De que forma a Google mantém os seus dados seguros
Desde pirataria e phishing a software malicioso, os cibercriminosos usam vários métodos para piratearem as contas de utilizador. Stephan Micklitz e Tadek Pietraszek da Google garantem que não conseguem.
Tadek Pietraszek
trabalha na empresa de Zurique desde 2006, onde é responsável por uma grande equipa de especialistas. Pietraszek tirou o seu doutoramento em ciência da computação na Universidade Albert Ludwig de Freiburg em 2006.
Pietraszek, juntamente com a sua equipa, é responsável pela segurança das contas de utilizador. Como impede os hackers de obterem acesso?
Tadek Pietraszek, Principal Software Engineer para a segurança das contas de utilizador: Primeiro, é importante conseguirmos detetar o ataque inicial. Usamos mais de uma centena de variáveis para identificar atividade suspeita. Imagine que vive na Alemanha, muito raramente viaja para o estrangeiro e alguém tenta aceder à sua conta a partir de outro país. Esta situação faz disparar os alarmes.
Stephan Micklitz, Director of Engineering na equipa de segurança e privacidade da Google: É por este motivo que por vezes pedimos ao utilizador para confirmar o número de telefone que forneceu ou outras informações que apenas o titular da conta conhece.
Para Tadek Pietraszek (à esquerda), o phishing é uma das maiores ameaças à segurança online.
Com que frequência ocorrem estes tipos de ataques?
Pietraszek: Ocorrem centenas de milhares de ciberataques diariamente. O nosso maior problema é que a Internet contém inúmeras listas de nomes de utilizadores e palavras-passe roubados de Websites pirateados. Como inúmeros dos nossos utilizadores usam a mesma palavra-passe nas diferentes contas, estas listas incluem também os dados de início de sessão nas Contas Google.
Estas listas constituem a maior ameaça de segurança?
Pietraszek: Sim, sem dúvida. Isso e os ataques de phishing clássicos. Quase todas as pessoas receberam emails de criminosos a tentar obter as palavras-passe das contas. Naturalmente, fazemos a nossa parte para garantir que estas ações não são bem-sucedidas. Se considerarmos que um email destinado à caixa de entrada do Gmail parece suspeito, podemos marcá-lo com um aviso para analisá-lo melhor ou podemos filtrá-lo automaticamente. O nosso navegador Chrome também envia alertas quando tenta visitar um site que sabemos ser um Website de phishing.
Micklitz: Existem dois tipos básicos de phishing. Os emails em massa, que os criminosos usam para recolher o máximo de dados de início de sessão possível, e o que é conhecido como “spear phishing”, em que atacam a conta de uma pessoa específica. Podem ser operações muito sofisticadas que duram vários meses, período em que o criminoso examina detalhadamente a vida da vítima e lança um ataque bastante direcionado.
"Se considerarmos que um email destinado à sua caixa de entrada do Gmail parece suspeito, podemos marcá-lo com um aviso".
Tadek Pietraszek
De que forma a Google está a ajudar os utilizadores a evitar tais ataques?
Pietraszek: Um exemplo é o nosso sistema de validação em dois passos. Muitos utilizadores conhecem este tipo de sistema por causa das contas bancárias online. Se quiser transferir dinheiro, por exemplo, pode ter de introduzir a palavra-passe e um código enviado por mensagem de texto. A Google introduziu a autenticação de dois fatores em 2009, mais cedo que a maioria dos principais fornecedores de email. Além disso, os utilizadores da Google que registaram o número de telemóvel automaticamente beneficiam de um nível semelhante de proteção contra tentativas de início de sessão suspeitas.
Micklitz: A autenticação de dois fatores é um bom método, mas mesmo os códigos enviados por mensagem de texto podem ser intercetados. Por exemplo, os criminosos podem contactar o seu fornecedor de serviços móveis e tentar que lhes seja enviado um segundo cartão SIM. A autenticação com um símbolo de segurança físico, como um transmissor Bluetooth ou uma pen USB, é ainda mais segura.
Pietraszek: Utilizamos este recurso como parte do nosso Programa de Proteção avançada.
O que é?
Pietraszek: O Programa de Proteção avançada foi introduzido pela Google em 2017 e destina-se às pessoas em maior risco de serem pirateadas, como jornalistas, CEOs, dissidentes políticos e políticos.
Micklitz: Além da nossa chave de segurança física, também limitamos o acesso aos dados a partir de apps de terceiros ao incorporar passos adicionais em que os utilizadores têm de validar a sua identidade caso percam a chave.
Stephan Micklitz, diretor de engenharia, é responsável pela privacidade e segurança global na Google. Estudou ciência da computação na Universidade Técnica de Munique e trabalha no escritório da Google em Munique desde o final de 2007.
Pode falar-nos de um grande ciberataque e como reagiu?
Pietraszek: Um destes ataques ocorreu no início de 2017. Os hackers criaram um programa malicioso para obter acesso às Contas Google das vítimas e enviar emails falsos para os contactos dos utilizadores. Nestes emails, era pedido aos destinatários para concederem acesso a um documento Google falso. Quem o fez, concedeu involuntariamente acesso ao software malicioso e enviou automaticamente os mesmos emails falsos para os próprios contactos. O vírus espalhou-se rapidamente. Temos planos de contingência para situações como estas.
Micklitz: Neste caso em particular, por exemplo, bloqueámos a distribuição destes emails no Gmail, revogámos o acesso concedido ao programa e protegemos as contas. Como é óbvio, também adicionámos salvaguardas sistemáticas para dificultar ataques semelhantes no futuro. As Contas Google estão constantemente sob ataque e os nossos sistemas automáticos oferecem a proteção mais eficaz. Isto depende, obviamente, de conseguirmos contactar os nossos utilizadores por outros meios sem ser através da Conta Google, ou seja, um segundo endereço de email ou um número de telemóvel.
"Na verdade, seguir algumas regras básicas é, normalmente, suficiente".
Stephan Micklitz
Qual a importância da segurança para o utilizador típico?
Pietraszek: Inúmeras pessoas consideram-na muito importante, mas seguir as precauções de segurança necessárias pode ser aborrecido. Isto explica, por exemplo, por que motivo as pessoas utilizam frequentemente a mesma palavra-passe para várias contas, o que é o pior erro que se pode cometer. O nosso trabalho é explicar aos utilizadores como podem proteger as contas com o mínimo esforço. É por isso que disponibilizamos a função Verificação de segurança na Conta Google, que permite aos utilizadores verificar facilmente as definições.
Micklitz: Na verdade, seguir algumas regras básicas é, normalmente, suficiente.
Quais são essas regras?
Micklitz: Não utilizar a mesma palavra-passe para vários serviços, instalar atualizações de segurança e evitar software suspeito. Fornecer um número de telefone ou um endereço de email alternativo para contacto por outros meios. E ativar o bloqueio de ecrã do telemóvel para dificultar o acesso por pessoas não autorizadas. Estes passos por si só são um bom começo.
Fotos: Conny Mirbach
Avanços na cibersegurança
Saiba como mantemos mais pessoas seguras online em todo o mundo do que qualquer outra empresa.
Saiba mais