“Encurtadores” de URL escondem grandes riscos

[Mário Monteiro 179]

“Encurtadores” de URL escondem grandes riscos

 

Reproduzo matéria assinada pelo amigo Marlos Mendes (O DIA) sobre os perigos que rondam sites que abreviam URLs como Migre.me e Bit.ly. Estes sites são essenciais para quem usa o Twitter, mas podem esconder grandes riscos

 

Em busca das melhores posições em resultados de pesquisas no Google, os sites passaram a adotar URLs cada vez mais detalhadas e, por isso, longas. Bom para as ferramentas de busca, ruim para os microblogs. Ante a barreira de 140 toques do Twitter, compartilhar um link tornou-se um problema. A solução veio com os encurtadores de URL, como o Bit.ly e o brasileiro Migre.me, sites que transformam centopéias como http://odia.terra.com.br/portal/ataque/copa2010/html/2010/2/dunga_deixa_ronaldinho_gaucho_fora_do_amistoso_contra_a_irlanda_63198.html num simples http://migre.me/jpgJ

 

Esses sites são como um cadastro de links, associando endereços grandes e abreviados em banco de dados. O usuário cria uma conta gratuita, com a qual pode checar quantas vezes o link foi clicado, repassado, entre outros dados.

 

Mas a praticidade tem um preço. Ao trocar um endereço completo por um atalho, abre-se uma brecha para golpistas. “Serviços desta natureza estão proliferando. O perigo é alguns não são confiáveis e expõem o usuário, que, ao clicar num link curto, pode ser levado a sites maliciosos”, explica Alexandre Freire, consultor em Segurança da Informação e autor do livro “Como blindar seu PC”, da editora Campus.

 

Segundo Freire, há vários riscos de segurança. “O atalho mascara totalmente o endereço do site de destino que está por trás do link curto. O usuário só perceberá o verdadeiro site no momento do acesso, o que pode ser tarde demais. A maioria dos sites maliciosos dispara cerca de 80% de códigos hostis no primeiro acesso e nos poucos segundos em que a página é carregada”, analisa.

 

Cientes do risco, os encurtadores de URL começaram a criar uma lista negra de sites perigosos. “Esse cadastro é muito básico e incipiente. pois esses sites ainda não estão preocupados em dar segurança. Os serviços de segurança virão, mas ainda vai demorar e será algo muito básico”, diz.

 

Outro risco é um usuário ter sua conta invadida. Um golpista pode roubar as credenciais de um usuário legítimo por meio de um cavalo de Troia, acessar o site e editar os links curtos, alterando o cadastro para sites maliciosos.

 

“O endereço curto, legítimo, seria alterado para endereços maliciosos sem que o usuário percebesse”, explica.

 

O especialista acredita que invadir sites legítimos é a forma mais fácil de ludibriar o internauta. O golpista pode, por exemplo, invadir um site que use links curtos e trocá-los no HTML da página por outros, igualmente pequenos, mas que apontam para armadilhas. “O usuário não vai perceber porque as URLs curtas parecem todas iguais. Isso é um grave problema”, diz.

 

Na mira dos golpistas

 

Segundo relatório da McAfee (http://migre.me/jq8z), Facebook e Twitter serão os principais alvos de golpistas em 2010. Uma das causas é o uso de encurtadores de URL. Um link malicioso no Twitter pode comprometer até milhares de usuários em minutos e abrir caminho para formação de redes botnets e zombies, usadas para ataques de indisponibilidade de serviço (DoS), roubo de dados, e spams.

 

Como aconteceu no final de janeiro, quando circularam no Twitter links com a falsa notícia da morte do ator Johnny Depp que levariam ao site da CNN, onde haveria fotos e vídeos. Segundo alerta da Sophos, o boato estava sendo usado para espalhar um cavalo de Troia (Troj/Dldr-DB). Houve boato semelhante sobre o rapper Kanye West.

 

Usuários que acessam redes sociais por smartphones não estão livres das ameaças. Segundo Alexandre Freire, consultor em Segurança da Informação, a maioria dos antivírus pode checar se um link contém ameaça. “O problema é que esse serviço de link scanner acaba baixando a velocidade de conexão, e o usuário prefere desabilitar a verificação”, diz.

 

Em se tratando de smartphones, a situação se agrava porque os antivírus não são tão eficientes. "O que de fato protege o usuário nessas plataformas móveis é o acesso a site fidedignos e o uso de serviços conhecidos".

 

Fonte: iMasters

[RafaelSonyLock 18]

Sim, claramente !

 

É só passar um arquivo malicioso para um site normal, um lugar para fazer download, coloca nesse encurtador e distribui !

 

Prontinho, agora é só esperar que alguém caia !

[Bruno Augusto 417]

Acredito que uma boa forma de pelo menos diminuir esse problema seria fazer uma intermediação entre redirecionamentos.

 

Ao clicar num desses links curtos, ao invés de abrir diretamente o site associado, abrir uma página mostrando algumas informações a respeito do dito link. Tais informações deveriam ter, óbviamente, a URL original para que, pelo menos visualmente, fosse filtrada pelo usuário antes de clicada.

 

Outras seriam o usuário que adicionou, empresa (se tiver), site, um contador de URL's cadastradas e links de reputação, com contagem também pública.

 

Assim, antes de clicar, alguns fatores poderiam ser ponderados pelo internauta influenciando ou não a decisão de seguir o link.

[Pablo RD 5]

Seria bom mesmo o que o Imaggens falou...

[Mário Monteiro 179]

Acredito que os encurtadores deverão se profissionalizar mais para preservar os usuários e eliminar links maliciosos antes de serem seguidos

[GabrielFerrari 41]

Acredito que os encurtadores deverão se profissionalizar mais para preservar os usuários e eliminar links maliciosos antes de serem seguidos

 

Mais uma vez o google vai sair ganhando com seu encurtador de url

Já que certamente é o que tem mais recursos