A inspiração para este tutorial veio da edição de Junho da revista Wired. Na matéria intitulada "Indiferença depravada - 18 dias de computação inconseqüente", Steve Knopper narra a experiência de tentar inutilizar um computador novinho fazendo tudo aquilo que não se deve fazer na Internet. Depois dos 18 dias do título, o jornalista levou o micro para a assistência técnica e deixou os atendentes boquiabertos – a única solução foi reinstalar o Windows e todo o resto do zero.

Em nossa versão do teste, o objetivo foi um pouco diferente. De carona na notícia sobre a prisão de notícia sobre a prisão de 58 pessoas por roubo de dinheiro via Web, em meados de setembro, decidimos nos fazer de vítimas de um golpe desses. Em outras palavras, navegar perigosamente até quase ter a segurança de nossos dados bancários comprometidos. Se, no meio do caminho, ainda contraíssemos uns vírus – melhor ainda!

Vivendo perigosamente

ATENÇÃO: este tutorial tem o objetivo de alertá-lo, de forma divertida, quanto aos perigos que espreitam os internautas hoje em dia. O autor e o WNews NÃO recomendam que você faça nada disso em casa e não se responsabilizam pelas conseqüências. Na verdade, se você quiser tirar algum conselho dos parágrafos a seguir, faça tudo ao contrário do que fizemos.

O primeiro passo foi preparar uma instalação limpa do Windows XP em um computador sem nada importante. Infelizmente, como a versão usada já incluía o Service Pack 2, o micro nunca ficou tão vulnerável quanto gostaríamos, já que esta atualização corrigiu muitas das falhas de segurança e ajuda a conscientizar o usuário via “Central de Segurança” (Figura 1). A primeira lição para ser invadido, portanto, é usar o Windows XP sem o SP2.

Como a Central de Segurança já traz o firewall ativo, tratamos de desligá-lo para tornar o micro mais inseguro. Também nos certificamos de que o computador fosse ligado direto no modem de banda-larga, sem o roteador com firewall incorporado que geralmente usamos. Assim, qualquer programa malicioso terá mais facilidade para trocar informações com o mundo exterior. Segunda lição: não usar firewall.

Além do firewall e de recomendar a instalação de um antívirus (terceira lição: nada de antivírus), a Central de Segurança insiste para que ativemos o recurso de atualização automática (Figura 2). O programa usa a Internet para baixar “updates” que corrigem problemas do Windows, principalmente falhas de segurança. Não, obrigado! A quarta lição é não atualizar nem permitir a atualização do Windows.

As falhas de segurança que o Windows corrige automaticamente não se referem apenas ao próprio, mas também ao Internet Explorer. O navegador da Microsoft, líder absoluto de mercado, tem várias vulnerabilidades conhecidas e é o alvo preferido dos desenvolvedores de código malicioso. Daí o fato de muita gente ter migrado para o concorrente Firefox, considerado mais seguro. Como não queremos segurança, a quinta dica é usar o Internet Explorer mesmo.

É preciso querer fazer besteira

Certos de que estávamos totalmente desprotegidos, chega a a hora de expôr o micro a todas as pragas que pudéssemos. Na pasta de spam do Gmail, tratamos de abrir todas as mensagens de conteúdo duvidoso que haviam chegado nos últimos dias e ficado reservadas para a experiência. Vírus mesmo, não achamos nenhum – felizmente (ou não, em nosso caso), os grandes serviços de e-mail estão cada vez melhores no bloqueio de infecções virtuais.

Já quando o assunto é “phishing”, a prática de enganar o internauta para obter dados pessoais como senhas e números de cartão de crédito, ainda vivemos em um mundo bem perigoso. De supostos e-mails de sites de fofocas (Figura 3) a cartões virtuais de fãs anônimos e apaixonados (Figura 4), passando por ofertas de passagens aéreas (Figura 5) e até, pasmem, dicas de segurança (Figura 6), nosso e-mail vive cheio dessas arapucas virtuais – todas esperando avidamente por um clique desavisado.

E foi exatamente o que fizemos: tratamos de clicar em todos os links dos e-mails suspeitos (sexta lição). Como reconhecê-los? Basta reparar no endereço para onde aponta o link, exibido no rodapé da página quando passamos o mouse sobre ele. Nos exemplos acima, todos os links eram para arquivos executáveis (.exe), um deles hospedado num site russo e outros dois, no mesmo site americano. Para nossa decepção, a maioria dos sites já havia sido retirada do ar.

Dos dez links suspeitos em que clicamos, o único que funcionou foi o de um cartão de amor supostamente enviado por uma tal de Gabriela, do Terra (Figura 7). Este linkava para um arquivo chamado extrato.scr (extensão que, assim como o .exe, .pif, .com, .vbs e outras mais, denota arquivos potencialmente perigosos) sobre o qual o Windows rapidamente tratou de nos alertar (Figura 8). Como a sétima lição é ignorar os alertas de segurança, mandamos executar assim mesmo.

Não se pode nem dizer que dá para clicar sem querer numa coisa dessas, pois, logo em seguida, recebemos um segundo alerta, desta vez do Internet Explorer (Figura 9). E, mesmo sabendo que o arquivo não tinha uma assinatura digital válida, declaramos ter certeza de que queríamos executá-lo! Resultado aparente? Nenhum! Uma mensagem de erro avisou que o programa não era compatível com aquela (sem especificar qual) versão do Windows. Sob-medida para os incautos acharem que só por isso não viram a mensagem da apaixonada Gabriela e não suspeitarem da besteira que fizeram.

Tudo pode ser usado contra você

Será que não aconteceu nada? Neste caso, foi fácil descobrir que sim: apertamos CTRL+ALT+DEL para abrir o gerenciador de tarefas do Windows, clicamos na aba “Processos” e lá estava, em meio aos programas de verdade, nosso amigo extrato.scr, ainda carregado na memória (Figura 10). Só não se deixe levar por isso: pragas mais desenvolvidas se escondem nas entranhas do sistema, sem deixar essas pistas.

Certos de estarmos contaminados, precisávamos, então, descobrir quais seriam as conseqüências de nossos atos. Acessamos, então, o site de um grande banco no qual não possuímos conta e encontramos uma página de login totalmente diferente da real (Figura 11). Oitava lição: em caso de suspeita de contaminação, visite sites que exigem senhas. (Agora falando sério: este é o momento em que a nossa brincadeira ficou perigosa – depois de rodar o programa suspeito, qualquer coisa que você fizer no computador, de abrir e-mails a acessar o Orkut, pode ter conseqüências graves)

Digitamos um número qualquer nos campos de agência e conta e, curiosamente, o “banco” aceitou! Na dúvida, faça isso... como os programas espiões não conseguem validar seus dados, eles fingem aceitar qualquer coisa para você continuar digitando. Em seguida, um teclado virtual para lá de tosco (as habilidades gráficas e ortográficas dos espertalhões que fazem esses programas quase sempre deixam a desejar) pediu a senha da conta (Figura 12).

Novamente, digitamos qualquer coisa e, desta vez, fomos orientados a digitar novamente (para o ladrãozinho saber quais dos digitos atribuídos a cada botão formavam a senha). OK. A nona lição pode ser digitar mais de uma vez uma senha que você sabe que está correta, para ter certeza de que ela será roubada. Depois, ainda tivemos que informar nossa data de nascimento e a assinatura eletrônica (Figura 13) – tudo inventado e devidamente aceito, claro.

Feito tudo isso, é óbvio que não teríamos acesso à tal conta corrente, mas os dados foram todos enviados para o estelionatário (se é que ele não estava entre os presos da semana anterior). O programa, então, dá uma mensagem de erro qualquer e some da memória, para que não suspeitássemos de nada e resolvessemos alertar o banco. Como nunca se sabe o que ele pode ter deixado para trás, porém, só usaremos este computador para coisas sérias novamente depois de reformatar o HD e instalar o Windows do zero. Décima lição: confiar em um computador que foi vítima de uma praga virtual.

Newsletter

Notícias Especiais

Útimas notícias

Tv Wnews

duração: 2:63   

Conheça o Samsung Scrapy

Com teclado QWERTY e custo médio, Scrapy é ideal para o público jovem, fã de mensagens instantâneas e redes sociais

Podcast

Biometria é aposta de bancos para reforçar a segurança.