Como o Google mantém seus dados seguros
Seja em ataques, phishing ou malware, os invasores usam uma variedade de métodos para acessar contas de usuários. Stephan Micklitz e Tadek Pietraszek do Google garantem que esses invasores não tenham sucesso.
Tadek Pietraszek
trabalha no escritório da empresa em Zurique desde 2006, onde lidera uma equipe grande de especialistas. Pietraszek concluiu o doutorado em ciência da computação na Universidade de Friburgo em 2006.
Você e sua equipe são responsáveis por manter as contas dos usuários seguras. Como você impede o acesso de invasores?
Tadek Pietraszek, engenheiro-chefe de software para segurança das contas de usuários: Em primeiro lugar, é importante conseguir detectar o ataque inicial. Usamos mais de cem variáveis para identificar atividades suspeitas. Vamos supor que você vive na Alemanha, viaja para o exterior raramente, e alguém de outro país tenta acessar sua conta. Isso emitirá um alerta.
Stephan Micklitz, diretor de engenharia da equipe de Privacidade e Segurança do Google: É por isso que às vezes pedimos a confirmação do número de telefone fornecido ou de outras informações que somente o proprietário da conta saberia.
Para Tadek Pietraszek (à esquerda), o phishing é uma das maiores ameaças à segurança on-line.
Com que frequência esses ataques ocorrem?
Pietraszek: Centenas de milhares de ataques cibernéticos ocorrem todos os dias. Nosso maior problema é que a Internet contém inúmeras listas de nomes de usuários e senhas roubadas de sites invadidos. Como vários dos nossos usuários usam a mesma senha para contas diferentes, essas listas também incluem dados de login de Contas do Google.
Essas listas representam a maior ameaça à segurança?
Pietraszek: Sim, com certeza. Essa é a maior ameaça, além dos ataques de phishing clássicos. Quase todos já receberam e-mails de invasores tentando conseguir senhas de contas. É claro que fazemos nossa parte para garantir que eles não tenham sucesso. Se um e-mail destinado à sua Caixa de entrada do Gmail parecer suspeito, ele pode ser marcado com um alerta para que você possa analisá-lo melhor ou pode ser filtrado e excluído automaticamente. Nosso navegador Chrome também envia alertas quando você tenta acessar um site que identificamos como phishing.
Micklitz: Há dois tipos básicos de phishing. Os e-mails em massa, que os invasores usam para coletar a maior quantidade possível de dados de login, e o que é conhecido como "spear phishing", em que os ataques são direcionados a uma conta específica. Eles podem ser operações bastante sofisticadas que duram vários meses. Nessa violação, o invasor examina a vida da vítima em detalhes e lança um ataque muito direcionado.
"Se um e-mail destinado à sua Caixa de entrada do Gmail parecer suspeito, ele será marcado com um alerta."
Tadek Pietraszek
Como o Google ajuda os usuários a impedir que esses ataques aconteçam?
Pietraszek: Um exemplo é o nosso sistema de verificação em duas etapas. Vários usuários estão familiarizados com esse tipo de sistema usado em contas bancárias on-line. Se você quiser fazer uma transferência, por exemplo, talvez seja necessário inserir sua senha e um código enviado por mensagem de texto. O Google lançou a autenticação de dois fatores em 2009, antes da maioria dos outros grandes provedores de e-mail. Além disso, os usuários do Google que registraram os números de telefone se beneficiam automaticamente de um nível semelhante de proteção contra tentativas de login suspeitas.
Micklitz: A autenticação de dois fatores é um bom método, mas até códigos de mensagens de texto podem ser interceptados. Por exemplo, os invasores podem entrar em contato com sua operadora de celular e tentar solicitar o envio de um segundo chip a eles. A autenticação com um token de segurança físico, como um transmissor Bluetooth ou um pendrive, é ainda mais segura.
Pietraszek: Usamos esse recurso como parte do nosso Programa Proteção Avançada.
O que é isso?
Pietraszek: O Programa Proteção Avançada foi lançado pelo Google em 2017 e é destinado a pessoas que correm maior risco de sofrer ataques, como jornalistas, CEOs, dissidentes políticos e políticos.
Micklitz: Além da nossa chave de segurança física, também limitamos o acesso de apps de terceiros aos dados, incorporando etapas adicionais em que os usuários precisarão verificar a identidade se perderem a chave.
O diretor de engenharia Stephan Micklitz é responsável pela privacidade e segurança global do Google. Ele estudou ciência da computação na Universidade Técnica de Munique e trabalha no escritório do Google na cidade desde o final de 2007.
Pode nos contar sobre um grande ataque cibernético e como vocês reagiram a ele?
Pietraszek: Um desses ataques ocorreu no início de 2017. Os hackers criaram um programa malicioso para ter acesso às Contas do Google das vítimas e enviar e-mails falsos aos contatos delas. Nesses e-mails, era solicitado que os destinatários permitissem o acesso a um documento falso do Google. Aqueles que fizeram isso, sem querer, permitiram o acesso do malware e, automaticamente, enviaram o mesmo e-mail falso aos próprios contatos. O vírus se espalhou rapidamente. Nós temos planos de contingência para situações como essa.
Micklitz: Nesse caso, por exemplo, bloqueamos a distribuição desses e-mails no Gmail, revogamos o acesso concedido ao programa e protegemos as contas. É claro, também adicionamos proteções sistemáticas para dificultar ataques semelhantes no futuro. As Contas do Google estão constantemente sob ataque, e nossos sistemas automatizados oferecem a proteção mais eficaz. Sem dúvida, isso depende da possibilidade de alcançar os usuários por outros meios além da Conta do Google, como um endereço de e-mail secundário ou um número de telefone.
"Em geral, basta seguir algumas regras básicas."
Stephan Micklitz
Qual é a importância da segurança para o usuário comum?
Pietraszek: Várias pessoas acreditam que ela é muito importante, mas tomar as medidas de segurança necessárias pode ser chato. Isso explica, por exemplo, por que as pessoas geralmente usam a mesma senha para várias contas, que é o pior erro que você pode cometer. O nosso trabalho é explicar aos usuários como eles podem proteger as próprias contas com o mínimo de esforço. Por isso, oferecemos a função Verificação de segurança na Conta do Google para permitir que os usuários verifiquem as próprias configurações.
Micklitz: Em geral, basta seguir algumas regras básicas.
E quais são essas regras?
Micklitz: Não use a mesma senha para vários serviços, instale atualizações de segurança e evite softwares suspeitos. Forneça um número de telefone ou um endereço de e-mail alternativo para que seja possível entrar em contato com você por outros meios. Também ative o bloqueio de tela do smartphone para dificultar o acesso de outras pessoas sem autorização. Seguir essas etapas já é um bom começo.
Fotografias: Conny Mirbach
Inovações em segurança cibernética
Nós protegemos mais pessoas on-line no mundo como ninguém.
Saiba mais