Muitas pessoas já passaram por situações em que seus dispositivos foram infectados por softwares maliciosos, seja ao baixar e executar aplicativos, acessar sites maliciosos ou até clicar em links que pareciam ser outra coisa.

Por exemplo, já houve casos de pessoas que tentaram baixar aplicativos para assistir a filmes e séries gratuitamente e acabaram tendo suas credenciais roubadas. Outras acessaram sites maliciosos a partir de um link recebido por e-mail que simulava ser de uma instituição legítima, e inseriram seus dados voluntariamente, ainda que enganadas.

Também é comum que os cibercriminosos explorem vulnerabilidades nos navegadores para exibir pop-ups com links maliciosos disfarçados de captchas ou de mensagens sobre supostos problemas técnicos, como já foi observado na técnica conhecida como ClickFix.

Entre as diversas estratégias do cibercrime, nesse mar de possibilidades e tipos de ataques que envolvem a disseminação de links maliciosos, uma pergunta costuma surgir: é possível se infectar apenas ao clicar em um link?

A resposta curta é “sim”, mas é importante esclarecer em quais condições essa situação pode ocorrer.

É possível se infectar com um clique?

Quando se clica em um link, o navegador simplesmente carrega uma página web. Sistemas modernos (Android, iOS, Chrome, Safari etc.) possuem barreiras que impedem que um site instale software automaticamente. Por isso, apenas com o clique não se baixa nem se executa malware, pelo menos em princípio.

No entanto, os criminosos implementam métodos cada vez mais sofisticados para contornar essas barreiras e podem forçar o download de um arquivo. Essas técnicas, como os chamados “drive-by downloads”, malvertising ou exploit kits, só funcionam se o sistema do usuário apresentar vulnerabilidades técnicas não corrigidas. Ou seja, se o navegador, o sistema operativo ou algum componente adicional (como plugins ou extensões) estiver desatualizado ou tiver falhas de segurança, o clique pode ser suficiente para iniciar uma infecção sem que o usuário perceba.

Na maioria dos casos, no entanto, o link malicioso é a porta de entrada para uma cadeia de enganos que exige, em sua etapa final, que o usuário execute manualmente o arquivo malicioso (por exemplo, um APK ou .exe). Como se vê na técnica dos captchas falsos ou no ClickFix, a vítima é enganada a seguir passos que acabam instalando o malware em seu dispositivo.

Quais são os tipos de ataques mais comuns?

Embora existam muitos tipos de ataques e novas formas surjam todos os dias, há certas tendências e pontos em comum: muitos dependem de enganar o usuário ou de obter permissões indevidas (engenharia social), enquanto outros exploram vulnerabilidades em sistemas ou aplicativos.

Se fôssemos enumerar os mais comuns, seriam:

  • Spyware: um dos tipos mais frequentes de software malicioso e também um dos preferidos no crimeware. Basicamente, é um malware que, de forma oculta, “espiona” a vítima, coletando dados do teclado, do navegador, do sistema, fazendo capturas de tela, gravando áudio, entre muitas outras funções.
  • Phishing / Spear-phishing: são basicamente fraudes enviadas por e-mail, mensagens de texto ou redes sociais, com o objetivo de fazer o usuário fornecer credenciais, informações pessoais ou executar ações como baixar arquivos ou acessar sites falsos.
  • Trojan bancário: um tipo de software malicioso voltado à obtenção de informações bancárias ou financeiras, como credenciais. Geralmente, captura o que é digitado, imita instituições financeiras e redireciona o usuário para sites falsos, entre outras ações.

Como se executa realmente um ataque?

Um ciberataque geralmente segue uma série de etapas que, na prática, costumam ser chamadas de Cyber Kill Chain:

  1. Reconhecimento: os criminosos começam pela investigação, identificação e seleção de alvos. Essas informações são obtidas a partir de sites, redes sociais, listas de e-mail e, em geral, qualquer atividade que permita identificar que tipo de informação pode ser útil.
  2. Militarização (weaponization): uma vez que se conhece como uma empresa ou alvo funciona e quais tecnologias utiliza, os cibercriminosos definem a forma como agirão. Por exemplo, podem preparar um trojan que inclua um exploit para aproveitar uma vulnerabilidade específica nos sistemas da vítima.
  3. Entrega (delivery): com o método de ataque definido, os criminosos buscam a maneira mais conveniente de propagar sua ameaça: anexos de e-mail, sites vulneráveis, dispositivos USB, entre outros.
  4. Exploração (exploitation): após a propagação da ameaça, o atacante espera que o código malicioso seja executado e, assim, explore a vulnerabilidade escolhida em um sistema operacional ou aplicação em particular.
  5. Instalação (installation): depois de explorar a vulnerabilidade, o invasor a utiliza para obter acesso ao sistema da vítima, garantindo persistência no ambiente e acesso às informações desejadas.
  6. Comando e controle (command & control): com o sistema sob seu controle, o atacante estabelece canais de comunicação remotos que lhe permitirão controlar o sistema comprometido.
  7. Ações sobre os objetivos (actions on objectives): uma vez instalados nos sistemas das vítimas, os criminosos buscarão a melhor forma de extrair informações, obter acesso a aplicações específicas ou movimentar-se lateralmente na rede em busca de outros alvos.

O mito de “entrei em um site e esvaziaram minha conta bancária”

Essa é uma das frases mais ouvidas quando alguém relata ter sido “hackeado”, especialmente em casos de perda de dinheiro, acreditando que o motivo foi ter acessado uma página maliciosa.

Uma simples visita a um site não pode, por si só, esvaziar uma conta bancária. Os navegadores não permitem acesso direto a credenciais bancárias ou a aplicativos financeiros sem a interação do usuário.

Para que isso aconteça, é necessário que tenha ocorrido um roubo prévio de credenciais (como explicado anteriormente) ou um acesso remoto após a instalação de um software malicioso. O mais provável, nesses casos, é que o usuário tenha acessado um site falso — criado por cibercriminosos para enganá-lo — e inserido suas credenciais bancárias. Pode se tratar, por exemplo, de uma página falsa de compra e venda de produtos ou até mesmo de uma página que imite o site oficial do banco. Assim que as credenciais são digitadas, os atacantes passam a ter acesso à conta da vítima.

Outra possibilidade é que o usuário tenha acessado um site que o levou a baixar um arquivo malicioso (scripts, executáveis etc.). Esses arquivos podem conter funções para coletar informações do dispositivo, registrar teclas digitadas, capturar senhas armazenadas no navegador e, consequentemente, permitir que os cibercriminosos obtenham as credenciais.

Nos casos em que se suspeita de acesso indevido a contas bancárias, roubo de credenciais ou perda de dinheiro, é recomendável:

  • Alterar as senhas a partir de um dispositivo seguro.
  • Comunicar imediatamente o banco ou a instituição financeira.
  • Verificar o histórico de movimentações e desativar transferências automáticas.
  • Ativar a autenticação de dois fatores (2FA).

Conclusão

Em princípio, um clique não deveria causar incidentes, mas é importante ter atenção antes de realizá-lo, já que pode abrir a porta para cibercriminosos caso a pessoa caia em uma armadilha que leve a sites falsos, downloads ou execução de arquivos maliciosos. A maioria dos ataques que começam com engenharia social depende da participação do usuário em ações como instalar programas, conceder permissões ou fornecer informações. Na hora de clicar, é fundamental ter discernimento e observar possíveis sinais de alerta e evitar agir por impulso pode ser um comportamento capaz de nos proteger de um ciberataque.

Ainda assim, é claro que, como seres humanos, podemos ser enganados e acabar vítimas dessas ameaças. Por isso, é essencial adotar outras medidas de segurança, como senhas fortes, autenticação em duas etapas, sistemas e aplicativos sempre atualizados e o uso de soluções de segurança, como antivírus e ferramentas antiphishing que são capazes de detectar e bloquear comportamentos potencialmente maliciosos.