Roubo de dados: como identificar que seu site está sendo invadido?

imagens_blog_siteblindado_setembro_roubo_de_dados_como_identificar

Pessoas mal-intencionadas podem invadir um site por diversos motivos. Algumas destas razões podem ser por pura exibição de habilidade, de forma que elas fazem uma desconfiguração de imagens e textos do site invadido. O ataque pode ser ainda para se aproveitar da reputação que há em um site para a distribuição de adware (anúncios), Malvertising ou mesmo para alavancar a visibilidade de outros sites hackeados. Em casos ainda mais graves, a intenção pode envolver a instalação de vírus no computador do visitante, derrubada de outros sites e a propagação de malwares, que irão infectar o site invadido para o roubo de credenciais de acesso, contas bancárias e outras informações pessoais dos visitantes cadastrados.

As razões para as invasões a um site são muitas, mas o objetivo do roubo de dados existentes nesse site quase sempre é o mesmo: financeiro, de forma que as informações obtidas dessa forma costumam ser usadas tanto por aqueles que invadem tais sites, quanto para a venda do banco de dados para outras pessoas.

O processo para invadir o site envolve que a pessoa mal-intencionada descubra uma falha de segurança existente em algum plug-in ou software associados ao site, crie então um script ou programa que dê acesso ao sistema vulnerável e passe a buscar por sites que usem este plug-in ou versão do software comprometida. É possível que o atacante instale ainda um software furtivo ou então um código que mantenha um vetor de acesso para se injetar o conteúdo desejado.

Quando invade um site, a pessoa mal-intencionada pode ter acesso ilimitado ao seu servidor, de forma que poderá incluir ou remover as informações que desejar – e que puder favorecê-la em suas intenções. Assim, o desafio para alguns gestores destes sites é justamente identificar que o site foi invadido e, daí então, começar a trabalhar em medidas que solucionem esse problema.

Para quem pretende entender alguns caminhos que costumam indicar que um site foi invadido, separamos abaixo algumas situações mais comuns:

O consumidor te comunicou sobre algo suspeito no site

Um cliente poderá identificar uma atividade suspeita em seu site, notando algum conteúdo “diferente” ou, em casos mais graves, após ter sido vítima de alguma fraude e roubo de dados. É um caminho comum mas bem danoso para a reputação do site e, por isso, antecipar o problema, investindo na prevenção (e não na correção) das vulnerabilidades pode ser a melhor opção. De qualquer forma, se algum consumidor disser que algo no site está estranho, então é melhor analisar tudo com cuidado para ter certeza de que o site não foi invadido.

Navegação como visitante

Com certa frequência, embora nem sempre isso possa ocorrer, sites passam por modificações visíveis como desconfiguração de layout, inserção de textos ou imagens desconhecidas, urls e fontes “estranhas”. Quando o visitante navega no site, ele tende a observar essas mudanças e pode ou não desconfiar que o site foi invadido. Mas, se o site é seu, que tal fazer você mesmo esse caminho? Para isso, mantenha visitas frequentes no seu site e sem estar logado em painéis de controle, e então veja exatamente como ele é exibido para o visitante e se não há nada de anormal por ali.

O servidor ou hospedagem derrubaram seu site

Claro, algumas quedas do site podem ocorrer por inúmeros fatores e raramente elas estão associadas a um site hackeado. Mas, em alguns casos, servidores podem identificar que o site está com algum tipo de malware ou que foi invadido ou receberem comunicados de usuários ou visitantes. Assim, é comum que eles tirem o site do ar para evitar que o conteúdo infectado seja espalhado por meio do seu site e a opção pode ser tirá-lo do ar como medida de segurança.

Picos de tráfego e download

Um aumento muito grande e sem explicação no número de visitas ao site, bem como uma queda muito brusca nas visitas, ou número de download de conteúdo, pode sinalizar que o site está comprometido e algumas pastas tenham sido substituídas no servidor e estão linkando para fóruns e outros sites para distribuir downloads ilegais. Um grande tráfego de saída pode sinalizar que o sistema pode ter sido sequestrado para o envio de spams e as quedas podem indicar que o site tenha sido hackeado e o navegador passou a exibir mensagens de segurança e cautela para os usuários como “esse site poderá danificar seu computador” e eles preferirem não acessá-lo. Por isso, monitore o tráfego com frequência e atenção!

“Este site pode ter sido invadido”

Você já deve ter visto indicações do navegador de que algum site contém malware ou phishing e alertando usuários sobre o risco de acessá-lo. Além destes alertas, é possível que o buscador também tenha identificado algo suspeito como a alteração de páginas internas, adição de páginas de spam ou malware, e passe a exibir, durante a busca, um indicativo de que “Este site pode ter sido invadido” ou de que “Este site pode danificar seu computador”. Se quiser ver se a notificação aparece para uma busca por seu site, procure digitando a palavra “site”, seguida por dois pontos e mais o domínio do seu site. Ex: site:www.seusite.com – mas lembre-se que nem sempre o Google irá identificar uma invasão e que, por isso, vale se atentar aos outros sinais de problemas com o site e que estão listados aqui.

Mudanças nos códigos e/ou diretórios no site

Se você conhece muito bem os diretórios de seu site e detalhes da codificação, vale ficar de olho no HTML e se não houve uma inserção ou alteração suspeita nos arquivos do site. Alguns alvos comuns são os arquivos .php, .htaccess e arquivos de mídia, valendo-se ainda do uso de JavaScript e iframes. Uma opção é fazer buscas por palavras suspeitas ou por códigos mais comuns que indiquem invasões ou que sejam utilizados para mascarar malwares, como o “base64”, geralmente inserido em arquivos .php para infectar o site. Caso alguém cuide do site e segurança para você, vale solicitar esse diagnóstico, além, claro, de outras medidas de correção das vulnerabilidades.

Elementos embedados no site

Qualquer tipo de conteúdo indexado e que incentive visitantes do site que façam download ou executem algum arquivo e que não tenham parado ali por meio do editor responsável pelo site é um indicador de que o site pode ter sido invadido. A pessoa mal-intencionada provavelmente colocou pastas infectadas no site e espera que os visitantes que confiam em sua reputação façam o download ou executem estes arquivos.

Reagendamento em servidor ou hospedagem

Alguns atacantes poderão criar uma task no painel de controle para reinfectar o site, por isso vale olhar se não há nenhuma atividade agendada, mas que não tenha sido programada por você ou por alguém que você tenha conhecimento.

Estes são alguns sinais que indicam a existência de uma invasão no site e possibilidades de roubo de dados. Conhecendo cada um deles, é mais fácil identificar a invasão e corrigir o problema. Mas, melhor ainda é se antecipar sobre os riscos de vulnerabilidade que o seu site está exposto e prevenir qualquer problema com uma boa dose de segurança.

Comente

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s