Mas afinal, o que é essa coisa tão problemática?
São os usuários, claro!
Na medida em que a cibersegurança vai avançando e ficando mais potente, muitos cibercriminosos têm mais dificuldade para encontrar o ponto fraco de um determinado software. É por isso que eles tentam, cada vez mais, tirar vantagem do fator humano para roubar dados super valiosos. E-mails phishing tentam se aproveitar do medo, malwares escondidos em sites de torrent podem se aproveitar da avareza e outros golpistas podem tentar usar sua compaixão - e até solidão - contra você.
Mas no que se refere ao modesto drive USB - os famosos pen drives -, a principal arma dos cibercriminosos é a sua curiosidade.
Curiosidades sobre a curiosidade
De acordo com o astrofísico e escritor Mario Livio, há dois tipos básicos de curiosidade: a curiosidade perceptual, que se refere à descoberta de algo surpreendente (e, não raro, também desagradável) e provoca uma necessidade incontrolável de se descobrir mais sobre aquilo; e a curiosidade epistêmica, que se refere à descoberta de algo porque se acredita que aquilo pode ser prazeroso e potencialmente levar a alguma premiação. Ambas têm um papel vital em nossa evolução biológica e tecnológica.
Então, você pode sentir uma curiosidade perceptual ao ler as manchetes sensacionalistas em sites de notícia sobre algum desastre natural. Isso pode não te deixar “feliz”, mas te deixaria incomodado se não descobrisse mais sobre o assunto. Por outro lado, a curiosidade epistêmica pode ser despertada ao receber um e-mail de um(a) amigo(a) com um anexo chamado “CARTA-DE-AMOR-PARA-VOCÊ”, principalmente se o remetente for uma pessoa bem atraente.
Aliás, foi exatamente assim que o vírus ILOVEYOU se espalhou durante o ano 2000, causando prejuízos estimados entre 5,5 e 8,7 bilhões de dólares no mundo todo.
E isso está longe de ser um caso isolado. De pop-ups dizendo que você ganhou um sorteio online a estranhos se passando por velhos amigos em redes sociais, cibercriminosos têm se aproveitado, desde os primórdios do e-mail, da curiosidade epidêmica para levar as pessoas a clicarem em links e baixarem arquivos. Na verdade, algumas das formas mais bem-sucedidas de entrega de vírus são e-mails vazios com links e arquivos. As pessoas são tão curiosas, que elas simplesmente baixam os anexos, facilitando muito a vida do cibercriminoso.
Cibercriminosos são tão bons em usar a curiosidade contra os próprios usuários, que eles têm feito isso para implementar os maiores golpes da década.
E é isso que nos leva ao pen drive.
USB - Ultimate Security Breach (“Violação de Segurança Definitiva”)
O que você faria se encontrasse um dispositivo USB - que na verdade significa Universal Serial Bus (porta universal, em tradução livre) - também conhecido no Brasil pelo nome de pen drive -, no chão?
Se você for como a maioria das pessoas, talvez a curiosidade fale mais alto, principalmente se o dispositivo tiver uma etiqueta com uma mensagem tentadora, como “confidencial”, “pornô” ou “não abra”. Nesse caso, na próxima vez em que você usar seu PC (seja no trabalho ou em casa, dependendo da etiqueta), você conecta o pen drive na máquina. Talvez você faça isso até mesmo altruisticamente, esperando encontrar alguma informação para devolver o dispositivo a seu dono, ou mesmo por pura curiosidade, para saber o que há ali dentro. Mas no provável caso de um pen drive ser plantado por um cibercriminoso, suas intenções não valerão nada: elas só irão ajudar a infectar o seu aparelho.
Há duas formas como um pen drive pode descarregar sua carga. A primeira é encarando o conteúdo do dispositivo como se fosse um e-mail suspeito: eles trazem um arquivo infectado e depende de você clicar e executar o arquivo para infectar seu computador. Nesse caso, você pode conectar o dispositivo no seu PC ou Mac e fazer uma verificação por vírus antes de abrir qualquer coisa, o que seria a segunda melhor coisa que você poderia fazer... Ou não conectá-lo de jeito nenhum.
Mas o problema com dispositivos USB é que, na maioria das vezes, seus fabricantes não protegem os firmwares. Isso significa que cibercriminosos espertos podem reprogramá-los para se tornarem mais eficientes e perigosos. O jeito mais comum de fazer isso é reprogramando o pen drive para subir automaticamente um malware em qualquer dispositivo que estiver conectado, mesmo antes de ver o que tem ali dentro. Nesses casos, o risco começa no momento em que se insere o dispositivo.
“Estou dentro”
Mas se você acha que cibercriminosos usam apenas dispositivos USB para espalhar malwares, você está tremendamente enganado. Esses magos da tecnologia criaram, até onde se sabe, pelo menos 29 formas diferentes de usar drives USB para fazer diferentes coisas com o seu equipamento e seus dados.
Por exemplo, um ataque USB pode:
-
Tomar o controle do seu teclado e inserir comandos predeterminados, forçando seu PC a executar tarefas que você não quer
-
Acessar seu teclado e enviar os dados a servidores remotos
-
Implantar hardware, como um receptor de rádio
-
Alterar ou manipular seus arquivos
-
Infiltrar-se na sua webcam e filmar você
-
Transmitir suas atividades por emissões eletromagnéticas acessíveis publicamente
-
Destruir permanentemente seu dispositivo com uma descarga elétrica potente
E esses são apenas alguns exemplos de uma lista que não para de crescer e que se torna cada vez mais impressionante, para não dizer assustadora, na medida em que o mercado desenvolve novos dispositivos e softwares USB. Mas você pode estar pensando: não é só porque isso é possível que vai acontecer, certo? Será que existe algum cibercriminoso por aí escondendo pen drives maliciosos como se fossem ovos de páscoa?
Você ficaria surpreso com a resposta.
Carregando o perigo
Você acaba de desembarcar no aeroporto de Guarulhos (GRU) e está extremamente cansado. Você está com sede, suas pernas estão inchadas e, pior de tudo, seu smartphone está com a bateria no limite. Felizmente, há alguns pontos de recarregamento espalhados pelos terminais para que você possa conectar seu aparelho e recarregá-lo um pouco antes de continuar sua jornada ao destino final.
E quando você finalmente conecta seu smartphone, ooops, aquela estação de recarga USB foi hackeada e agora seu smartphone está infectado.
Outro exemplo: você vai para o trabalho um dia e, no caminho, sentado no banco, você encontra um pen drive. Você pega o dispositivo, talvez pensando que é de algum colega do trabalho, mas quando o insere em sua máquina, recebe uma mensagem de que seu teste de cibersegurança falhou, o que pode ser a melhor coisa a acontecer diante das circunstâncias.
Não apenas porque essas coisas simplesmente acontecem, elas realmente funcionam muito bem quando dão certo. Enquanto não há números consistentes sobre a quantidade anual de ataques desse tipo, um estudo de 2016 mostrou que, de 297 pen drives infectados espalhados ao redor do campus de uma universidade, 98% deles foram encontrados e 45% conectados em um PC. Isso representa um fator de sucesso de quase 50%, comparado com a estimativa de 0,5% de pessoas que caem em golpes de e-mail phishing (o vetor de ataque mais comum nos dias de hoje). Isso e impressionante.
Então, enquanto as probabilidades de um cibercriminoso espalhar dispositivos de USB no seu caminho podem ser pequenas, caso você trabalhe em uma grande empresa ou para o governo, fique atento: provavelmente você corre mais risco de se deparar com um pen drive jogado por aí do que a maioria das pessoas.
Fique offline, fique seguro
Isso levanta a questão: como se proteger contra pen drives infectados?
Bem, é simples: não conecte dispositivos USB que você encontra por aí. Caso ache um bem na porta do seu trabalho, leve-o para o time de TI ou avise seu chefe. Há chances de existirem mais desses dispositivos espalhados e talvez nem todos os seus colegas saibam tanto sobre tecnologia quanto você. Se você encontrar um deles em algum local público, faça um favor ao mundo e o jogue no lixo para proteger a você mesmo e outras pessoas de serem infectadas por malwares. Ou até mesmo para garantir que a pessoa que perdeu o dispositivo não tenha suas informações violadas por algum desconhecido. E caso tenha que recarregar seu smartphone em locais públicos, use seu carregador. Qualquer outra coisa é correr um risco desnecessário.
A curiosidade pode nos levar a descobrir algumas coisas incríveis, mas não deixe que isso faça com que você corra um grande risco de segurança.