entre 7% e 25% das senhas obtidas coincidem com a estabelecida no Gmail, porque os usuários tendem a reutilizar as mesmas combinações.

O Brasil está entre os 10 países mais afetados pelas grandes falhas de segurança, sendo líder mundial nos ataques de keyloggers (18,3% do total de vítimas), segundo a investigação.

A educação do usuário é a melhor iniciativa para aumentar a sua segurança

A autenticação em dois passos e as medidas de segurança adicionais incorporadas por serviços como Gmail podem evitar o sequestro imediato das contas quando os hackers obtêm a senha, mas nem sempre isso é suficiente. Os delinquentes podem contar com ferramentas para interceptar os SMSs de verificação em dois passos ou a geolocalização do dispositivo. É preferível empregar métodos de autenticação exclusivos, como o Google Authenticator ou a verificação através de aplicativo oferecida pelo Twitter em iOS e Android.

Embora a verificação em dois passos seja a solução mais eficaz e imediata, o Google detectou que apenas 3,1% das vítimas que recuperaram sua conta habilitaram essa proteção contra futuros sequestros. “A educação do usuário é a melhor iniciativa para aumentar sua segurança”, dizem os investigadores.

Os leitores de impressões digitais e o inovador sistema de reconhecimento facial incorporado no novo iPhone X são as melhores opções para implementar uma segunda verificação forte, única e dificilmente violável pelos hackers. Além disso, não exige uma conscientização e instrução prévia do usuário, porque é programado para aparecer assim que o celular é ligado.