Facebook jacking: cuidado!

Carolina Silva, 18 anos, já viu a sua conta invadida várias vezes. Esta estudante da Universidade de Coimbra costuma esquecer-se de carregar em “Sair” na sua conta de Facebook que abre nos computadores públicos que usa ao longo do dia - nomeadamente nos concorridos computadores da Rádio Universidade de Coimbra. Por isso não estranha que, de vez em quando, o seu mural esteja cheio de mensagens que efectivamente não escreveu. “O Facebook jacking é uma prática recorrente no meu grupo de amigos, é uma brincadeira que ninguém leva a mal. Eu já fui ‘vítima’ disso algumas vezes”, diz a estudante ao PÚBLICO.

E que tipo de rasto é que deixam? “Data de aniversário trocada, mensagens de desabafo num suposto momento de depressão, músicas do Marco Paulo com dedicatórias profundas ao artista...”, exemplifica Carolina, bem-humorada.

“Tenho um amigo que era vítima de Facebook jacking tantas vezes que, a certa altura, lhe comentaram um desses ‘ataques’ com a seguinte mensagem: ‘Vê lá se arranjas um cinto de castidade para o teu perfil!’”, lembra.

Carolina indica, porém, que nunca se sentiu ameaçada nem “violada” com este tipo de brincadeiras, mas acusa algum desconforto. “Claro que incomoda quando alguém se faz passar por nós e vemos a nossa página inicial a encher-se de autênticas baboseiras”, diz.

Se normalmente tem por hábito usar computadores públicos para aceder à sua conta de Facebook e tem medo de se esquecer dela aberta, à mercê do próximo utilizador, a rede social desenvolveu uma boa solução para si: enviando um sms para o número 32665 com a mensagem “otp”, a equipa do Facebook enviar-lhe-á uma palavra-passe única e temporária com oito caracteres, válida apenas durante 20 minutos e que não pode ser reutilizada.

O “sequestro” de contas

O Facebook jacking pode ser mais ou menos grave, dependendo do conteúdo das mensagens deixadas online mas também do tipo de ataque. O mais grave de todos dá-se quando alguém “sequestra” efectivamente o perfil de outra pessoa.

Uma americana residente no estado do Michigan foi recentemente vítima de um caso bizarro de Facebook jacking. Um homem que conheceu online, John Joaquim III, conseguiu “sequestrar-lhe” as contas de Facebook e de Gmail exigindo que a “vítima” lhe enviasse fotos suas toda nua para reaver as contas.

A mulher contactou a polícia e não tardou que o americano fosse detido, estando agora acusado de extorsão e crimes informáticos.

“Quando alguém ‘sequestra’ a nossa conta, isso significa que alguém está a usar o nosso perfil de forma não autorizada (...) Se um hacker ganha controlo sobre a nossa conta ele poderá mudar a nossa password e impedir-nos de acedermos ao nosso perfil. Neste caso os hackers poderão continuar a fazer estragos durante algum tempo”, indicou ao PÚBLICO Graham Cluley, consultor sénior de tecnologia da empresa de segurança informática Sophos.

Mas “sequestrar” ou “roubar” um perfil de Facebook [e não apenas introduzir mensagens numa conta alheia deixada ao abandono] é difícil e carece de alguma mestria informática e/ou grande familiaridade com a “vítima”.

Para se mudar a password é preciso ir, primeiro, a “Conta”, depois a “Definições de Conta” e a seguir a “Palavra-passe”. Mas aqui não basta escolher a nova password, é preciso primeiro reescrever a actual, pelo que uma pessoa estranha dificilmente continuará daqui para a frente.

Se, ainda assim, o hacker souber a antiga palavra-passe antes de introduzir a nova, é preciso que tenha depois acesso ao e-mail do utilizador cuja conta está a ser alvo de jacking. Isto porque, depois de ser alterada com sucesso a palavra-passe no Facebook, o utilizador irá receber no e-mail a seguinte mensagem: “Alteraste recentemente a tua palavra-passe do Facebook. Como precaução de segurança, esta notificação foi enviada para todos os endereços de e-mail associados à tua conta. Se não alteraste a tua palavra-passe, a tua conta pode ter sido vítima de phishing. Segue a seguinte ligação para recuperares o controlo da tua conta”.Em resumo, é preciso ter algum treino de hacking para se conseguir “sequestrar” contas alheias.

Se, porém, algum dia for alvo de Facebook jacking, aquilo que deverá imediatamente fazer é contactar a equipa de apoio do Facebook. Graham Cluley indica: “O meu conselho é ir às FAQ (Frequently Asked Questions - Perguntas Frequentes) - https://www.facebook.com/help -, apesar de alguns utilizadores indicarem que é difícil obter uma resposta do Facebook em tempo útil”.

Nestas coisas, porém, o melhor é manter uma atitude de segurança em todas as circunstâncias. Cluley dá dois conselhos para as contas de Facebook não caírem em mãos alheias - para além da óbvia “não deixar a conta aberta em computadores partilhados” -: manter um antivírus actualizado no computador e escolher uma password difícil, que não seja uma palavra do dicionário nem a mesma que é usada para o e-mail associado à conta de Facebook.

Clickjacking e perfis impostores

Para além destas intrusões ou “sequestros” de perfis, há ainda a registar um fenómeno de “tomada de controlo” do nosso perfil que dá pelo nome de clickjacking (também conhecido como likejacking). Isto acontece quando, por exemplo, carregamos num vídeo que um amigo nosso colocou no Facebook para percebermos, quase imediatamente, duas coisas: que esse vídeo não existe e que ficou automaticamente republicado no nosso perfil. Ou seja, é spam.

Um exemplo recente deste clickjacking foi um vídeo que dava conta da morte da cantora americana Lady Gaga num quarto de hotel, pseudo-notícia que era acompanhada da frase: “Este é o dia mais terrível da História americana”. Tal como o spam que nos habituámos a receber por mail, também aqui os hackers tentam espicaçar a curiosidade alheia com notícias falsas “bombásticas”.

Caso diferente de controlo, mas mais danoso, é o representado por perfis impostores, que de resto são proibidos pelo Facebook. Se alguém tiver criado um perfil em que se faz passar por si, eis os passos que deverá tomar: Aceda ao perfil falso; navegue até à parte inferior da coluna esquerda e carregue em "Denunciar/Bloquear esta pessoa". Depois carregue em "Este perfil está a fazer-se passar por alguém ou é falso" e seleccione a opção "Está a fazer-se passar por mim" no menu pendente. Por fim carregue em “Continuar" para enviar a sua denúncia.

Para saber como resolver perguntas relacionadas com este tipo assunto consulte sempre o “Centro de Ajuda” no menu “Conta”.


Daqui!