segunda-feira, 21 de maio de 2007

Pesquisa mostra que usuários clicam em links perigosos


Pesquisador americano descobriu que internautas clicariam voluntariamente em um link malicioso. Como parte do projeto de pesquisa, anúncios maliciosos foram cadastrados pelo sistema Google AdWords e publicados em milhares de sites no mundo todo. O baixo custo do golpe mostra que, pelo menos na Internet, o crime parece compensar.

O estudo utilizou um site simples, especialmente desenvolvido para apenas registrar as visitas sem fazer nada de maldoso no PC do visitante. Para que o internauta chegasse nesse site, era necessário clicar em um anuncio no qual estava escrito "Seu PC está livre de vírus? Clique aqui para ser infectado". Esse anúncio, por sua vez, foi inserido em milhares de outros sites usando agências de propaganda online de baixo custo como o Google AdWords.

Em um primeiro momento, poderia-se pensar que ninguém clicaria numa mensagem dessas. A verdade, entretanto, está longe disso. De acordo com o pesquisador de segurança da informação Didier Stevens, 0,16% das pessoas clicariam nesse banner.

Um dado adicional revela que 98% dessas pessoas rodam alguma versão do sistema operacional Windows. Esta informação, no entanto, não enriquece tanto as estatísticas: "Bem, 98% de qualquer coisa vem de usuários rodando Windows porque 98% dos usuários de computador rodam Windows", comentou Maurício Bussab, veterano usuário de PC.

A pesquisa foi publicada no blog de Didier, segundo o site de notícias Slashdot. Vários sites sobre segurança da informação, como o Root Secure, o IT Toolbox e a revista Wired fizeram menção à pesquisa de Stevens.

Além de apontar a falta de compreensão de textos por parte dos internautas e a clara insegurança da Internet, a pesquisa mostra que um anúncio malicioso pode ser publicado pelo Google a um baixo custo - e, o que é pior, sem causar estranheza nem gerar qualquer procedimento de remoção imediata pelo site.

Pelo sistema Google AdWords, um anúncio em modo texto sai por um preço irrisório e é publicado em milhares de sites no mundo todo. Toda a pesquisa, que ficou no ar por seis meses, custou apenas US$ 23 e o anúncio foi mostrado em mais de 259 mil sites. A pesquisa não infectava de verdade as máquinas dos incautos, apenas registrava o clique. Entretanto, se fosse uma ação maliciosa promovida por um bandido digital, cada um dos internautas teria custado apenas US$ 0,06 para ser infectado.

Quanto a clicar em links aparentemente ameaçadores apenas à guisa de curiosidade, o power-user Bussab acrescentou: "Eu clicaria nisso. Porque me sinto suficientemente seguro com meus firewalls e antivírus para clicar num link desses sem ser infectado. Eu ficaria muito curioso".

Durante todo o tempo em que a pesquisa esteve no ar, em nenhum momento o Google tomou qualquer atitude. As palavras do anúncio foram escolhidas para serem óbvias e facilmente percebidas como ameaça e, mesmo assim, a peça publicitária maligna ficou no ar durante seis meses sem que ninguém no Google notasse.

Via: Magnet.

Nenhum comentário:

Postar um comentário