(Fonte da imagem: Herbert Thompson)

Herbert Thompson tinha tudo para ser mais um estudante comum, mas desde 2008 ele rouba identidades na internet. Calma, Thompson não está mal-intencionado nem cometeu nenhum crime virtual até então. Seus “roubos” são parte de um estudo que acaba de ser publicado na revista Scientific American.

Segundo ele, a proposta é alertar os internautas da fragilidade do sistema de segurança adotado pela maioria das companhias. “É possível roubar todos os dados de uma pessoa na web, a partir de uma simples pesquisa no Google”, alerta Thompson.

Em linhas gerais, os sete passos seriam os seguintes:

  • 1 - No Google, localize um blog pessoal da vítima e um resumo com suas aptidões e interesses. Links para redes sociais também interessam. Em alguns desses lugares, muito provavelmente você obterá um enedereço de email do Gmail.
  • 2 - O próximo passo é tentar acessar uma conta bancária. Mesmo que você esteja errado, o site deve retornar uma pergunta secreta ou um email para cadastro e lembrete de uma nova senha.
  • 3 - Você ainda não tem acesso ao Gmail da vítima. É hora de repetir o procedimento, tentando clicar em links de recuperação se senha e pergunta secreta. Você receberá um email em alguma conta secundária, provavelmente um antigo email, do colégio ou universidade, muito comuns nos EUA.
  • 4 - O próximo passo é acessar a conta de email do colégio. É aqui que reside o maior problemas já que o nível de segurança em geral é mais baixo. Dados simples como CEP e data de nascimento costumam resolver.
  • 5 - Caso você não tenha a data de nascimento, pode consultar essa informação em algum órgão público. Algumas consultas veiculares são abertas ao público nos EUA, de forma que fácil descobrir o dia do aniversário além de outro dados pessoais.
  • 6 - Caso a documentação não esteja acessível, tente procurar no blog pessoal da vítima. É bem provável que lá exista um post ou uma menção à data de aniversário com o ano de nescimento.
  • 7 - De posse de todos esses dados se torna simples conseguir a senha do email da época do colégio. Dentro dele você terá acesso ao lembrete de senha do Gmail. Com a senha do serviço da Google, você terá acesso ao email enviado pelo banco. Pronto, sua conta acaba de ser crackeada.

Ao definir a vítima a partir do Google, o hacker encontra o blog pessoal dela, com links para redes sociais e, provavelmente, endereços de email. Em seguida, tenta entrar na conta usando as dicas de senha como referência.

Ao solicitar uma nova senha ou mais informações, é possível que alguns dos serviços, como o email da universidade, por exemplo, acabe disponibilizando a possibilidade de reenvio de senha para um novo endereço. Basta que ele consiga uma senha ou acesso a uma rede para que, em cascata, todos seus códigos sejam quebrados.

O estudo completo (em inglês) pode ser conferido neste link. Vale lembrar que as contas “roubadas” por Thompson foram todas relatadas no estudo, de forma que as vítimas ficaram cientes dos perigos que corriam. O Tecmundo não recomenda que você tente seguir os passos e faça o mesmo, afinal essa atitude é criminosa.

Cupons de desconto TecMundo: