Jornalismo Digital

As redes sociais, se bem utilizadas, trazem diversos benefícios às empresas. Desde o “boom” do Twitter, isso ficou mais visivel, pois as pessoas passaram a usar a ferramenta como forma de promover e engrandecer seu negócio. Entretanto, elas (as redes sociais) têm dois lados e, da mesma forma que ela ajuda, também pode atrapalhar o desenvolvimento e andar das organizações.
De acordo com a fornecedora de soluções de segurança de redes Palo Alto Networks, existem diversos fatores para essa ser uma preocupação para empresas de todos os tamanhos e niveis. As ameaças foram listadas e as dez principais servem como exemplo para haver uma política de acesso:

1) Worms: Em português significa vermes, e dentre eles, em relação às redes sociais, está o Koobface, que se tornou o maior botner da web 2.0. Apesar de uma ameaça multifacetada como o Koobface desafiar o que entendemos por “verm”, ele é projetado especificamente para se propagar pelas redes sociais, tais como Facebook, mySpace, Twitter, hi5, Friendster e Bebo e aiciar mais máquinas à sua botnet para sequestrar mais contas para enviar mais spam, o que vira um ciclo sem fim. Tudo isso para lucar com os negócios típicos das redes botnets, como scarewares (antivírus falso) e serviços de encontros românticos com sede na Rússia.

2) Isca para golpes de phishing: Alguém lembra do FBAction? O e-mail que lhe pedia maliciosamente para se conectar ao Facebook, torcendo para que ninguém percebesse a URL fbaction.net no campo do endereço do navegador? Muitos usuários dessa rede social tiveram suas contas invadidas e, embora tenha sido apenas uma fração menor do que um por cento, o total de vítimas ganha corpo quando lembramos que o Facebook tem mais de 350 milhões de usuários. Pesa à favor do Facebook o fato de ter agido rápdo, trabalhando para incluir o domínio numa lista negra, mas desde então surgiram novas cópias descaradas, como a fbstarter.com. Desde então, o Facebook tem brincado de gato e rato com esses sites.

3) Trojans: as redes socias têm se tornado um excelente vetor para Trojans (cavalo de Tróia). Basta se deixar seduzir por um aviso suspeito de “clique aqui para receber”. Zeus – um potente Trojan de roubo de dados bancários potente que, apesar de popular, ganhou vida nova nas redes sociais. Diversos roubos de grandes somas já foram atribuídos a Zeus. Um exemplo notável: o que teve como vítima a administração escolar central de Duanesburg, no Estado de Nova York (EUA), no fim de 2009.
URL Zone – é um Trojan similar, mas bem mais esperto. Ele é capaz de comparar o saldo das contas da vítima para ajudá-lo a decidir quais roubos merecem prioridade.

4) Vazamento de informações: Compartilhar está na alma das redes sociais. Infelizmente, muitos usuários compartilham mais do que deveriam sobre empresas e entidades, com dados sobre projetos, produtos, informações financeiras, mudanças organizacionais, escândalos e outras informações importantes. Há até maridos e esposas que divulgam, na rede, como seu companheiro ou companheira tem trabalhado até tarde em projetos altamente confidenciais, acompanhado de mais detalhes sobre o tal projeto do que seria aceitável. As consequências desse tipo de indiscrição vão do embaraçoso ao jurídico.

5) Links encurtados: As pessoas usam serviços de encurtamento de URL (como bit.ly e tinyurl) para fazer caber URLs compridas em pequenos espaços. Eles também fazem um ótimo trabalho de esconder o link original; desta forma, as vítimas não serão capazes de perceber que estão clicando em um programa instalador de malware e não num vídeo da CNN. Esses links encurtados são muito fáceis de usar e estão por toda parte. Muitos dos programas para Twitter encurtam os endereços automaticamente. E as pessoas estão acostumadas a vê-los. Sem contar que em muitos casos, por uma brincadeira no Twitter, as pessoas estão sujeitas a clicar em links que não só levam aos instaladores de malware, mas também as direcionam para páginas pornográficas, o que prejudica, e muito, os funcionários das empresas.

6) Botnets: No fim de 2009, pesquisadores de segurança descobriram que contas desprotegidas do Twitter estavam sendo utilizadas como um canal de comando e controle para algumas botnets (redes de PCs vulneráveis, comandadas remotamente). O canal padrão de comando e controle é o IRC (rede de bate-papo), mas alguns cibercriminosos decidiram explorar outras aplicações – como o compartilhamento de arquivos P2P, no caso do Storm – e agora, engenhosamente, o Twitter. O microblog tem fechado tais contas; mas, dada a facilidade de acesso das máquinas infectadas ao Twitter, a situação terá continuidade. Assim, o Twitter também se torna adepto das brigas de gato e rato.

7) Ameaças persistentes avançadas: Um dos elementos-chave das ameaças persistentes avançadas (APT, na sigla em inglês) é a obtenção de dados sigilosos de pessoas de interesse (exemplos: executivos, diretores, ricaços), para o que as redes sociais são um verdadeiro tesouro de informações. Quem usa APTs emprega as informações obtidas para seguir adiante com mais ameaças – aplicando mais “ferramentas de inteligência” (como malwares e Trojans) e, com isso, ganhando acesso a sistemas importantes. Assim, apesar de não estarem diretamente ligadas às APTs, as redes sociais são uma fonte de dados. Menos exótico, mas não menos importante para indivíduos, é o fato de que informações sobre sua vida e suas atividades servem de munição para o ataque de cibercriminosos.

8 ) Cross-Site Request Forgery (CSRF): Embora não sejam um tipo específico de ameaça – é mais uma técnica usada para espalhar um sofisticado verme de rede social -, os ataques CSRF exploram a “confiança” que uma aplicação de rede social tem quando funciona sob o navegador de um usuário já conectado à rede. Durante o tempo em que essa aplicação não verificar novamente a autorização que lhe foi concedida, será fácil para um ataque infiltrar-se no canal de conexão do usuário, enviando conteúdos maliciosos que, clicados por outros, fariam mais vítimas, que por sua vez ajudariam a espalhá-lo.

9) Impostura (passar por alguém que você não é): Várias contas de redes sociais, criadas por pessoas de destaque e seguidas por milhares de pessoas, têm sido invadidas (o caso mais recente é o de um punhado de políticos britânicos). Mesmo sem invadir contas, diversos impostores têm conquistado centenas e milhares de seguidores no Twitter, só para depois constranger as pessoas que fingem ser (exemplos: CNN, Jonathan Ive, Steve Wozniak, Dalai Lama), ou fazer coisas piores. O Twitter disse que a partir de agora vai bloquear esses farsantes que tentam manchar o nome de suas vítimas, mas sob sua decisão. Já ficou comprovado que a maioria dos impersonators não distribui malware, porém algumas contas já fizeram isso (como a do Guy Kawasaki).

10) Excesso de confiança: O ponto em comum entre todas essas ameaças é a tremenda confiança depositada nas aplicações sociais. Como o e-mail na época em que chegou às multidões ou o mensageiro instantâneo quando se tornou onipresente, as pessoas confiam em links, fotos, vídeos e arquivos executáveis sempre que eles são enviados por “amigos”, pelo menos enquanto não caírem do cavalo algumas vezes. Parece que as aplicações sociais ainda não deram seu coice a um número suficiente de pessoas. A diferença em relação às redes sociais é que o propósito delas, desde o começo, é compartilhar (muita) informação, o que implicará numa curva de aprendizado mais longa para a maioria dos usuários. Isso quer dizer que as pessoas ainda terão que cair do cavalo mais algumas vezes.

Fonte: UOL