O Google e pesquisadores da Universidade da Califórnia em Berkeley se uniram para estudar como as contas de usuários são comprometidas, jogando luz sobre como a empresa descobre novas maneiras de combater o roubo de senhas.

• Como um rapaz de 22 anos descobriu sozinho uma das piores falhas de segurança da história
• Skygofree: praga ativa o microfone no Android e espiona o WhatsApp

“O ciclo de vida de assalto (das contas) começa com o roubo da senha”, disse o engenheiro de segurança do Google Grzegorz Milka, durante a conferência de cibersegurança Enigma, em Santa Clara, na Califórnia, nesta quarta-feira (17).

Os hackers usam várias técnicas para pegar as senhas, incluindo obtendo-as de violações de dados ou as coletando com keyloggers, malwares e esquemas de phishing, explicou Milka. Em pesquisa conduzida entre maio de 2016 e maio de 2017, a empresa encontrou 67 milhões de credenciais de contas Google em mercados clandestinos. O Google estima que cerca de 17% de seus usuários reutilizam suas senhas em várias contas. Logo, se outro serviço é comprometido, fica fácil para os cibercriminosos descobrirem as senhas.

“Com milhões de senhas roubadas por aí, aceitar a senha como ela está é arriscado, na melhor das hipóteses”, afirmou Milka. Idealmente, usuários conseguiriam fazer autenticação de dois fatores em suas contas para se protegerem contra o roubo de senhas. Mas pouca gente faz isso— o Google estima que menos de 10% de seus usuários ativos têm a autenticação de dois fatores habilitada (embora esse número seja assustadoramente baixo, vale lembrar que 10% da base de usuários do Google ainda representam milhões de pessoas).

Sem a proteção da autenticação de dois fatores, o Google precisa mergulhar mais fundo nos dados de conta de email dos usuários para proteger suas contas.

Em um momento ou outro, você provavelmente recebeu um email do Google alertando que sua conta havia sido acessada de uma nova localização, mas os hackers já se atualizaram e vão tentar colher um endereço IP ou dados de localização para fingir um login que pareça natural de um lugar que você frequenta, explicou Milka. Pesquisadores descobriram que 83% dos kits de phishing visavam roubar não apenas as credenciais, mas os dados de localização também.

Alguns kits de phishing também tentaram colher números de telefone — outro dado que o Google, às vezes, usa para ajudar a autenticar um login. Capturar números de telefone pode ser útil para os hackers, mesmo que o usuário tenha a autenticação de dois fatores ligada. Em alguns casos visados, os hackers convenceram empresas de telefone a transferir o número de uma vítima para um novo chip, permitindo-lhes interceptar mensagens de texto de autenticação de dois fatores.

O Google também procura na atividade da conta sinais de comportamento malicioso. Os infratores normalmente usam um padrão comum, disse Milka. Eles frequentemente deletam emails do Google alertando o usuário de um login suspeito, buscam a conta à procura de informações sensíveis, como fotos nuas ou informações financeiras, exportam os contatos para uso em futuros golpes, configuram filtros de caixa de entrada para esconder avisos futuros sobre invasões e enviam mais mensagens de phishing a partir da conta do usuário antes de sair dela. Nenhuma dessas ações é comum para a maioria dos usuários, afirmou Milka, e elas podem ajudar o Google a perceber que uma invasão de conta está acontecendo.

O Google às vezes traz desafios de login para usuários que não habilitam a autenticação de dois fatores, pedindo-lhes que forneçam um email de backup ou um número de telefone para verificar que eles são os verdadeiros donos da conta. A empresa também usa ferramentas como a Navegação Segura para alertar os usuários sobre links de phishing e oferece um Programa de Proteção Avançada para que usuários em risco tranquem suas contas.

“A pergunta é: por que não tornamos a autenticação de dois fatores obrigatória?”, questionou Milka. “A resposta é a usabilidade. No fim, queremos que as pessoas usem suas contas. Quantas pessoas a gente não afastaria se as forçássemos a usar uma segurança adicional?”

Imagem do topo: AP