O lançamento da nova criptografia Hypertext Transfer Protocol Secure do Facebook está quase completa. (Elinor Mills descreveu o recurso em um post em seu blog InSecurity Complex na semana passada.) Embora a criptografia seja uma adição bem-vinda à rede social, está longe de ser uma panacéia de segurança do Facebook.

Para ativar a criptografia no Facebook, clique em Conta no canto superior direito e escolha Configurações da conta. Selecione Alterar ao lado de Segurança da conta para visualizar suas configurações atuais. Marque a opção em Navegação de segurança (https). Você também pode querer marcar "Enviar-me um e-mail" em "Quando um novo computador ou dispositivo móvel fizer login nesta conta" para ser alertado sobre possível acesso não autorizado à sua conta.

É ótimo que o Facebook esteja tomando providências para proteger seus clientes de golpistas e ladrões de identidade, mas há tanta coisa que empresa ou qualquer serviço da Web pode fazer para impedir bisbilhoteiros e fornecedores de malware. No caso do Facebook, o elo fraco pode ser jogos e outros aplicativos que permanecem descriptografados.

No começo da semana, o pesquisador de segurança da Sophos, Graham Cluley, escreveu em seu blog Naked Security sobre uma falha no Facebook descoberta por dois estudantes. De acordo com Cluley, o malware pode imitar um aplicativo que recebeu permissão para acessar seus dados e publicar em seu mural para lançar ataques de phishing e propagar vírus e cavalos de Tróia.

Inicialmente, o pesquisador não conseguiu duplicar o método de ataque porque suas configurações de segurança do Facebook eram "bastante rígidas", mas diminuir as configurações permitiu que ele obtivesse acesso à sua conta através do aplicativo fraudulento.

Em agosto de 2009, descrevi como alterar as configurações padrão de segurança do Facebook para tornar o serviço mais seguro. As opções de privacidade mudaram um pouco desde então, mas as etapas para fortalecer sua segurança no Facebook são as mesmas. A página Controlando como você compartilha do Facebook entra em maiores detalhes sobre as opções de segurança do serviço.

Cluley relata que os estudantes notificaram as autoridades de segurança do Facebook sobre a falha e foram corrigidos. Mas, como aponta o pesquisador da Sophos, um sistema complexo como o Facebook certamente conterá outras falhas, algumas das quais podem ser exploradas por bandidos.

Usuários do Facebook visados ​​por phishers

Como você pode esperar, o sucesso do Facebook tornou o alvo favorito dos golpistas da Internet. O fornecedor de segurança Panda Security informou recentemente sobre dois novos ataques de malware que tentam enganar os usuários do Facebook para abrir um falso anexo de e-mail e clicar em um link em uma mensagem instantânea, respectivamente.

O e-mail avisa os usuários que sua conta do Facebook está sendo usada para enviar spam e sua senha foi alterada. Eles são instruídos a abrir o anexo da mensagem, que inclui um ícone do Microsoft Word, para localizar a nova senha e, em seguida, efetuar login e alterar a senha. O anexo abre o Word para fazer os usuários acharem que é legítimo, mas também abre todas as portas do sistema e se conecta aos serviços de email na tentativa de enviar spam, segundo pesquisadores do PandaLabs.

O link no falso IM faz o download de um worm que assume a conta do Facebook da pessoa e bloqueia-o, exibindo uma mensagem quando tentam efetuar login informando que a conta foi suspensa. Para reativar a conta, a mensagem os instrui a preencher um questionário e até promete prêmios para isso.

O questionário até pede que o número do celular da pessoa receba "créditos de download de dados" e uma nova senha seja usada para reativar a conta. Isso quebra várias das regras principais da computação segura:

• Não clique em links em e-mails ou mensagens instantâneas, mesmo se achar que confia no remetente. Os phishers podem ter comprometido a conta da pessoa para uso em seus esquemas nefastos.

• Não abra anexos de e-mail que você não esteja esperando sem verificá-los com o remetente de antemão.

• Não ofereça informações pessoais a qualquer site em que você não confia e que não use criptografia. Procure por "https:" no início do URL e o ícone de bloqueio, perto do endereço na parte superior da tela ou na barra de status na parte inferior da tela, dependendo do seu navegador.

Certamente haverá tentativas novas e mais engenhosas de induzir os usuários do Facebook a dar acesso a suas contas por ladrões e espiões. Proteger contra eles é responsabilidade de todo usuário do Facebook. Começa sabendo que os bandidos estão lá fora, esperando que nós baixemos a guarda.