Muitos de nós já passamos pela experiência de receber um e-mail com jeitão de spam de um amigo ou familiar e, minutos depois, receber outro da mesma pessoa dizendo que sua conta fora hackeada e nos alertando para não abrir ou responder qualquer mensagem recebida previamente. É uma situação alarmante para muita gente. A assustadora verdade é que se a sua caixa de entrada (ou smartphone, tablet, conta no Twitter, Instagram, qualquer coisa) for sequestrada por cibercriminosos, disparar spam para sua lista de contatos é o menor dos seus problemas.
O post abaixo é um trecho de Spam Nation: The Inside Story of Organized Cybercrime, de Brian Krebs.
O verdadeiro valor de uma conta de e-mail para criminosos não é a sua capacidade de disparar spam ou mesmo software malicioso e vírus para toda a sua lista de contatos. Dependendo do que você faz com sua conta e do quão antiga ela é, sua caixa de entrada pode valer mais do que você imagina.
Cadastre-se, por exemplo, em qualquer serviço online e ele muito provavelmente exigirá um endereço de e-mail. Em quase todos os casos, a pessoa no controle daquele endereço pode resetar a senha de quaisquer serviços ou contas associados a ela – basta requisitar a redefinição de senha por e-mail. Tirou seu fundo de aposentadoria, conta do banco ou plano de saúde por e-mail? Um invasor que tenha acesso a ele, tanto via phishing, quanto através de um malware em seu sistema pode simplesmente entrar nos sites que gerenciam essas contas, requisitar uma redefinição de senha, clicar em um link no e-mail e mudar suas senhas (e ele começará pela senha do próprio e-mail)!
Mesmo que a pessoa que tenha sequestrado sua caixa de entrada não tenha tempo ou interesse em tomar posse das suas contas associadas, é quase certo que ele sabe que essas contas têm valor de revenda no submundo do crime virtual. Quanto essas contas associadas custam? Não existe uma tabela de preços nesses lugares, mas listas de preço recentes publicadas por gente que negocia contas comprometidas sem informações valiosas oferecem algumas pistas.
Muitos vendem nomes de usuários e senhas roubados de contas funcionais na overstock.com, dell.com e walmart.com, todas por dois dólares cada, por exemplo. Outros vendedores negociam contas no fedex.com e ups.com por cinco dólares, e contas da Apple começam em oito dólares. Contas que vêm com credenciais para endereços de e-mail ligados a cada site podem valorizar um ou dois dólares.
Algumas lojas praticam preços ainda mais altos por contas hackeadas, cobrando até três dólares por contas ativas na dell.com, ovestock.com, walmart.com, tesco.com, bestbuy.com e target.com, para nomear algumas. Isso pode soar como mixaria e como algo que não vale a dor de cabeça, mas lembre-se que esses caras engajados na atividade normalmente têm grandes botnets, o que significa que eles conseguem coletar informações de centenas ou milhares de computadores hackeados simultaneamente.
Mesmo que o seu e-mail não esteja conectado a lojas online, ele provavelmente tem alguma ligação com outras contas com as quais você se importa. Contas de e-mail hackeadas não são usadas apenas para disparar lixo em forma de mensagens. Elas são colhidas pelos e-mails na sua lista de contatos, que podem ser então inundados com malware, spam e ataques do tipo phishing. Esses mesmos contatos talvez até recebam uma mensagem sua dizendo que você está preso em um país estrangeiro, sem um tostão no bolso e pedindo dinheiro. Acredite em mim, inúmeras pessoas compram essa história de falsos pedidos de ajuda e enviam dinheiro, direto de seus bolsos para os criminosos virtuais.
Se você já comprou software, é provável que as licenças e chaves estejam armazenadas em alguma das suas mensagens de e-mail. Você usa serviços online ou “nuvens” de armazenamento, como Dropbox, Google Drive ou Microsoft OneDrive, para fazer backup ou guardar fotos, vídeos e músicas? A chave para liberar o acesso a esses arquivos está na sua caixa de entrada.
O pior de tudo é que se a sua conta de e-mail hackeada era usada como conta de backup para receber e-mails de redefinição de senha de uma das suas outras, adivinhe? Os intrusos conseguirão tomar o controle de ambas.
Com sorte, está claro a essa altura que manter esses criminosos fora da sua caixa de entrada vale o esforço da tomada de algumas precauções. Felizmente, algumas dicas e ações simples podem ajudá-lo a manter o controle sobre o seu e-mail – e blindar o sistema que você usa para acessá-lo.
Até pouco tempo atrás, alguns dos maiores provedores de serviços online ofereciam pouca coisa além de exigir um nome de usuário e senha. Com cada vez mais frequência, porém, os maiores provedores têm se movimentado para habilitar a autenticação em dois passos a fim de ajudar os usuários a evitarem o comprometimento de suas contas. Gmail.com, Hotmail/Outlook.com e Yahoo.com, todos oferecem esse sistema que os usuários podem e devem usar para aumentar a segurança das suas contas. Normalmente, isso significa o envio de um código numérico via mensagem de texto ou app no smartphone que precisa ser digitada em conjunto com o nome de usuário e senha. O código é enviado e exigido sempre que uma tentativa de login suspeita é detectada – como uma feita de um computador ou IP nunca antes usado para acessar a sua conta.
Dropbox, Facebook e Twitter oferecem opções de segurança adicionais que vão além de apenas encorajar os usuários a escolherem senhas fortes. O site twofactorauth.org mostra quais provedores de e-mail e redes sociais oferecem a autenticação em duas etapas. Se o seu estiver listado, clique no ícone correspondente da coluna “Docs” para ler instruções sobre como configurar e habilitar esse recurso.
Para dicas sobre como proteger melhor a sua caixa de entrada e aperfeiçoar a segurança online, leia o resto de Spam Nation, de Brian Krebs, ou dê um pulo no blog do autor, o Krebs on Security. Ou leia o post do Gizmodo Brasil sobre autenticação em duas etapas.
© Sourcebooks 2014
Imagem do topo: Michael Hession
O post Quanto seu e-mail vale para criminosos virtuais apareceu primeiro em Gizmodo Brasil.