O mistério do quadrado preto

O que acontece quando um programa espião tenta fazer uma captura de tela feita em um computador protegido por produtos Kaspersky?

Olá pessoal!

Conseguem adivinhar o que é isso? Não é uma versão vandalizada do Quadrado Preto de Malevich.

Essa caixa preta se parece – mais ou menos – com uma captura de tela feita por um programa suspeito em um computador protegido por um produto Kaspersky Lab como, por exemplo, o Kaspersky Premium. Por quê?

Nossos produtos bloqueiam capturas de tela porque cibercriminosos – e outros delinquentes cibernéticos – estão muito interessados em acessar contas de usuários. Os motivos variam – dinheiro, espionagem, manias de grandeza como a de Heróstrato, bisbilhotar cônjuges/concorrentes/inimigos etc. – e  os invasores usam diferentes métodos.

Mas você pode estar se perguntando: por que malwares querem fazer print screen dos dispositivos? Sites e programas substituem os caracteres de uma senha por genéricos, então qual o objetivo?

Na verdade, há diversas maneiras de contornar esse sistema de proteção de senhas.

Primeiro, usuários frequentemente têm a opção de ver a senha digitada (“exibir senha” ou algo assim). Segundo, muitos serviços mostram sempre os últimos símbolos de um código de acesso. Terceiro, alguns o substituem por pontos apenas quando o usuário passa para o próximo campo de entrada.

Quarto, outros serviços nem substituem os caracteres, ao invés disso, deixam minúsculo o tamanho da fonte do campo de senha – a ideia é torná-la ilegível para quem esteja por perto (infelizmente, isso não é um obstáculo para malware). Quinto, uma série de lifehacks e ferramentas (como o pwdcrack) permitem que os cibercriminosos desabilitem os recursos que protegem os caracteres da combinação de acesso. No fim das contas, a probabilidade de uma senha ser exibida em uma tela está longe de zero, e malwares podem facilmente explorar esse fato.

Aliás, a probabilidade de alguém espiar sobre o seu ombro – ou de uma câmera de segurança dar uma olhada na sua senha – é insignificante se comparada com a ameaça de ser lida por um malware que captura de telas.

Provavelmente o Trojan bancário mais conhecido, o Zeus – assim como muitos dos seus clones – inclui essa função no seu conjunto de ferramentas. Por exemplo, um deles, chamado KINS, conduz um ataque que faz capturas de tela não apenas quando as teclas são pressionadas, mas também quando ao clicar no mouse. Isto é, mesmo que se use um teclado virtual em um site bancário, o malware ainda pode desvendar os símbolos inseridos.

E não são apenas senhas. Que tal detalhes de cartões de crédito inseridos ao comprar alguma coisa online? E questões de segurança usadas para autenticação ou para recuperar acesso à uma conta bloqueada? Informações pessoais? Conteúdos de mensagens? A lista não tem fim.

De fato, a simples captura de tela é uma enorme janela para nossos segredos e informações privadas; assim, proteger os dados que um print screen pode fornecer para intrusos é fundamental. Utilizar funcionalidades como o Safe Money e o Teclado Virtual ajudam, é claro, mas nem todo mundo os usa – mesmo alguns que se consideram preocupados com segurança. E, de qualquer forma, funcionalidades de cibersegurança normais não podem garantir proteção total quando as imagens já estão em mãos erradas. Mas estamos a postos e esperando por eles.

A maioria dos nossos produtos inclui uma tecnologia patenteada que protege as funções de API que permitem aos programas capturar telas. Então, se algo no seu dispositivo tentar fazer um print screen, eis o que acontece:

  • O produto identifica que programas possui janelas abertas;
  • Baseado em dados de vários componentes e subsistemas (por exemplo, o System Watcher e o Safe Money), determina se essas janelas potencialmente possuem dados pessoais ou confidenciais;
  • O produto analisa o grau de confiança dos programas que solicitam acesso à tela;
  • O produto decide se permite, ou não, capturas de tela. Em caso negativo, as imagens receberão o tratamento do quadrado preto.

E por último, mas não menos importante: um bônus!

A mesma tecnologia que protege contra capturas de tela maliciosas também ajuda a detectar ataques cibernéticos previamente desconhecidos. Programas que demonstram um interesse suspeito em outras “janelas”, sem qualquer propósito real aparente, têm seu grau de confiança diminuído, o que torna mais fácil que sejam detectados proativamente por aprendizado de máquina via KSN – ou manualmente por um perito. Assim, pouco a pouco, com um verdadeiro esforço global e cibercérebros altamente treinados, diminuímos, juntos, o nível geral de perigo da Internet para o bem de todos.

Dicas