Os riscos do Wi-Fi público e 7 dicas de segurança
Cada vez é mais comum onde quer que vamos, encontrar alguma sinalização com um ícone de sinal de Wi-Fi. Na verdade, é raro o estabelecimento comercial e vários outros lugares pelos quais passamos e frequentamos que não exibam algum sinal indicativo da disponibilidade de sinal Wi-Fi.
Participar do mundo digital, pressupõe conectividade o tempo todo, onde quer que estejamos e muitas empresas que antes ofereciam acesso à Internet como um diferencial, hoje o fazem quase como uma obrigação, tal qual o bom atendimento, bons produtos e serviços e preços atrativos.
Mas se por um lado pode parecer uma facilidade, uma comodidade e até uma vantagem dispor e usar de uma rede Wi-Fi pública, pode trazer riscos e desvantagens bem maiores do que o benefício.
O que é Wi-Fi público?
Wi-Fi público é toda rede de acesso à Internet sem fio, em que diferentes usuários podem se conectar a ela, mesmo que para isso sejam exigidas credenciais de acesso, como um prévio cadastro, ou login e senha de acesso.
Os principais fatores de influência e de diferenciação entre uma rede sem fio pública e a sua residencial ou empresarial, é que nas públicas, literalmente qualquer pessoa – as bem e as mal intencionadas – tem acesso e as políticas visando a segurança podem ser menores ou na maior parte dos casos, simplesmente inexistirem.
Por que usar Wi-Fi público?
Basicamente as pessoas usam Wi-Fi público por uma série de razões.
Apesar dos planos de dados oferecidos pelas operadoras de telefonia serem cada vez mais robustos, o consumo de dados por parte da maioria das pessoas tem aumentado em proporções ainda maiores. Visualização de vídeos, download de determinados tipos de conteúdos, streaming de áudio, envio e recebimento de arquivos, podem esgotar rapidamente até os planos de dados mais elásticos em termos de tráfego.
Além disso, dependendo da localidade em que se está, pode haver menor cobertura de sinal, tornando o acesso mais lento ou até inviável. Em locais fechados também, porque a intensidade do sinal é afetada pelos obstáculos físicos existentes. Nessas condições, um bom e forte sinal de Wi-Fi, é muito bem-vindo.
Mesmo quando nada disso é problema, o 5G ainda está longe de ser uma realidade para a grande maioria das pessoas e o 3G e 4G, quase sempre não conseguem oferecer velocidades de navegação comparáveis a uma boa rede Wi-Fi. A “sede” por boa velocidade de internet, é insaciável para a maioria.
E quando o acesso não é pelo smartphone, mas pelo notebook e alguns modelos de tablet, os quais não têm um slot para o chip de operadora, o Wi-Fi é a única opção de conectividade web.
Soma-se ainda a tudo o que vimos, o fato de que o consumo de bateria – no caso dos smartphones e tablets com slot para chip – é menor ao usar o Wi-Fi comparativamente ao uso de dados do serviço de telefonia, faz com que a economia conseguida garanta um restinho de bateria no final do dia ou antes da próxima carga.
Ou seja, para a maioria dos internautas que usam regularmente redes Wi-Fi públicas no restaurante ou no bar, no aeroporto ou no hotel, no shopping center ou nas lojas, até em praças e parques, é prático, é necessário, é conveniente e até natural, tanto como usar o Wi-Fi de casa ou do trabalho.
Pode até ser tudo isso, mas é também MUITO mais arriscado, a depender da finalidade do acesso!
Quais os riscos de usar Wi-Fi público?
A lista de riscos e os respectivos motivos para não usar Wi-Fi público, é importante e pode variar de acordo com a rede que você estiver usando. Ou seja, não necessariamente toda rede sem fio pública apresenta todos os riscos e ameças que apresentaremos a seguir.
No entanto, quando o assunto é segurança – seja ela digital ou não – costuma-se fazer uma analogia, segundo a qual a força – ou a fragilidade – de uma corrente é igual a do seu elo mais fraco. Em outras palavras, não importa que todos os demais elos da corrente suportem uma determinada carga, se apenas um elo não suporta. A corrente romperá exatamente nesse elo.
1. Man in the middle
Man In The Middle é um termo comum no meio e que significa “homem no meio”. É quando um hacker – na verdade um cracker – posiciona-se entre você e o ponto de conexão.
Esse tipo de técnica além de ser de simples adoção, é a que dá maior poder ao invasor, uma vez que você – por meio do seu dispositivo – está na verdade enviando suas informações para o hacker e não para o ponto de acesso.
A recíproca também é verdadeira, o que significa que o invasor também recebe os dados que deveriam ir direto para o seu dispositivo.
Naturalmente o hacker age “apenas” como intermediário, de modo que o acesso ao site que você pretendia ocorra aparentemente de modo normal e não gere desconfiança. Mas toda e qualquer informação trafegada, é sabida por ele, como login e senha, envio e recebimento de e-mails, informações de cartões de crédito e até credenciais para acesso às redes sociais ou à rede da empresa, se for o caso.
2. Infecção por malware
Um potencial invasor, também podem usar uma conexão Wi-Fi insegura para infectar o dispositivo com malwares, quando o compartilhamento de arquivos está habilitado no dispositivo.
Mas mesmo quando não é o caso, quando se usa a técnica “Man In The Middle”, é possível alterar o conteúdo dos dados trafegados para incluir um malware, disfarçado em um arquivo legítimo e seguro, por exemplo.
Existem várias classes de malwares (adware, trojan, worn, ransomware, etc) e cada uma caracteriza-se por um comportamento.
Há desde os aparentemente menos inofensivos, como a exibição continua de publicidade (adware), aos mais hostis e prejudiciais, como os screeners (gravam e enviam cópias de telas do que você faz), os keyloggers (registram e enviam o que é digitado), ou os bankers (especializados em obter dados bancários).
Independentemente de qual classe de malware, as consequências nunca devem ser encaradas como banais.
3. Phishing
O termo phishing refere-se a um conjunto de artifícios usados pelos criminosos digitais, que visam usar uma “isca para pescar” uma vítima no ambiente digital.
É bastante comum usando o e-mail, o qual pode ter um campo assunto e/ou o corpo do e-mail que induzam o destinatário a clicar em um link ou abrir um anexo, que desencadeia uma reação, como o download e instalação de um malware, por exemplo.
Mas há outros formatos, como quando pensa-se estar acessando o site do banco e na verdade é um site falso, muitas vezes idêntico e assim em vez de efetuar o login na sua conta, na verdade você está alimentando o banco de dados do invasor.
Na maioria das vezes o phishing e a infecção por malwares – também decorrente do phishing – pode desencadear no próximo risco.
4. Roubo de dados pessoais, informações confidenciais e/ou credenciais
Seja por meio de técnicas como “Man In The Middle”, seja por infecção com malwares especializados e até por phishing, toda uma variedade de dados pessoais, informações confidenciais e/ou credenciais pode ser roubada.
Podem ser os arquivos que você guarda em algum serviço de armazenamento em nuvem, pode ser também as mensagens de e-mail do serviço gratuito ou da empresa em que trabalha, o acesso a alguma rede social.
É importante lembrar que ao usar o Facebook para conectar-se a apps, sites e jogos diversos, se o invasor consegue suas credenciais para a rede social, ele terá automaticamente acesso a tudo o que está vinculado.
Mais ainda, em todos os casos em que não houver mecanismos de segurança adicionais, como autenticação multi fator (MFA) e métodos alternativos de confirmação, ele poderá alterar senhas, impedindo-o de acessos futuros.
5. Privacidade
Mesmo quando não há informações sensíveis vazadas ou roubadas, há ainda alguns casos que merecem atenção, quando sua privacidade é violada.
Há casos em que o estabelecimento que fornece o hotspot (ponto de acesso), coleta e utiliza suas informações com pretensões no mínimo questionáveis do ponto de vista ético.
Muitos proprietários de Wi-Fi coletam dados de seus usuários para finalidades de propaganda ou estatística e quando exigem um cadastro, podem solicitar que você deixe um e-mail ou número de telefone em troca do acesso à rede ou que compartilhe a empresa deles nos seus perfis de mídias sociais.
As falhas mais comuns de redes Wi-Fi
Para que seja possível estar vulnerável e, portanto, suscetível aos riscos que tratamos anteriormente, as redes Wi-Fi públicas devem falhar em algum ou todos os aspectos a seguir.
1. Redes totalmente abertas
É bastante comum redes Wi-Fi totalmente abertas. Não são exigidos login e senha para acesso.
Estão disponíveis para qualquer um que tenha acesso ao sinal.
O controle de acesso por si só, não é um indicativo de segurança de uma rede e mesmo aquelas que exigem credenciais para conexão, não implicam em segurança de navegação, mas sugere que o responsável pela rede não preocupa-se com controle e com outras medidas de segurança que devem ser consideradas.
Tal como deixar a porta da sua casa aberta ou da empresa na qual trabalha, permitindo que qualquer um entre e saia, sem nenhum controle, redes abertas possibilitam que todo tipo de pessoa esteja no mesmo ambiente.
2. Wi-Fi sem protocolos de segurança
Diferentemente do que é possível fazer na rede Wi-Fi doméstica ou empresarial, boa parte das redes públicas não têm habilitados protocolos de segurança fundamentais, como login e senha, firewall, criptografia dos dados enviados e recebidos, controle de acesso por mac address (endereço mac), endereço IP fixo, etc.
A ausência desses ou de quaisquer outros protocolos de segurança, possibilita que um possível hacker que esteja conectado à mesma rede, “enxergue” todos os demais usuários conectados no Wi-Fi público.
“Enxergar” outros usuários, é a mesma situação que você tem quando visualiza as redes disponíveis para se conectar. Ele vê todos os dispositivos e assim pode escolher um para tentar acesso ou invasão.
O método mais comum, é o já mencionado “man-in-the-middle”, no qual passam por ele literalmente todos os dados que são trocados.
Se não houver criptografia na conexão, TODA informação trafegada é visível por ele. E mesmo quando houver criptografia, se ela não for suficientemente boa, pode ser quebrada.
3. Spoofing
Genericamente spoofing em computação, é o emprego de técnicas diversas para fingir ser alguma coisa que não é.
O mais comum é o spoofing de e-mail, de IP e de DNS, mas há várias outras situações, incluindo de Wi-Fi.
Em linhas gerais, o usuário pensa estar se conectando ao Wi-Fi do estabelecimento, mas na verdade ele está ingressando na rede do hacker, que pode ter criado uma com nome muito parecido, ou mesmo idêntico ao do estabelecimento, já que a maioria das empresas que fornecem redes sem fio públicas adotam esse padrão, mas não são todas.
Portanto, quando o nome do estabelecimento não é usado, o invasor conta com a justificável suposição por parte dos usuários, de que estão conectando-se à rede da empresa.
Mas há também as redes que por absoluta inexistência de qualquer política de segurança, são invadidas e o hacker passa a ter controle e administração plena de todos os seus recursos, significando que também tem acesso aos dados de todos que se conectem a ela.
7 dicas de segurança para Wi-Fi público
Nosso objetivo não é demonizar todo e qualquer Wi-Fi público e convencê-lo de não usá-los, mas de alertar quais os riscos aos quais estará submetido ao fazê-lo.
Há situações em que o uso é possível e é seguro, desde que algumas práticas e cuidados sejam adotados.
1. Use uma VPN
VPN é a sigla para Virtual Private Network ou Rede Privada de Dados e que basicamente consiste de fazer com que todo o seu tráfego de dados passe por ela, de modo que o mundo externo vê você como parte de uma VPN.
Resumidamente, a VPN faz uso de uma técnica chamada de "tunneling", na medida em que os dados comportam-se como se estivessem em um túnel, o que faz com que alguém do lado de fora, vê alguém entrando nele, mas não sabe o que acontecerá em seu interior.
A conexão usando uma VPN, oculta seu endereço IP e realiza a troca de informações com o destino, usando criptografia e, portanto, se algum dado for interceptado, não poder ser "lido".
2. Acesse apenas sites com HTTPS
O HTTPS é um protocolo de internet usado para acesso a websites e que comparativamente a apenas HTTP, faz uso de um certificado SSL.
Em termos práticos, você não precisa saber as diferenças entre um e o outro, exceto que os dados trafegados, incluindo os sensíveis (ex: senhas ou dados bancários) serão trocados mediante criptografia.
É particularmente importante não apenas para o acesso especificamente feito a um site, mas pelo fato de que é comum – e perigoso no mundo digital – que as pessoas utilizem uma mesma conta de e-mail e senha para cadastrar-se e acessar diferentes serviços.
3. Solução antimalware
Ter uma solução antimalware instalada no dispositivo é fundamental.
Há a falsa crença de que vírus – classificação genérica – não são comuns em smartphones. Em algum momento antes da massiva adoção dos smartphones, poderia até ser verdadeiro, mas as estatísticas mostram que o número de ameaças do tipo cresce sem parar e a taxas bastante elevadas.
Portanto, instalar e manter atualizado um aplicativo de identificação e remoção de vírus em celulares / smartphones, é essencial.
Aqui vale destacar que ter duas ou mais soluções instaladas, além de não aumentar sua segurança, pode fragilizá-la. Isso porque ao ter aplicações com o mesmo objetivo, podem entrar em conflito e se anulem mutuamente, deixando o dispositivo exposto. Sem contar que alocarão mais recursos (memória e processamento), deixando o sistema mais lento.
4. Evite acessos a dados sensíveis
Dados sensíveis são todos aqueles cujo acesso não autorizado e por parte de terceiros, signifiquem algum tipo de ameaça, prejuízo ou risco, direto ou indireto.
Portanto, se o acesso à sua conta do Facebook também dá acesso à outros serviços na web, você tem risco de comprometer tanto a conta da rede social, quanto de todos os demais serviços que ela serve como meio de autenticação.
Contas de e-mail, sites de e-commerce, serviços bancários, são outros exemplos de acessos usando e com conteúdo sensível.
5. Utilize autenticação multi fator
Autenticação MFA (Multi-Factor Authentication) ou Autenticação Multi Fator, é toda aquela que usa pelo menos dois ou mais fatores ou agentes para verificação quanto a autenticidade de algo.
Em termos mais práticos, é a utilização de dois ou mais métodos para atestar a identidade de alguém para concessão de acesso a um sistema, documento ou informação.
Portanto, além da senha, é pedida a confirmação da identidade do usuário, por meio da solicitação de um código adicional, que poderá ser enviado para o celular, através de um SMS, um e-mail, um app ou uma chamada telefônica.
Há outras alternativas como confirmação, como biometria e tokens, para citar duas opções das mais populares.
6. Desabilite as conexões automáticas
Por padrão, havendo conectividade por dados móveis e por Wi-Fi, o dispositivo sempre dará preferência ao segundo modo.
Suponhamos que você tenha conectado-se no passado a uma determinada rede sem fio pública, apenas para acesso à sites de notícias ou outra coisa sem importância e sem risco, mas em uma outra ocasião e presente no mesmo estabelecimento, foi necessário acessar o app do seu banco.
Se a conexão estiver habilitada de modo automático, você realizará o acesso pelo Wi-Fi sem que tenha se dado conta disso. Portanto, configure o seu dispositivo para que solicite confirmação antes de se conectar.
7. Atenção ao cadastro
Se for exigido algum tipo de cadastro para acesso, fique atento ao tipo de informação solicitada.
Sendo possível, evite fornecer dados pessoais, números de telefone e endereços físicos e de e-mail.
Quando for absolutamente necessário, procure fornecer algum endereço de e-mail secundário. Inclusive é uma prática recomendável ter uma conta de e-mail criada apenas para cadastros que gerem alguma desconfiança.
Jamais use a mesma senha que utiliza em qualquer outro serviço importante, quando e se ela for solicitada.
Por fim, lembre-se que a LGPD regula como os dados pessoais podem ser usados por quaisquer empresas e caso haja alguma inconformidade, você está garantido por força de lei.
Conclusão
Apesar de serem comuns e úteis, usar redes Wi-Fi públicas, acarreta em muitos riscos e, portanto, requer conhecimento do assunto e seguir dicas práticas.
