Websites podem usar brechas de segurança em navegadores ou plugins de navegador para escapar dessas caixas de proteção. Sites maliciosos também tentarão usar táticas de engenharia social para enganar você.
Plugins de navegador inseguro
A maioria das pessoas que são comprometidas por meio de navegadores é comprometida por meio dos plug-ins dos navegadores. O Java da Oracle é o pior e mais perigoso culpado. A Apple e o Facebook recentemente tiveram computadores internos comprometidos porque acessaram sites contendo miniaplicativos Java mal-intencionados. Seus plug-ins de Java poderiam estar completamente atualizados. Não importaria, porque as versões mais recentes do Java ainda contêm vulnerabilidades de segurança não corrigidas.
Para se proteger, você deve desinstalar o Java completamente. Se você não puder porque precisa do Java para um aplicativo de desktop como o Minecraft, você deve pelo menos desativar o plug-in do navegador Java para se proteger.
Outros plug-ins de navegador, especialmente os plug-ins de leitor de Flash e de leitor de PDF da Adobe, também precisam regularmente corrigir as vulnerabilidades de segurança. A Adobe se tornou melhor do que a Oracle em responder a esses problemas e corrigir seus plug-ins, mas ainda é comum ouvir sobre uma nova vulnerabilidade do Flash sendo explorada.
Plugins são alvos suculentos. Vulnerabilidades em plug-ins podem ser exploradas em todos os diferentes navegadores com o plug-in em todos os diferentes sistemas operacionais. Uma vulnerabilidade de plug-in do Flash pode ser usada para explorar o Chrome, o Firefox ou o Internet Explorer em execução no Windows, Linux ou Mac.
Para se proteger das vulnerabilidades do plug-in, siga estas etapas:
- Use um site como o plugin do Firefox para verificar se você tem algum plug-in desatualizado. (Este site foi criado pela Mozilla, mas também funciona com o Chrome e outros navegadores.)
- Atualize qualquer plug-in desatualizado imediatamente. Mantenha-os atualizados, garantindo que as atualizações automáticas estejam ativadas para cada plug-in que você instalou.
- Desinstalar plug-ins que você não usa. Se você não usa o plug-in Java, não deve instalá-lo. Isso ajuda a reduzir sua “superfície de ataque” - a quantidade de software que seu computador tem disponível para ser explorado.
- Considere usar o recurso de plug-ins de clique para reproduzir no Chrome ou no Firefox, que impede a execução de plug-ins, exceto quando você os solicita especificamente.
- Certifique-se de que você está usando um antivírus no seu computador. Esta é a última linha de defesa contra uma vulnerabilidade de "dia zero" (uma vulnerabilidade nova e sem correção) em um plug-in que permite que um invasor instale software mal-intencionado em sua máquina.
Buracos de Segurança do Navegador
Vulnerabilidades de segurança nos próprios navegadores da Web também podem permitir que sites mal-intencionados comprometam seu computador. Os navegadores da Web, em grande parte, limparam suas vulnerabilidades de ação e segurança nos plugins, que atualmente são a principal fonte de comprometimento.
No entanto, você deve manter seu navegador atualizado de qualquer maneira. Se você estiver usando uma versão antiga e não corrigida do Internet Explorer 6 e visitar um site de baixa reputação, o site poderá explorar vulnerabilidades de segurança no seu navegador para instalar softwares mal-intencionados sem a sua permissão.
Proteger-se contra vulnerabilidades de segurança do navegador é simples:
- Mantenha seu navegador atualizado. Todos os principais navegadores agora verificam atualizações automaticamente. Deixe o recurso de atualização automática ativado para ficar protegido. (O Internet Explorer se atualiza pelo Windows Update. Se você usa o Internet Explorer, manter-se atualizado sobre atualizações para o Windows é muito importante.)
- Certifique-se de que você está executando um antivírus no seu computador. Tal como acontece com os plugins, esta é a última linha de defesa contra uma vulnerabilidade de dia zero em um navegador que permite que um malware chegue ao seu computador.
Truques de engenharia social
As páginas da Web maliciosas tentam induzi-lo a baixar e executar malware. Eles costumam fazer isso usando “engenharia social” - em outras palavras, eles tentam comprometer seu sistema, convencendo-os a deixá-los sob falsos pretextos, não comprometendo seu navegador ou plugins.
Esse tipo de compromisso não se limita apenas ao seu navegador da Web. Mensagens de e-mail mal-intencionadas também podem tentar enganar você para abrir anexos inseguros ou baixar arquivos não seguros. No entanto, muitas pessoas estão infectadas com tudo, desde adware e barras de ferramentas desagradáveis do navegador até vírus e cavalos de Tróia, por meio de truques de engenharia social que ocorrem em seus navegadores.
Controles ActiveX: O Internet Explorer usa controles ActiveX para seus plug-ins do navegador. Qualquer site pode solicitar que você baixe um controle ActiveX. Isso pode ser legítimo. Por exemplo, você pode precisar fazer o download do controle ActiveX do Flash player na primeira vez que reproduzir um vídeo em Flash on-line. No entanto, os controles ActiveX são como qualquer outro software em seu sistema e têm permissão para sair do navegador da Web e acessar o restante do sistema. Um site malicioso que empurre um controle ActiveX perigoso pode dizer que o controle é necessário para acessar algum conteúdo, mas na verdade pode existir para infectar seu computador. Em caso de dúvida, não concorde em executar um controle ActiveX.
- Download automático de arquivos: Um site mal-intencionado pode tentar baixar automaticamente um arquivo EXE ou outro tipo de arquivo perigoso em seu computador, na esperança de executá-lo. Se você não solicitou especificamente um download e não sabe o que é, não faça o download de um arquivo que aparece automaticamente e pergunta onde salvá-lo.
- Links de download falsos: Em sites com redes de anúncios problemáticas ou em sites em que é encontrado conteúdo pirateado, muitas vezes você verá anúncios imitando os botões de download. Esses anúncios tentam convencer as pessoas a fazer o download de algo que não estão procurando se passando por um link de download real. Há uma boa chance de que links como este contenham malware.
" Você precisa de um plug-in para assistir a este vídeo"Se você encontrar um site que diga que precisa instalar um novo plug-in de navegador ou codec para reproduzir um vídeo, cuidado. Você pode precisar de um novo plugin de navegador para algumas coisas - por exemplo, você precisa do plugin Silverlight da Microsoft para reproduzir vídeos no Netflix - mas se você estiver em um site menos respeitável que queira baixar e executar um arquivo EXE para que você possa jogar seus vídeos, há uma boa chance de que eles estejam tentando infectar seu computador com software malicioso.
" Seu computador está infectado": Você pode ver anúncios dizendo que seu computador está infectado e insistindo que você precisa baixar um arquivo EXE para limpar as coisas. Se você baixar este arquivo EXE e executá-lo, provavelmente o seu computador estará infectado.
Esta não é uma lista exaustiva. Pessoas maliciosas estão constantemente à procura de novas maneiras de enganar as pessoas.
Como sempre, a execução de um antivírus pode ajudar a protegê-lo caso você baixe acidentalmente um programa mal-intencionado.
Essas são as maneiras pelas quais o usuário médio do computador (e até os funcionários do Facebook e da Apple) têm seus computadores “hackeados” por meio de seus navegadores. Conhecimento é poder, e essa informação deve ajudá-lo a se proteger on-line.
