Na última semana, pesquisadores da Grécia e de Cingapura criaram um aplicativo falso no Facebook programado para realizar ataques de negação de serviço capazes de derrubar sites a cada clique na rede social. O aplicativo 'Photo of the Day', que atraiu mais de mil usuários, é uma das recentes comprovações da fragilidade das redes sociais quando se trata de segurança da informação.

Leia também:
> Ataque a redes sociais rouba dado com visita a perfil
> Recados do Facebook são usados para ataques
> Após alerta, Facebook bloqueia links maliciosos
> Acesso a rede social ameaça segurança de empresas

Os ataques que envolvem estas redes têm aumentado desde 2007, acompanhando a crescente popularidade dos serviços – o Facebook anunciou recentemente ter atingido 100 milhões de usuários.  Segundo uma pesquisa da Symantec, no último semestre do ano passado, duas redes sociais - não reveladas pela empresa - foram alvo de 91% dos ataques de phishing com sites hospedados nos Estados Unidos.

”O que tem crescido são os phishings, que têm por objetivo ganhar acesso a vários sistemas. E um dos jeitos fáceis de usuários caírem na armadilha é usar marcas confiáveis, como redes sociais, e clicarem em um link malicioso”, exemplifica o engenheiro de sistemas da Symantec, Vladmir Amarante.

Não é estranho, então, o embarque de crackers no trem da popularidade de redes sociais. No final de julho, a Kaspersky anunciou duas variantes de um worm que tem como alvo os usuários do MySpace e do Facebook. Na conferência Black Hat, em agosto, pesquisadores mostraram como roubar credenciais de sites populares, e no mesmo mês, o microblogging Twitter foi iniciado no mundo dos malwares espalhando um suposto vídeo pornográfico da cantora Kelly Key.

“A rede social é mais um vetor de ataque. As pessoas mal-intencionadas buscam o perfil adepto aos sites, de pessoas mais novas, leigas e inexperientes na web”, opina Amarante.
++++
Para convencer mesmo os mais experientes em web 2.0, os ataques têm sido cada vez mais elaborados. De simples links para fotos de “quem estava sendo traído”, os golpes podem simplesmente dizer que um novo amigo te adicionou.

Vulnerável, eu?
Os crackers buscam, intensa e estrategicamente, vulnerabilidades nas redes sociais que permitem, por exemplo, “a inserção de ‘chamadas’ dentro do site, pequenas o suficiente para o usuário não notá-las, como um iFrame - que inclui um documento HTML dentro do outro”, explica Godinho.

Dessa forma, se existe um link para outro site, no tamanho de 1 pixel x 1 pixel, “invisível a olho nu, outra página é carregada sem que a pessoa perceba. Este site é malicioso e instala um malware silenciosamente, sem interação do usuário.”

Outra possibilidade é usar vulnerabilidades no browser para enganar os integrantes de redes sociais. “Por meio de uma página falsa de login, com o design idêntico à original, o usuário permite a exploração de um script que gera uma sobrecarga de buffer para roubar dados ou aproveita para instalar um ActiveX malicioso na máquina da vítima”, explica Vendramini.

O cenário também sinaliza que a execução de ataques de cross-site-scripting (XSS) é vantajosa aos mal-intencionados de plantão. “Se você consegue explorar, atinge milhões de usuários suscetíveis ao ataque. As redes sociais, ainda muito novas, não estão protegidas contra isso”, expõe Godinho.

Dados da Trend Micro apontam que as ameaças voltadas a tecnologias 2.0 - redes sociais, blog e outros - passaram do registro de 1 milhão em dezembro de 2007 para mais de 1,5 milhão em janeiro de 2008.
++++
“Quanto mais pessoas usam, mais os crackers correm por uma vulnerabilidade a ser explorada”, lembra Godinho. “Para eles, é importante ter capilaridade, ou seja, um grande público acessando o ataque criado.”

Seguindo o princípio da própria rede social, quanto mais contatos, melhor para os invasores. “O objetivo final de um golpe é controlar o maior número de máquinas quanto for possível para que elas se tornem seus zumbis. Além de dados sensíveis, a rede de PCs dominados também é comercializada - para spams e outros fins”, explica Vendramini.

Proteção vai além do antivírus
Para se proteger contra este meio de ataque sem precisar apagar seu perfil, basta ter atenção aos conselhos básicos de segurança.

“Mantenha seus softwares atualizados, com patches instalados, fique atento a e-mails desconhecidos e digite a URL no browser ao invés de clicar em links”, aconselha Vendramini.

Hoje, segundo o executivo da Symantec, não é suficiente ter um antivírus. “Esta solução não inspeciona o tráfego de internet nem identifica um link de phishing. É recomendável investir em um software mais avançado com mais camadas de proteção”, explica.

Godinho aponta que técnicas como as que exploram iFrames, executadas por quem possui conhecimento mais avançado, driblam os antivírus com padrão de detecção apenas por vacina. “Ao invés de ter uma solução que só detecta o arquivo malicioso, é preciso que ela avalie a reputação das páginas”, aconselha.