Tabjacking: o novo truque dos crackers para roubar dados na web
Ataques virtuais são muito comuns atualmente, estar antenado com o assunto é primordial para evitar incômodos. Fique ligado na última novidade dos crackers para roubar suas informações, o Tabjacking.
É inevitável correr risco de ataques virtuais enquanto navegamos pela internet, isso todo mundo já sabe. Além de instalar programas para a defesa do computador, como antivírus e anti-spywares, é preciso estar atento com as ameaças criadas por pessoas mal-intencionadas. A cautela é a melhor precaução contra pragas digitais.
Entretanto, esta missão não é tão fácil quanto parece. Os crackers não são nada bobos e têm inovado na maneira de roubar informações na web. A última novidade desses meliantes é o chamado Tabjacking ou Tabnabbing, uma forma de phishing camuflado como páginas conhecidas.
Confira neste artigo tudo sobre a mais nova ameaça na internet e fique atento para não ser fisgado neste engenhoso truque.
O que é phishing?
O Tabjacking é um tipo de phishing e para entender como ele funciona é preciso entender claramente o que é esse tipo de crime virtual. Sucintamente, o phishing (conceito que no inglês referencia o termo fishing, uma tradução literal de pescaria) é uma fraude realizada na internet com o intuito de adquirir impropriamente dados e informações pessoais.
Esta infração é caracterizada quando uma pessoa (o cracker) se faz passar por uma empresa ou outra pessoa e solicita suas informações sigilosas, como senha e número de cartões de crédito ou qualquer outra identidade confidencial. Os ataques mais comuns acontecem através de emails, spams, redes sociais ou mensageiros instantâneos e visam, principalmente, a obtenção de dados financeiros.
Vamos a um exemplo para deixar a definição mais explícita: digamos que você seja cliente do (imaginário) banco BaixakiBank, possui conta e saldo ativos. Ao abrir sua caixa de entrada de email existe uma mensagem do seu banco muito estranha, com um endereço de origem inusitado e solicitando que você clique em um link para atualizar seu cadastro, caso contrário sua conta será cancelada.
Assustado com o informe, sem balbuciar, você clica e preenche o formulário. Não tem mais volta, você caiu na isca dos farsantes. Esse é um exemplo clássico de phishing. Outro caso muito famoso foi o do Orkut Ouro, no começo deste ano. Clique aqui e confira mais detalhes da brincadeira de mau gosto. Quer saber mais sobre o assunto? Acesse o artigo “O que é Phishing?” para obter mais informações e este aqui para ficar por dentro dos golpes cibernéticos mais aplicados.
Cuidado! O novo truque dos crackers
Os crackers, realmente, não têm nada de bobos. Vendo que os tradicionais golpes não retornavam mais como antigamente, eles resolveram inventar uma nova maneira de aplicar suas fraudes, desta vez muito mais planejada e elaborada. O novo estilo de ataque tem sido chamado de Tabjacking, seu diferencial é a forma “camuflada” de atuação.
Como funciona
Diferentemente dos sistemas de phishing convencionais, a novidade criminosa usa páginas falsas, muito semelhantes com os serviços verídicos, para ludibriar o usuário e conseguir dados confidenciais. O elaborado sistema de roubo de informações utiliza uma característica muito comum aos navegadores atualmente, as abas múltiplas.
Um exemplo muito bacana e esclarecedor foi apresentado por Aza Raskin - um dos líderes de criação na Mozilla Corporation -, confira no vídeo seguinte (em inglês) uma explicação detalhada de como a inovação mal-intencionada atua:
Como pode-se observar, o Gmail é imitado de maneira bem convincente. Enquanto o internauta navega despreocupado, o Tabjacking entra em ação através de links ou pop-ups em páginas populares da web e abre na surdina uma nova aba no browser. Eis que está o diferencial deste tipo de phishing, pois a janela aberta tem o visual, título e ícone de um serviço comum, neste caso o Gmail.
Quando o usuário se dá conta das várias abas abertas lá está seu serviço de email, por exemplo, exibindo a página inicial e solicitando o login. É muito comum que por impulso a pessoa insira seus dados e confirme a operação. O phishing, em mais uma jogada inteligente dos cackers, redireciona as informações adquiridas para o serviço do Gmail e realiza o login normalmente, ou seja, o usuário nem percebeu que foi fisgado.
Pode parecer que cair nessa fraude seja coisa de iniciantes, não é mesmo? Mas dê uma olhada na imagem abaixo e veja se o visual da farsa não é muito parecido com o serviço original. Perceba o título da página e o ícone idênticos com os do Gmail e os aspectos visuais semelhantes. O flagra acontece se você olhar para o endereço da página (o endereço apresentado é do site de Aza Raskin, que exibiu esse teste, não se trata de um Tabjacking operando).
Previna-se
As ameaças virtuais estão cada vez mais perspicazes e presentes no nosso dia a dia. Portanto, estar atento com todos os nossos passos no mundo digital é fundamental para evitar inconvenientes e prejuízos. Seguem algumas dicas para você não cair nas armadilhas da web:
1º - Verifique a veracidade dos emitentes de qualquer tipo de mensagem, seja por email, rede social ou mensageiro instantâneo. Pergunte ao seu amigo se realmente foi ele que mandou aquele link ou para o gerente do seu banco sobre qualquer notificação de problema com sua conta, por exemplo.
2º - Não abra mensagens que levantem suspeitas, com emitentes desconhecidos ou serviços em que você não está cadastrado.
3º - Não acredite em tudo o que recebe por email, ninguém lhe dará um milhão de reais para clicar em um link.
4º - Caso queira uma prevenção contra esse tipo de ataque, você pode instalar um anti-phishing. Por exemplo: Phishing Detector, PhishGuard for Firefox, Phishing Doctor e McAfee SiteAdvisor Internet Explorer.
5º - Mantenha os softwares de defesa da máquina (antivírus, anti-spyware e anti-phishing) e o navegador sempre atualizados.
6º - Em serviços que requisitem login, sempre verifique se o endereço da página é autêntico. Os cadeados exibidos na Barra de endereços ou no canto inferior do browser são uma simples e prática maneira de realizar essa verificação.
Conhece outra maneira inovadora de ataques virtuais? Tem alguma dica para evitar ser fisgado pelos criminosos da web? Deixe seu comentário.
