Invasão de sites: Como e por que acontece? Como evitar?

Ter e administrar um site, além dos benefícios, também tem implicações negativas e uma das que pode trazer grandes dores de cabeça, é a questão da invasão do site.

Sim, é uma possibilidade real e que pode literalmente acontecer com qualquer um e exemplos não faltam para respaldar essa afirmação!

Mesmo que isso nunca tenha ocorrido, não significa que você está imune ou seguro.

Seja para aqueles que já foram vítimas, seja para aqueles que ainda não, hoje vamos abordar os principais fatores associados e que precauções podem ser adotadas para senão evitar, pelo menos diminuir muito as chances de acontecer.

Por que sites são invadidos?

Tomar medidas para evitar que seu site seja invadido, passa também por compreender porque os sites são invadidos.

Há alguns mitos e verdades associados com a questão. Muitos dos mitos são baseados em ideias erradas e que ganham força porque algumas vezes não se tem conhecimento dos fatores associados e replicamos motivos que ouvimos de terceiros.

É possível que seu site tenha sido invadido por um concorrente. Claro que é. Mas é improvável e, portanto, é um dos mitos a respeito.

O motivo da invasão pode ser um servidor com vulnerabilidades. Sim, também é possível, mas pouco provável também. Atualmente as boas empresas de hospedagem de sites cercam-se de mecanismos e políticas de segurança, de forma a garantir um ambiente tão seguro quanto possível.

As motivações para invasão de sites, podem ser as mais variadas, mas independente de justificativas mais específicas, podemos classificá-las basicamente em dois grandes grupos – vandalismo virtual e ganho financeiro.

Vandalismo digital

Tal qual o vandalismo físico e material, em que o autor danifica ou destrói de forma intencional bem ou propriedade alheia, na variante digital ou virtual o objetivo é semelhante, ou seja, causar algum tipo de dano ao site, sem que se tenha necessariamente uma razão justificável.

Especialmente no meio hacker, mais especificamente por parte dos crackers e de tipos como, black hat hackers, lammers, newbies ou hacktivist e que basicamente são classificações dos hackers de acordo com suas motivações, algumas vezes as invasões são feitas apenas porque são possíveis.

Sim, não é preciso que haja um motivo compreensível sob a ótica da vítima.

Se o CMS usado para criar e manter o site, tem uma vulnerabilidade, apenas comprovar que ela é explorável, pode ser razão suficientemente boa. Descobrir que há uma falha ou que a senha usada é fraca, pode bastar. Provar que um método ou técnica é eficiente, também. Quem sabe subir posições em um ranking de quem consegue mais invasões e com isso, ganhar algum status perante outros hackers. Ou até para treinar e ganhar alguma experiência.

Qualquer que seja o porquê, não importa se o seu é apenas um site pessoal ou de uma grande multinacional. Se uma oportunidade se apresentar, se for fácil e possível e envolver o seu site, ele será invadido.

É mais ou menos como um carro estacionado em uma rua qualquer. Ele pode estar lá intocado na manhã seguinte, mesmo que eventualmente você tenha esquecido de trancá-lo. Ou pode ter sido roubado, mesmo que o alarme tenha sido acionado. Depende de muitos fatores, como o momento, a oportunidade, o local e outras questões relacionadas com a casualidade.

Naturalmente quanto mais precauções adotarmos, mais difícil será para o criminoso, seja no mundo físico ou no digital.

Ganho financeiro

A invasão motivada por ganho financeiro, é mais compreensível para quem não conhece muito a respeito.

Entre as mais comuns e mais conhecidas, aparecem os sites usados para phishing, em que o invasor usa a conta para hospedar um site falso de banco ou de loja virtual, simulando um site autêntico, para roubar dados bancários, como do cartão de débito e crédito.

Outra razão comum, é armazenar malwares para download, como por exemplo, um suposto app para smartphone, escondendo um ransomware, que uma vez instalado no dispositivo da vítima, aplica criptografia em todos seus arquivos e que só são descriptografados mediante pagamento de um “resgate”, geralmente em criptomoeda.

Da mesma forma que nos casos de vandalismo digital, a lista de explicações para justificar a invasão, pode ser bastante extensa, exceto pelo fato de que nesses casos, o criminoso tem algum tipo de ganho monetário.

Como acontecem as invasões?

Essa é outra questão que vale a pena conhecer e que mais tarde ajudará na compreensão quanto aos porquês das medidas de prevenção.

Os filmes de Hollwood, ajudaram a consolidar a visão estereotipada, daquele especialista em TI (Tecnologia da Informação), sentado na frente de um terminal, digitando freneticamente e visando acessar sua máquina, um sistema da sua empresa ou o seu site. É um grande mito.

Até é possível e acontece de forma parecida, mas está longe de ser a maioria dos casos.

É muito mais fácil piratear um software caro e popular, incluir um malware e distribuir esse software para que as milhares de pessoas que o instalarem, tenham seus dispositivos comprometidos, dando ao criminoso digital acesso às suas senhas ou quem sabe controlando seu sistema operacional para realizar um ataque DDoS.

Dependendo da classe do malware instalado, o cracker pode ter um nível de controle do seu dispositivo, até maior do que você tem, porque na maioria das vezes ele tem um conhecimento técnico maior.

Mas não é só instalando software pirata que você está correndo risco. Ao usar um Wi-Fi público, ao instalar apps de origem desconhecida e mesmo alguns populares, ao se cadastrar em diversos sites / serviços e utilizar senhas fracas, ao descuidar da segurança do seu roteador Wi-Fi ou até ao ter o hábito de usar sempre as mesmas credenciais em todos os serviços na web e em um deles ocorrer o vazamento de dados.

Na hipótese de um vazamento de dados, os usuários que costumam usar sempre a mesma conta de e-mail e senha para acessar tudo, estarão com todos os respectivos serviços sob ameaça.

Portanto, cada ação que adotamos no mundo digital, deve ser cuidadosa, porque as possíveis consequências de um ou vários descuidos, podem ser graves.

No caso de um site, que é o foco da nossa conversa, há diversas formas de invasão. As mais comuns – porém não as únicas – são:

  • Acesso autenticado – o invasor acessa exatamente como o administrador, seja porque ele conseguiu usuário e senha da interface de administração ou do painel de controle, por meio de um malware no computador do usuário ou por uso de credenciais fracas (ex: admin / 123456);

  • Plataforma desatualizada – o CMS adotado ou a plataforma de desenvolvimento estão desatualizados e contém vulnerabilidades conhecidas;

  • Plugins e/ou temas desatualizados – da mesma forma que no item anterior, o CMS tem instalado plugins e/ou temas que estão desatualizados e que contém vulnerabilidades ou falhas de segurança conhecidas;

  • Falhas de programação – por falta de conhecimento específico, o programador ou web designer implanta programação e recursos – como por exemplo, um formulário – que contém falhas de programação, permitindo que o site seja invadidor pela exploração da falha;

  • Ataque de PHP / SQL injection – está geralmente associada ao item anterior, em que a falta de determinados cuidados e boas práticas de programação, bem como uso de versões antigas de linguagens de programação, permite que o invasor use técnicas de PHP / SQL injection, alterando o conteúdo do site e vulnerabilizando-o;

  • Vazamento de dados – quando dados do administrador do site são vazados e ele compartilha as mesmas credenciais de acesso (usuário e senha) entre diferentes serviços;

  • Wi-Fi público – uso de Wi-Fi público que não tem políticas de segurança rígidas, favorecendo que tanto o dispositivo de acesso possa ter sido comprometido por terceiros, como pelos acessos feitos usando a rede sem fio, terem sido interceptados;

  • Rede própria insegura – não há cuidados com a segurança do próprio roteador Wi-Fi, possibilitando que qualquer pessoa que esteja na área do sinal, ingresse na rede e tenha acesso aos dados trafegados.

Como evitar invasões?

Uma vez que você já conhece um pouco de tudo envolve os motivos das invasões e suas principais formas de ocorrer, chegou a hora de saber o que é possível fazer para evitá-las.

Antes porém, é preciso também ter em mente que em termos de segurança, garantir 100% é utopia, porque há por exemplo, fatores externos que não dependem exclusivamente de você e sendo assim, por mais zeloso e rigoroso, quando a invasão ocorrer por um desses aspectos, há pouco ou nada que possa ser feito.

Nosso papel é tentarmos nos aproximar o máximo que for possível dos 100% e para as situações em que não for possível, contar com um conjunto de medidas de reativas, como backups atualizados.

Por fim, mas não menos importante, mais seguro estaremos quanto mais das medidas a seguir formos capazes de implementar.

1. Mantenha-se informado

Você não precisa tornar-se um especialista em invasões e questões de segurança no mundo digital, mas a falta de conhecimento dos usuários sobre questões relacionadas, frequentemente é usada pelos criminosos digitais para alcançar seus objetivos.

Por exemplo, nenhum banco pede para que um correntista altere sua senha do cartão de débito em seu site e para fazê-lo, que deva informar a senha atual.

Mesmo essa informação sendo amplamente divulgada pelos sites especializados e pelos próprios bancos, ainda há muita gente que cai nesse golpe e fornece todas as informações em um site falso de phishing, justamente porque a maioria não se interessa por receber esse tipo de informação.

Logo, acompanhar um bom blog ou site especializado e estar a par dos golpes mais comuns, das falhas de segurança que são identificadas em sistemas operacionais usados, bem como todo assunto que de alguma forma você tem envolvimento, é importante para adotar as medidas necessárias e manter-se longe dos riscos associados.

2. Manter os sistemas usados atualizados

Quando falamos em sistemas, estamos nos referindo a todos. Sem exceção!

O sistema operacional do seu notebook, desktop ou do aparelho que você usa para acessar a área administrativa do seu site.

Saiba que tudo o que roda no seu sistema operacional e que vai desde a suíte de escritório (texto, planilha, apresentação, etc), passando pelo seu cliente de e-mail, o programa de edição de imagens, o navegador web, o game preferido e sabe-se lá mais o que, também precisam de atualizações e que algumas vulnerabilidades eventualmente presentes neles, podem abrir portas para outros problemas no dispositivo.

Mas é também o sistema em que o site é gerenciado e que pode ser o WordPress, o Magento, o Moodle, ou qualquer outro CMS que utilize.

3. Antivírus

Ter e manter um bom programa antivírus é essencial. Nunca negligencie essa camada de segurança.

Mantê-lo configurado para atualizações automáticas, também é fundamental.

Jamais tenha dois ou mais programas do tipo instalados e funcionando em paralelo, porque pode gerar conflitos e atrapalhar a detecção de possíveis ameaças.

No entanto, há soluções online que não precisam ser instaladas e que podem ser executadas apenas ocasionalmente e que são capazes de detectar malwares que eventualmente sua solução principal falhe em identificar. Isso porque não existe software do gênero que identifique 100% das ameaças existentes.

Eventualmente e quando possível, opte pelas versões pagas das melhores soluções antivírus, porque a maioria oferece atualizações mais frequentes e em tempo real para as pragas virtuais mais críticas, bem como um conjunto mais amplo de proteções como firewall integrado, escaneamento de sites acessados, conteúdo de e-mail, VPN, filtro de DNS, para citar alguns exemplos.

4. Senhas

Não economize nas senhas. Tanto na variedade, quanto na complexidade delas.

Significa não usar a mesma senha para dois ou mais serviços e ver no post a seguir, como criar senhas complexas, seguras, mas ainda assim fáceis de memorizar.

E se a quantidade de senhas que você precise atribuir for muito grande, considere utilizar um software gerenciador de senhas.

Para os serviços mais críticos – o admin do seu site e o painel de controle, são exemplos – é recomendável que periodicamente altere suas senhas.

5. Contas de e-mail

Se você tem um site, também tem a possibilidade de criar contas de e-mail associadas ao seu domínio, específicas para determinadas finalidades. Isso porque ter e usar apenas uma conta de e-mail para tudo, pode ser um risco grande se seus dados são vazados ou o acesso a conta é obtido por um keylogger, que é uma classe de malware que captura tudo o que você digita.

Ter uma conta dedicada apenas aos serviços mais sensíveis e outra para os mais corriqueiros, como sua assinatura do Netflix ou do seu provedor de banda larga, é o mais indicado.

Ter uma conta de e-mail gratuita para uso exclusivo em serviços que não se conheça, é uma prática aconselhável e que inclusive pode minimizar dores de cabeça com SPAM, na medida que pode deixar-se de usá-la caso venha a receber grandes quantidades de lixo eletrônico.

Ou seja, ter diferentes contas de e-mail, minimiza as consequências no caso de um vazamento de dados e problemas similares, porque apenas os serviços que compartilham a mesma conta, serão de alguma maneira impactados.

Use credenciais exclusivas no acesso administrativo ao seu site. Não compartilhe as credenciais com as que utiliza em outros serviços. Se tem ou administra dois ou mais sites, use credenciais únicas para cada um.

6. Autenticação MFA ou 2FA

Quando possível, utilize autenticação MFA ou 2FA, especialmente nos serviços mais sensíveis.

Autenticação MFA (multi fator) ou 2FA (dois fatores), são os métodos de autenticação que além do fornecimento de usuário e senha tradicionais, exigem um segundo fator, que pode ser a digitação de um token gerado por um aplicativo de autenticação ou um código enviado por SMS, para citar dois exemplos.

Portanto, mesmo que o usuário e senha tenham eventualmente sido descobertos, há uma camada adicional de segurança que pode barrar o acesso.

A maior parte dos bons serviços, como os principais serviços de e-mail gratuitos, armazenamento em nuvem, os mais populares CMSs, bem como o painel de controle da HostMídia, oferecem a possibilidade de habilitar pelo menos a autenticação de dois fatores. Em alguns inclusive vem se tornando obrigatório.

7. Wi-Fi público

Simplesmente não utilize Wi-Fi público. A grande maioria dos hotspots públicos, não adota boas práticas de segurança.

E não estamos falando de não usar apenas para acessar a área administrativa do seu site, mas nunca fazê-lo para nada, afinal se alguém mal intencionado e com conhecimentos suficientes está usando a mesma rede, tem a capacidade de instalar malwares com as mais diferentes finalidades no dispositivo que está conectado na rede sem fio pública.

Se por exemplo você acessa sua principal conta de e-mail por uma rede dessas e o criminoso virtual consegue o acesso, tudo que está vinculado à conta, bem como todo o seu conteúdo, estará vulnerável.

8. Usuários no admin

Se além de você, há outros administradores e mesmo usuários que tenham acesso para, por exemplo, incluir novos conteúdos, limite-os.

A cada pessoa com privilégio administrativo, é uma nova chance de todas as possíveis falhas de segurança ocorrerem.

Por isso, limite o número de pessoas com acesso ao admin. Os principais CMSs, como no caso do WordPress, é possível estabelecer diferentes níveis de administração. Conceda apenas o nível de acesso / privilégio necessário para edição / inclusão de conteúdo.

No caso do painel de controle, não é recomendável conceder acesso a mais do que uma pessoa, pela razão já citada.

9. Segurança adicional do site

Os principais CMSs, contam com uma série de medidas adicionais que devem ser adotadas.

Usuários do WordPress, por exemplo, podem – e devem – mudar o usuário de administração. Inclusive temos um tutorial que ensina como mudar o usuário admin do WP, sem que se tenha que instalar nada.

Mas há outras ações, como um plugin de MFA para o WP, ou vários outros plugins de segurança ou até mesmo instalar a plataforma em um diretório não padrão.

10. Cuide da segurança do seu Wi-Fi

Basicamente pelas mesmas razões que muitos dos erros citados ocorrem, as pessoas nem se lembram ou apenas acreditam que sua rede Wi-Fi residencial ou mesmo empresarial, é segura.

Se a configuração existente é a padrão do roteador / modem e é a mesma que o seu provedor de acesso à Internet realizou por conta da habilitação / instalação do serviço, saiba que na maior parte dos casos, é precária.

Nós temos um post dedicado a fornecer 13 dicas importantes relacionadas com a segurança do roteador Wi-Fi e que podem ser adotadas nas principais marcas e modelos de aparelhos do mercado.

Conclusão

Aplicar com eficácia um conjunto consistente de medidas para evitar as invasões ao seu site, passa necessariamente por saber como e porque elas acontecem.

Artigos relacionados

segurança cibernética
O que é spear phishing e como evitar essa ameaça digital?
MFA
O que é MFA? Como funciona e por que é importante?
WordPress
Os 5 melhores plugins de segurança para WordPress

Comentários ({{totalComentarios}})