Entenda por que senhas fortes e a autenticação em duas etapas não protegem contra a ‘raspagem de dados’ | Blog do Altieres Rohr


Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.), envie um e-mail para [email protected]. A coluna responde perguntas deixadas por leitores às terças e quintas-feiras.

Autenticação em duas etapas pode ajudar na proteção dos seus amigos para que hackers não coletem os dados deles, mas não terá efeito na sua proteção. — Foto: Sergio Perez/Reuters

Como podemos nos proteger da raspagem de dados ocorrida em plataformas como o Facebook e o LinkedIn?

A utilização de chaves 2FAs seria uma solução? Qual é a importância de uso dessas chaves em plataformas? – Ana Perin*

Infelizmente, Ana, as chaves de autenticação em dois fatores (2FA) não vão ajudar você contra a chamada “raspagem de dados”. Isso não significa que não haja relação entre a raspagem de dados e a autenticação.

Na verdade, adotar essa proteção ajuda a proteger os seus contatos – e seus contatos podem proteger você.

Vamos começar entendendo o papel da “2FA”. A abreviação 2FA é do inglês, e significa “2-factor authentication”.

Em português, o nome é “verificação em duas etapas” ou “identificação em dois fatores”. O nome mais correto e abrangente, porém, é “autenticação multifator” (que existe também no inglês, com a sigla MFA).

Quando você utiliza duas etapas ou fatores de autenticação, você terá de fornecer duas informações para acessar seu perfil ou cadastro.

A senha é considerada seu “fator primário” de autenticação.

O segundo fator de autenticação pode ser um código numérico gerado por um aplicativo especial, uma autorização via notificação ou até uma confirmação por torpedo SMS (embora ainda esteja disponível em vários serviços, o uso do SMS não é mais recomendado por especialistas.

Quando você vai a um caixa eletrônico, o cartão do banco também funciona como um segundo fator de autenticação.

Em serviços empresariais ou em plataformas como a Nota Fiscal Paulista, também é possível usar um cartão. Alguns serviços permitem usar chaves lidas por USB ou NFC (comunicação sem fio por proximidade) para uso em celular.

Em todos esses cenários, o fator de autenticação adicional serve para impedir que um invasor acesse a sua conta ou perfil depois de capturar a sua senha.

Ou seja, o hacker precisa roubar os dois fatores de autenticação (sua senha e seu celular, ou sua senha e seu cartão, por exemplo) para realizar um ataque em sua conta.

Os ataques virtuais mais comuns não conseguem acessar bens do mundo real, como um cartão ou um celular. A autenticação multifator busca garantir a posse de um item físico, o que dificulta tentativas de invasão por métodos exclusivamente virtuais.

Aliada a uma senha forte, a autenticação multifator é sua maior arma para evitar invasões das suas contas e perfis.

Hackers utilizam programas de varredura em redes sociais para coletar informações. — Foto: Mohamed Hassan/Pixabay

‘Raspagem’ ocorre em dados públicos

A autenticação multifator impede acessos indevidos à sua conta e dados particulares, como mensagens, grupos privados e informações dessa natureza.

Ela também protege seus contatos, já que invasores poderiam enviar mensagens a partir da sua conta, enganando seus amigos.

A “raspagem de dados”, porém, ocorre principalmente em dados públicos.

Funciona assim: o hacker usa um software que acessa milhões de perfis e que “sabe” interpretar esses perfis. Assim, dados de emprego, local de residência, curtidas, grupos – tudo que estiver público será categorizado e poderá ser pesquisado posteriormente pelo hacker.

VÍDEO: Como acontece um vazamento de dados?

VÍDEO: Como acontece um vazamento de dados?

O resultado desse processo pode ser inesperado, porque viabiliza consultas que as redes sociais não disponibilizam.

Precisa saber quem são os fisioterapeutas em uma cidade? Os médicos que curtiram determinada página de político? Os fãs de uma artista que também viajaram para determinada cidade? Se esses dados estavam públicos, tudo pode ser vinculado.

Existem ainda outros ataques que tiram proveito de canais “indiretos” das redes sociais, principalmente para encontrar perfis pelo número de telefone ou e-mail.

Assim, quem sabe o seu número de telefone pode localizar o seu perfil, mesmo que o número não esteja divulgado nele.

Talvez você esteja pensando que nunca viu uma busca desse tipo – que permite encontrar uma pessoa por um número de telefone.

Realmente, não existe um lugar onde você digita o número e encontra um perfil. Mas existem serviços que “sincronizam” a agenda do seu telefone – com os números dos seus contatos – e os perfis.

Tanto o Facebook como o Linkedin possuem opções para isso.

Opções de descoberta de perfil no LinkedIn permitem associar e-mail e telefone aos seus dados. É preciso desativar a busca para evitar as associações. — Foto: Reprodução

Falsificando o envio de muitas “agendas” com milhões de números, o hacker encontra os perfis sem qualquer informação privilegiada.

Ainda que essa coleta básica de dados na “raspagem” não exija acesso à sua conta, é possível que os hackers utilizem contas invadidas para ampliar o alcance da “raspagem”, capturando informações que normalmente só estariam disponíveis para contatos e amigos.

A autenticação multifator, ao proteger a sua conta, também protege seus amigos. Impedindo o acesso de invasores, você inibe a ação de criminosos que tentariam enganar seus amigos se passando por você ou que usariam seu perfil para recolher informações que só você pode ver.

Sendo assim, a autenticação multifator é importante para proteger o que seus amigos compartilham só com você e também para proteger os seus dados particulares.

Facebook também tem opções de privacidade para localização de perfis por telefone e e-mail. — Foto: Reprodução

Proteção contra ‘raspagem’

Todas as defesas específicas contra raspagem exigem que você diminua a quantidade de informações públicas disponíveis sobre você. Veja alguns exemplos:

Todos os dados públicos (curtidas, emprego, cidade de residência) poderão ser coletados por hackers para uso em ataques. Se você deseja compartilhar esses dados, tenha consciência de que eles poderão ser usados contra você. Do contrário, omita essas informações. Você pode usar as configurações da própria rede social para limitar o acesso a elas ou optar por simplesmente não “curtir”.

Desative opções de busca. Qualquer opção que permita encontrar seu perfil por outros canais (telefone, e-mail) poderá ser usado para vincular esses dados de contato ao seu perfil e, portanto, a todas as informações que estão nele. A não ser que você precise disso, é recomendado desligar essas opções e até evitar completamente a vinculação do seu número com seus perfis, principalmente porque o SMS não é mais um meio recomendado para a autenticação em dois fatores.

Use controles de privacidade para amigos específicos. Você pode compartilhar determinadas informações apenas com amigos específicos. Desde que eles não sejam invadidos por hackers, esses dados não ficarão disponíveis para raspagem. Prefira compartilhar dados com grupos de pessoas especificas em vez de compartilhar com todos os amigos.

Dados e fotos repetidos são um risco. Qualquer informação que apareça em mais de um perfil (inclusive fotos) podem ser usados para associar esses perfis. Mesmo que você omita o nome ou determinadas informações, lembre-se que seus perfis podem ser localizados e vinculados indiretamente por meio de imagens.

* Identificação solicitada pela leitora

Dúvidas sobre segurança digital? Envie um e-mail para [email protected]

Veja dicas para se manter seguro on-line



Fonte: G1