Muita gente se pergunta se deveria se preocupar com o seu site sendo atacado. É comum ouvirmos dizer que “meu site é pequeno, os crackers não vão perder tempo tentando invadir meu sistema”. Na verdade não é bem assim. Os cibercriminosos têm bastante motivos para invadir seu site.

Por que a segurança digital deve ser levada em consideração?

Todo site vive num computador, afinal de contas. Pode ser um simples servidor compartilhado ou uma infraestrutura de cloud computing robusta, mas independente de como você hospeda seu site, ele tem recursos que podem ser valiosos para os crackers.

Minerar moedas virtuais

Uma das práticas mais recentes é utilizar o poder de processamento dos servidores de sites invadidos para minerar moedas virtuais (ex.: Bitcoins). Somente um servidor não faz diferença, mas se você considerar uma rede de bots invadindo milhares de computadores, o poder de mineração se torna significativo.

Usar o IP do seu servidor para enviar SPAM

Aqui uma coisa que pouca gente sabe: o IP é muito importante. Serviços que enviam emails em massa (MailChimp, SalesForce etc.) tem uma preocupação enorme com a reputação do IP (o endereço eletrônico do seu site).

Os cibercriminosos estão constantemente buscando IPs que não estejam em listas de bloqueio (blacklists) para continuar enviando SPAMs, e por isso sites de qualquer tamanho são alvos.

Anúncios e redirecionamentos

O seu site pode acabar virando uma vitrine para o invasor. Uma vez dentro do seu sistema, ele pode redirecionar suas páginas. Dessa forma, quando um usuário clicar em algum link no seu site, vai para a página que o cracker deseja. Isso gera tráfego e visualização de anúncios no site dele.

Algumas técnicas também exibem anúncios direto no seu site. Dessa forma o seu usuário continua navegando no seu site, mas visualizando anúncios exibidos pelo invasor, gerando tráfego e monetizando os anúncios dele.

Dados de cartão de crédito

Este é o maior medo de quem tem um site. Ser invadido e os dados dos usuários serem expostos. Geralmente os dados de pagamento são os mais procurados (e também os mais protegidos). Mas mesmo que os crackers não consigam dados de cartão de crédito eles ainda podem se valer de…

Dados gerais e senhas

Nos últimos anos os dados (isso mesmo, os seus dados) passaram a ser um dos commodities mais valiosos do mundo. Nem precisa ser os seus dados de cartão de crédito. Os crackers usam apenas o seu endereço de email ou senhas antigas para tentar aplicar golpes.

É comum receber emails dizendo “Sua senha é AmoMeuCachorro”. Mesmo que não seja mais sua senha atual, você acha que foi crackeado e acaba caindo em golpes ou enviando dinheiro para o malfeitor, e para isso bastou ele saber seu email e uma senha antiga, que ele conseguiu invadindo um site qualquer. Neste exemplo fica claro que não somente dados de cartão de crédito que importam.

Bancos de senhas

Os crackers constroem ao longo dos anos um banco de senhas. Eles usam essas listas para realizar ataques de força bruta e tentar invadir contas em sites e e-mails.

Nesse método são usados:

  • Combinações comuns (123456)
  • Palavras comuns do dicionário (cachorro)
  • Senhas roubadas de sites
  • Combinações aleatórias (3Z&93MC!_H)

Uma dica para ajudar contra invasões: 2FA

“2-Factor  Authentication” (ou “2FA”) é simplesmente um método de autenticação em 2 etapas. Em alguns lugares esse método aparece com outros nomes, mas a ideia é a mesma: quando o usuário faz login na plataforma, ele precisa autenticar de uma segunda forma.

Pode ser recebendo um SMS no celular, um código no email, uma ligação com o código, mas fato é que isso diminui as chances de ataques. Mesmo que o invasor acesse com a senha certa, não vai conseguir entrar de fato na conta do usuário pois somente quem vai saber o segundo fator de autenticação é o usuário real.

Conclusão

Sites de todos os tamanhos são alvos para crackers, e isso é algo que deve permanecer assim por um bom tempo. O lado bom é que mesmo com tanta persistência, quando o desenvolvedor e o usuário tomam os mínimos cuidados, as chances de serem invadidos caem drasticamente.

Atenção pois nenhum método é 100% infalível. As maiores empresas do mundo gastam todos os anos valores expressivos para manter a segurança e atualizar suas tecnologias contra os cibercriminosos, e as empresas menores devem seguir este exemplo.