Falsa reputação on-line esconde más intenções em sites de venda

Esse aqui é garantido. A frase soa bem para quem vai fazer compras on-line e encontra um vendedor com uma boa reputação no site de vendas. Mas, às vezes, essa reputação não tem equivalência com a vida real.

Dan Hubbard, da Websense, recheou sua palestra na Conferência CanSecWest, em Vancouver, com exemplos reais de como os sistemas de reputação virtuais podem ser manipulados por criminosos on-line. Demonstrou, por exemplo, como piratas poderiam usar uma falha no site de leilões eBay para mudar a reputação de um vendedor.

A empresa demorou, segundo Hubbard, cerca de uma hora e meia para encontrar um vendedor que teve seu status alterado para melhor. Segundo ele, pode parecer pouco tempo, "mas é o suficiente para aquela venda ter centenas de milhares de acessos".

Um dos problemas dos sistemas de recomendação, segundo ele, é que eles são alterados por meio de artimanhas nas páginas da web 2.0, que permitem conteúdo gerado pelo usuário. Segundo ele, "70% dos sites mais acessados do mundo permitem tal conteúdo". Dessa forma, criminosos conseguem colocar links para sites maliciosos, que ganham um ranking melhor nos sistemas de busca e melhoram artificialmente a reputação da página pirata.

Mas nem só os usuários finais olham para a reputação on-line. Complexos sistemas anti-spam também utilizam dados desse tipo para classificar os e-mails que passam por sua base. E spammers aumentaram o foco nesses sistemas de reputação.

Um exemplo é o investimento recente de criminosos em ultrapassar o Captcha (aquelas letras tortas para confirmar que quem faz um cadastro é humano, e não um robô) de serviços de e-mail como o Gmail, que goza de excelente status com as ferramentas de filtragem de mensagens.

Surpreendente é que, segundo Hubbard, há indícios de que existem pessoas pagas para digitar as letras --um robô faria o resto do trabalho. E mais surpreendente é a porcentagem de sucesso nas tentativas de driblar o Captcha, se feitas mesmo por humanos: 20%. "Não entendemos o motivo para tão pouco", disse ele.

Para usuários finais e técnicos em segurança, fica uma dica de Hubbard. A reputação, se não é a solução da internet, continua sendo um critério importante. Mas é preciso olhar diversos pontos, como o tempo em que um vendedor está atuante em um site de leilão, o lugar e a vizinhança (há provedores suspeitos, que aceitam qualquer tipo de site).