Pular para o conteúdo principal

É possível invadir uma conta de e-mail sem ter a senha?


Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.) vá até o fim da reportagem e utilize o espaço de comentários ou envie um e-mail para g1seguranca@globomail.com. A coluna responde perguntas deixadas por leitores no pacotão, às quintas-feiras.


>>> Invasão ao Gmail sem senha
Tem possibilidade de alguém invadir meu Gmail sem uma senha? E o que devo fazer para impedir?
Luciano Simões

Luciano, existe sim um meio para alguém acessar os seus e-mails sem ter a sua senha. Isso acontece através dos "aplicativos" autorizados na plataforma do Google. Esses aplicativos são autorizados por você mesmo. 

Vejamos um exemplo para ficar mais fácil de entender:

Um criminoso pode enviar para você um e-mail falso solicitando que você clique em um link na mensagem. Você clica e, na tela seguinte, recebe um aviso dizendo que um certo serviço ou aplicativo deseja se conectar à sua conta do Google para acessar certos dados (incluindo o e-mail). Achando que se trata de algo legítimo, você autoriza esse acesso.

Depois disso, o estrago está feito - os criminosos terão acesso às suas mensagens sem precisar roubar a sua senha.

Ataques como esse têm ficado mais atraentes recentemente, já que esse tipo de autorização burla a proteção oferecida pela autenticação de duas etapas (quando, além de fornecer a senha, você faz uma autorização pelo celular ou digita um código recebido por torpedo SMS para entrar na conta). Por esse motivo, o Google fez alterações nas telas de autorização e agora há alertas bem específicos sobre os riscos.

De qualquer forma, o importante de se entender é que, nesse cenário, você mesmo concedeu o acesso da sua conta para os criminosos através dessa autorização.

Sem uma autorização desse tipo, o invasor será sim obrigado a possuir sua senha. Ele pode conseguir sua senha de quatro formas: 

1. tentativa e erro;
2. recuperação de senha;
3. página falsa (eles enviam um link para você com uma página de login falsa, onde você digita sua senha)
4. vírus em seu computador, que captura o que é digitado/enviado em páginas de login

Por esse motivo, é muito importante ter cuidado ao digitar sua senha para se certificar que você está na página verdadeira. Além disso, mantenha um antivírus instalado em seu computador e não acesse sua conta em computadores públicos, onde um software espião pode ter sido instalado.

>>> 'Vulnerável ao WannaCry ou DoublePulsar'
Recebi esse relatório depois de escanear meu notebook:

Este computador é vulnerável ao popular verme Ransomware "WannaCry" usando um ataque conhecido como "DoublePulsar" - existe uma vulnerabilidade no serviço de compartilhamento de arquivos do Windows, que permite que os invasores assumam remotamente o PC. ID do catálogo CVE-2017-0143.

Será que é só mesmo uma vulnerabilidade ou pode estar infectado? Estou usando o Windows 7. E caso não esteja infectado, como posso proceder para proteger o notebook? 
Agradecida,
Dina

Dina, vamos começar pelo procedimento de proteção, pois ele é muito simples. Basta acessar o Painel de Controle (menu Iniciar > Painel de Controle) e lá procurar pelas atualizações do Windows ou "Windows Update". Instale todas as atualizações disponíveis. Você estará protegida.

Caso o painel já aponte que todas as atualizações estão instaladas, então o relatório que você recebeu sobre o seu computador está equivocado.

Para descobrir se o seu computador está infectado ou não, basta fazer uma análise com um antivírus. Se a dúvida persistir, experimente um segundo produto (lembre-se de desativar o primeiro antes de instalar o segundo). 

Mantenha sempre as atualizações do sistema em dia para evitar riscos de contaminação.


O pacotão da coluna Segurança Digital vai ficando por aqui. Não se esqueça de deixar sua dúvida na área de comentários, logo abaixo, ou enviar um e-mail para g1seguranca@globomail.com. Você também pode seguir a coluna no Twitter em @g1seguranca. Até a próxima!

Comentários