exameinformatica

Uma parceria EXPRESSO

Siga-nos nas redes

Perfil

Internet

O caso Yahoo: como evitar este e outros ataques

Foram 500 milhões de contas que caíram nas mãos dos hackers. Se tem uma conta Yahoo, siga estas instruções. Se não tem, siga na mesma.

  • 333

A notícia é recente, mas o ataque não é novo. Na verdade, ocorreu nos finais de 2014. Segundo a própria Yahoo, os dados de 500 milhões de contas terão caído nas mãos de hackers. O que significa que há uma forte de probabilidade de informações confidenciais, sobretudo que tenham sido registadas em e-mails dos utilizadores dos serviços Yahoo, terem sido utilizadas para fins ilícitos.

Esta falha é particularmente grave pelo atraso da deteção. Quem não mudou de password desde o roubo dos dados pode continuar a ser espiado, o que significa que deve começar por alterar a sua palavra-chave – se não sabe como fazer a alteração, sigas as instruções em https://br.ajuda.yahoo.com/kb/SLN27051.html.

Pior ainda, vários estudos demonstram que muitas pessoas utilizam a mesma password, por vezes com algumas variações fáceis de descobrir, em diferentes serviços, incluindo alguns particularmente sensíveis, como bancos online e contas empresariais. Ou seja, as passwords roubadas podem ter servido para aceder a outros serviços bem mais críticos para o utilizador do que a conta de e-mail do Yahoo.

Dados usados para descobrir outros dados

As consequências do acesso a uma conta de e-mail como a do Yahoo são muito mais vastas do que possa parecer à primeira vista. Além das passwords, os hackers terão tido acesso a informação como nomes e datas de nascimento dos utilizadores. A partir do momento em que estes dados ficam disponíveis no mercado negro, outros hackers podem processar a informação de modo a recriarem a vida digital dos donos das contas afetadas. Por exemplo, será fácil para os atacantes descobrir outras contas de e-mail; identificar amigos e familiares; obter informações pessoais e profissionais; e descobrir serviços subscritos. Estes últimos são particularmente importantes porque ajudam os hackers a centrarem os esforços. Por exemplo, um simples e-mail informativo enviado por um banco ou por uma loja online permitem ao hacker descobrir que o utilizador tem contas ativas nesses serviços. Depois, com os dados em posse, como a password de acesso ao Yahoo e dados pessoais do utilizador (nome, morada, data de nascimento, nome dos familiares diretos…), os hackers têm muito mais hipóteses de descobrirem os dados de acesso a esses serviços. Até porque muitas palavras-passe são criadas com base em datas, momentos e nomes familiares para o utilizador. Os hackers utilizam aplicações específicas e muito poder de computação para gerar palavras-passe e quanto mais informação tiverem sobre o utilizador, maior é a probabilidade de conseguirem obter as chaves de acesso.

O trabalho dos atacantes fica ainda mais simplificado quando descobrem nos e-mails listas de passwords e, em alguns casos, até informações confidenciais que podem ser usadas para extorsão ou roubo de identidade.

O que fazer

- Ativar sistemas de dupla autenticação para que a palavra-chave não seja o único método necessário para acesso (muitos serviços recorrem ao envio de senhas por SMS);

- Eliminar contas que já não usa, sobretudo aquelas que não permitem dupla autenticação;

- Alterar com regularidade a palavra-chave nos serviços mais sensíveis (banco, por exemplo);

- Usar palavras-chave longas (8 caracteres no mínimo) que misturem letras, algarismos e símbolos;

- Criar uma segunda, terceira ou mesmo quarta conta de e-mail para associar a serviços menos relevantes (para receber e-mails informativos, por exemplo) e não usar essa(s) conta(s) para enviar/receber mails importantes;

- Aceder aos serviços online através de dispositivos seguros: nos computadores, deve ter um bom software de segurança instalado (as aplicações normalmente incluem denominação de Internet Security).

O que não fazer

- Usar a mesma password em serviços diferentes;

- Usar variações de password (sim, os hackers conhecem todos os truques, como juntar letras ou números relacionados com o serviço ou site);

- Recorrer a palavras, nomes, momentos e datas importantes para si para criar as palavras-chave (as técnicas de mnemónica são conhecidas e aproveitadas pelos hackers);

- Aceder a serviços sensíveis (banco online, por exemplo) a partir de PCs partilhados ou desconhecidos;

- Guardar listas de dados de acesso no mail (passwords, nomes de utilizador) ou em outros serviços digitais;

- Responder a e-mails e outros tipos de contacto (redes sociais, por exemplo) de desconhecidos;

- Seguir instruções e links supostamente enviados por serviços (a regra é: se lhe estão a pedir dados é porque, provavelmente, trata-se de um esquema fraudulento);

- Guardar informação sensível em contas de e-mail que foram usadas em registos de outros serviços;

- Aceder a serviços online com dados pessoais importantes através de redes Wi-Fi públicas.

  • 333