A monetização é o processo de transformar algo em dinheiro. Na Internet, quase todos os sites populares monetizam ou ganham dinheiro de uma ou várias maneiras: com propagandas, vendendo informação de usuários como a geolocalização e outros dados obtidos através dos cookies do browser, redirecionando usuários a outros sites por uma determinada quantidade de dinheiro a cada redirecionamento, entre outras. Nesse post explicaremos detalhadamente as formas lícitas de monetização, as áreas cinzentas e como os cibercriminosos se aproveitam de todo esse processo.

A maioria dos sites que atualmente estão entre os mais populares no Brasil começaram como grandes ideias e a obtenção de dinheiro não era a prioridade. O Facebook, muitos anos atrás, era muito parecido ao que é hoje...porém não tinha a assustadora quantidade de publicidade que vemos cada vez que clicamos – qualquer coisa.

Já o Youtube conta com uma coleção incrível de vídeos musicais, de bloopers, e tutoriais de como fazer praticamente qualquer coisa: desde como programar utilizando a linguagem C++ até como abrir um cadeado com um clip de metal. Porém, como a maioria dos usuários já devem ter notado, muitas vezes temos que assistir pelo menos 5 segundos de propaganda antes de poder ver um vídeo. E as vezes a propaganda passa no meio do clipe!

Pois bem, essas são forma lícitas (embora nem sempre agradáveis para o usuário) de monetizar, ou seja; o conteúdo desejado é oferecido, mas nem sempre de forma gratuita. Por outro lado, sabemos que existem formas ilícitas de atacar esse processo através de malvertising, uma prática utilizada por atacantes que colocam malware em publicidade.

A área cinzenta é o adware, que são os programas que embora seja algo considerado “potencialmente não desejados” em alguns casos, não causa danos ao usuário nem perda de dinheiro, já que simplesmente faz com que o usuário faça o download e/ou veja publicidade que se outra forma não veria.

Agora que conhecemos as práticas comuns de monetização, vejamos as novas formas maliciosas de fazê-lo na Deep Web:

Coleta de PII (Personal Identifiable Information)

O processo de coletar informação pessoal nas redes sociais costumava ser algo simples para os atacantes: era só visitar os perfis de usuários, dos seus amigos e dos amigos dos amigos que já era o suficiente para coletar informação o bastante, para adivinhar dados como o nome de usuário, senha e respostas para as perguntas de segurança (nome da mãe ou do animal de estimação, por exemplo).

Com as novas medidas de segurança nas redes sociais, como o dinossauro azul do Facebook que oferece dicas para proteger melhor o perfil, os atacantes foram obrigados a melhorar as suas táticas.

Um atacante que utiliza a rede TOR para navegar na Deep Web anonimamente pode facilmente encontrar outros atacantes que oferecem perfis completos de pessoas, com dados que vão desde o nome, sobrenome, data de nascimento até o nome de usuário e a senha do PayPal, número de telefone e de cartões de crédito (com códigos de segurança já incluídos)

Roubo de Configurações de métodos de pagamento em redes sociais

Atualmente é possível encontrar software desenvolvidos especificamente para roubar credenciais de praticamente todos os serviços mais conhecidos, como o Facebook, Twitter, Linkedin, Gmail entre outros. Esse tipo de software ilegal normalmente custa entre 200 e 600 dólares, mas os atacantes normalmente oferecem um “free trial” (amostra grátis) para provar que funciona, e as formas de pagamento podem ser desde bitcoins até transferências através do Western Union. Eles até oferecem garantia de devolução do dinheiro se o “cliente” não está satisfeito.

Agora, o que os atacantes fazem com essa informação?

O motivo para, por exemplo, acessar o perfil de uma vítima, seria poder ter acesso as configurações, onde é possível visualizar e roubar informação financeira associada a esse perfil.

Compra de páginas com fãs reais

As páginas que contam com muitos seguidores reais são ativos importantes para empresas legítimas e para cibercriminosos. A quantidade de fãs e toda a informação pessoal disponibilizada quando usuários de redes sociais se associam a uma página faz com que ataques direcionados possam ser elaborados e enviados aos membros dessa página. Não é incomum encontrar atacantes dispostos a pagar para comprar páginas com seguidores, para poder, por exemplo, criar novos ataques de phishing com uma alta taxa de sucesso, já que os costumes e preferências dos usuários ficam expostos e podem ser explorados pelos criminosos.

Então, o que podemos fazer?

A maioria dos sites mais acessados oferecem formas mais seguras para o acesso de seus usuários, vejamos o que podemos fazer para mitigar os riscos descritos até aqui:

  • Utilizar duplo fator de autenticação (já oferecido pela maioria dos sites que mencionamos nesse post, como o Facebook, Twitter e agora também o iCloud). Se um atacante consegue adivinhar o nome de usuário e a senha, mesmo assim não pode acessar sem una OTP (senha descartável)
  • Utilizar senhas fortes que não possam ser adivinhadas facilmente
  • Ajustar as configurações de segurança dos serviços que utilizamos
  • Utilizar um software de segurança que tenha a funcionalidade de analisar o tráfego de rede, procurando atividades suspeitas
  • Criptografar todos los meios de acesso à Internet, não só o computador, mas também os dispositivos móveis

Se todos seguem esses passos simples, poderão aproveitar a tecnologia de forma mais segura, mitigando os riscos resultantes dessas novas tendências.