O spam quer ser seu amigo

Parabéns, você ganhou um iPhone. Dilma Rousseff sofre ataque cardíaco — veja as fotos. Você foi selecionado para participar do BBB11. E-mails indesejados podem ser sedutores. Que atire o primeiro comprimido de Viagra quem nunca, mesmo que só por curiosidade, clicou em uma mensagem suspeita enviada por algum desconhecido (produtos farmacêuticos estão entre os recordistas da modalidade). Mas eis aqui uma boa notícia: a guerra contra o spam de e-mail, ao que tudo indica, está sendo vencida. Segundo dados da Cisco, fabricante de equipamentos de telecomunicações, o volume de spam enviado por e-mail em todo o mundo está em queda desde o fim de 2009. Apenas nos últimos três meses, o tráfego desse tipo de mensagem na rede caiu praticamente pela metade.

Negócios criminosos apoiados no spam, durante anos um problema ignorado por governos, hoje estão na mira da lei em muitos países. Nos últimos meses, autoridades têm obtido relativo sucesso em desmontar esquemas em países como Estados Unidos, Rússia e Holanda, tradicionais disseminadores de mensagens maliciosas. Os filtros anti-spam, uma aposta antiga de provedores e fabricantes de software, começam finalmente a render frutos. Mas algo começa a mudar também no que diz respeito a uma parcela bem humana de culpa no problema. “Os usuários hoje estão mais treinados a ignorar mensagens de desconhecidos”, diz Bruno Rossini, gerente da Symantec, fabricante de software antivírus. Fingir ser uma empresa, um governo ou um xeque árabe que quer dividir uma herança polpuda e solucionar os problemas de todos já não convence tanto. “Ataques convencionais por e-mail são impessoais”, diz Peter Cassidy, secretário-geral do Anti-Phishing Working Group, uma ONG sobre crimes na rede. A reputação desse tipo de golpe nas caixas de e-mail está, claramente, em crise.

Por outro lado, os casos de fraude online, a faceta mais perigosa do spam, não param de crescer. E a notícia ruim é que essa é uma batalha que pode estar longe do fim. Segundo dados do CERT.br, a área de segurança do Comitê Gestor da Internet no Brasil, o número de incidentes registrados em 2009 cresceu 61% em relação ao ano anterior (a conta diz respeito apenas aos casos reportados). Em 2010, o prejuízo dos bancos brasileiros com fraudes eletrônicas deve chegar a 900 milhões de reais, segundo a Febraban, a associação do setor. O montante é dez vezes maior do que há seis anos — tudo isso a despeito de investimentos recorde em segurança de sistemas bancários na internet, de 1,9 bilhão de reais em 2010.

---

O fenômeno tem explicação. O problema de fraudes decorrentes do spam não são as mensagens. São os links. Às vezes, eles levam a um site idêntico ao de um banco, porém falso. Eles também podem levar a uma página que infecta o computador com um vírus ou software malicioso, e que pode roubar senhas ou usar a máquina para fazer novos ataques. O desafio do spam do mal, afinal, está em convencer a vítima a clicar — pouco importa de onde chegue o link. Dada a dificuldade de fazer isso por e-mail, os criminosos hoje se esforçam para explorar relações de confiança na rede. E não há, provavelmente, lugar melhor para fazer isso do que as redes sociais. Segundo a Sophos, companhia de segurança de TI, o número de ataques a usuários nesses sites cresceu 70% em 2009.

Spams maliciosos agora chegam travestidos não de propostas de xeques do outro lado do oceano, mas talvez com o nome de seu melhor amigo. Ele diz que quer compartilhar com você as fotos do fim de semana. Ou que está precisando, urgentemente, de um empréstimo. “A conversão dos golpes que chegam por canais onde há relação de confiança entre usuários tende a ser maior”, diz José Matias, gerente da McAfee, fabricante de antivírus. Links embutidos em mensagens de Twitter, segundo um estudo da Universidade da Califórnia, em Berkeley, têm probabilidade até 20 vezes maior de ser clicados que os recebidos por e-mail. Ao utilizar o poder viral das redes sociais, as fraudes tomam outra escala. Em um único ataque, no início de novembro, um golpe resultou no roubo de identidade de 150 000 contas de Orkut. Links automáticos enviados por usuários infectados sugeriam, em bom português, a instalação de uma ferramenta que permitiria assistir TV por assinatura gratuitamente no computador. Muitos tiveram dados bancários roubados.

Para as redes sociais, os transtornos causados pelo spam já são difíceis de esconder. Em 2008, o Facebook abriu um processo contra o empreendedor Adam Guerbuez, acusado de usar uma brecha no sistema para enviar mensagens de propaganda de produtos farmacêuticos e adultos por redes de contato de usuários do site. No total, mais de 4 milhões de mensagens teriam sido enviadas. Em novembro daquele ano, uma corte da Califórnia aplicou uma multa de 873 milhões de dólares contra Guerbuez. O caso virou piada. Guerbuez entrou com pedido de falência, ganhou enorme exposição na mídia e hoje se vende como especialista em marketing digital (“O homem dos 873 milhões de dólares negativos”). E o Facebook, além de não ganhar um tostão com o caso, acabou chamando a atenção para o problema do spam em sua própria rede. Um quinto dos usuários da rede social, segundo um estudo da empresa de segurança BitDefender, está exposto a conteúdo malicioso todos os dias. Outra pesquisa, da concorrente F-Secure, apontou que 78% dos usuários já consideram o spam um problema do Facebook. “Queremos policiar o site e assegurar que o Facebook não seja visto como alvo de spammers”, disse Sam O’Rourke, conselheiro sênior do Facebook, à época da sentença. A julgar pela sede dos criminosos, essa será uma missão difícil — até mesmo, quem sabe, para um xeque árabe.