REDES SOCIAIS
WEB 2.0 SECURITY AND PRIVACY: FOCUS ON SOCIAL NETWORKS
5. ATAQUES NAS REDES SOCIAIS
Cada atacante tem suas próprias motivações. Podem tentar obter ganhos financeiros, uma vez que os perfis têm valor comercial ou obter e divulgar informações de outros utilizadores. Sendo que alguns destes ataques recorrem a técnicas de engenharia social, são de elevado grau de dificuldade a sua proteção e antecipação. Mesmo que seja um sistema dito seguro, se os seus utilizadores usarem como
material de identificação passwords como 12345, primeiro nome ou se
as deixam abandonadas, de pouco vale todo o investimento e cuidado
5.1. ENGENHARIA SOCIAL / EXPLORAÇÃO DE CONFIANÇA
Um ataque de engenharia social tenta obter dados de forma ilegítima. São exemplos os utilizadores mal-intencionados que tentam obter informação secreta de pessoas ou organizações. Normalmente o atacante faz-se passar por uma pessoa que não é, assumindo assim outra identidade. São exploradas falhas nas pessoas, essencialmente na observação comportamental e na confiança que o atacante
conquista (de Melo et al., 2011).
5.2. ROUBO DE HISTÓRICO
O objetivo aqui é roubar o histórico ao utilizador que visita um
determinado site malicioso. Através desta técnica é possível saber que
sites têm visitado. Um ataque de roubo de histórico com 90.000 URLs
pode ser feito em menos de 20 segundos. O ataque caracteriza-se por
enviar os URLs para o browser do utilizador, forçando-o a fazer a
verificação para cada URL. Deste modo é possível reconstituir o
histórico da vítima e a sua interação na Web (Wondracek et al., 2010).
5.3. ROUBO DE IDENTIDADE
Um roubo de identidade acontece quando uma pessoa obtém informação pessoal de forma não legítima. Caso de número de cartões de crédito ou moradas através de um roubo ou escuta telefónica. Nas redes sociais, para ser considerado um roubo, basta que o utilizador não partilhe estas informações de forma deliberada e pública, mas que as mesmas sejam adquiridas sem permissão. No entanto, é possível, pelo cruzamento de informações, encontrar dados eventualmente privados. O roubo de identidades é um dos maiores problemas nas redes sociais, sendo que muitos países já dispõem de legislação
específica para o caso (Williams et al., 2009).
5.4. ASSÉDIO E PERSEGUIÇÃO CIBERNÉTICA
Estes ataques caracterizam-se quase sempre por um ou mais
perseguidores que incomodam e seguem via Web a sua vítima. É ainda
perseguição presencial à vítima e com possibilidades de contacto físico
no caso de o atacante conseguir obter a sua localização (Williams et al.,
2009).
5.5.
BAD MOUTHING ATTACK
Se o site basear a sua rede de relações num sistema de
recomendações/reputação é possível que existam ataques desonestos que tenham como objetivo afetar o perfil público de determinado utilizador. Existem diversas formas de contornar e interferir no bom
funcionamento de um sistema de reputação (Sun et al., 2006).
5.6.
ON-OFF ATTACK
Os utilizadores caracterizam-se por ações boas e más. O atacante espera estar protegido pelas boas ações/comportamentos na rede social. Uma das formas de prevenir este ataque é atribuir maior peso às más ações do que às boas. Assim, dependendo da gravidade das más ações, um bom perfil em termos de reputação pode ser
destruído (Sun et al., 2006).
5.7.
CONFLICTING BEHAVIOR ATTACK
Este tipo de comportamentos pode ser exemplificado recorrendo aos fóruns. A pessoa x pode ter um excelente comportamento, colaboração e desempenho na área de programação e ao mesmo tempo criar anticorpos na secção geral do fórum. Tem comportamentos distintos em secções distintas. Pode-se criar problemas na comunidade, nomeadamente um conflito entre grupos distintos (Sun et al., 2006).
5.8.
Sybil Attack, Newcomer Attack
e Identidades FalsasSe um node (utilizador) pode criar várias identidades falsas para
as difundir no sistema, estamos perante a ocorrência de ataques Sybil.
Se o utilizador pode ainda criar/registar novos utilizadores facilmente,
reputação de um node e, de seguida, criar outro com historial limpo. Como consequência, existe uma redução acentuada na confiança do sistema por parte dos utilizadores se este for um ataque vulgar.
Desafios computacionais como o captcha são uma forma de tentar
prevenir estes ataques. Por sua vez, podem trazer dificuldade acrescida às pessoas aquando do seu preenchimento devido a dificuldades de perceção ou cognitivas.
As identidades falsas dizem respeito à criação de forma deliberada de perfis falsos que não correspondem ao dono real. Os objetivos podem ser denegrir a imagem de terceiros ou ter atenção
mediática (Sun et al, 2006; Yu et al., 2006).
5.9. ROUBO DE CREDENCIAIS
O objetivo é defraudar ou enganar outros utilizadores que pertencem à mesma rede social. A forma mais comum de o realizar é
através da obtenção das informações de login do utilizador. Para isso
são utlizados sistemas de keylogger, no qual o objetivo é capturar o
que for digitado na máquina em questão, ou de spyware, em que um
programa instalado recolhe essas informações e as envia para o meio
externo sem o conhecimento ou consentimento do utilizador.A captura
de informações de forma transparente também é possível analisando o
tráfego de rede (packet sniffing) entre máquina e servidores da rede
social. Isto se não for utilizada uma ligação segura para mediar a
comunicação entre browser e servidor (de Melo et al, 2011). Ao roubar
os IDs de sessão de um dado utilizador, isto equivale ao roubo da sua
senha para o site em questão. Podemos testar um ataque de hijacking
de sessão em HTTP do Twitter, Facebook ou Windows Live utilizando
um add-on de sniffing. Por exemplo, o Firesheep13 para Firefox ou
FaceNiff14 para Android. Numa rede que utilize o mesmo IP para todos os computadores é possível capturar a sessão de outros utilizadores
que se liguem às redes sociais ou outros sites sem ligação segura.
Deste modo, podemos assumir o controlo dos seus perfis. Nesta situação podem daí advir graves problemas ao nível da privacidade e concretização de ações não consentidas.
13http://codebutler.github.com/firesheep/ 14http://faceniff.ponury.net/
5.10.
PHISHING
O phishing caracteriza-se por utilizar várias das técnicas já descritas, tais como roubo de identidade e ataque baseado na confiança. Este é um ataque com consequências imediatas e que depende da participação do utilizador. Os dados são obtidos mediante as respostas das pessoas atingidas pelo ataque, os quais são por
norma difundidos sobre forma de spam (de Melo et al., 2011).
O seguinte exemplo demonstra um possível redireccionamento
dos utilizadores de um site legítimo para um de phishing:
http://site.com/redirect?url=evil.com
5.11.
CRAWLING E APLICAÇÕES DA REDES SOCIAIS /
SPAM / SPYWARE / TROJANS
Existem inúmeras maneiras de violar a privacidade dos
utilizadores. Como evidenciado por Wondracek et al., (2010), estes
autores conseguiram fazer crawled a mais de 42.3 milhões de
membros de 31.853 grupos do Facebook no período de 23 dias,
recorrendo a dois computadores. Além dos IDs dos grupos, um
atacante precisa de obter os IDs dos membros dos grupos. Esse
estudo utiliza informações de uma rede social única e combina-as com o histórico de navegação do utilizador para identificar as pessoas
(Wondracek et al., 2010).
Outra forma de violar a privacidade dos utilizadores é através de aplicações acessórias às redes sociais. Das cerca de 150 aplicações mais populares do Facebook, apenas 14 necessitam para o seu funcionamento de informação pessoal. Isto significa que mais de 90% das aplicações têm acesso desnecessário a informação pessoal dos utilizadores. (Felt e Evans, 2008).