Imagine que você entra em um shopping e um estranho começa a segui-lo pelo local. Eles fazem anotações detalhadas de quais lojas você visita. Se você pega um folheto promocional, eles tentam olhar por cima do seu ombro para ver se você o leu com atenção. Quando você está em uma loja, eles usam um cronômetro para medir o tempo exato que você gasta em cada prateleira. Soa absurdo e um tanto desagradável, não é? Infelizmente, é exatamente isso que acontece toda vez que você visita um site, visualiza e-mails de lojas ou serviços online ou usa os respectivos aplicativos mobile oficiais. A pessoa com o cronômetro é um sistema analítico conectado a praticamente todos os sites, aplicativos e campanhas de e-mail.
Por que as empresas precisam desses dados? Existem vários motivos:
- Conhecer melhor suas preferências e sugerir produtos e serviços com maior probabilidade de compra. É daí que vêm os anúncios irritantes de bicicletas, seguindo você por cerca de dois meses depois de visitar o site de um ciclista;
- Adicionar texto e imagens mais eficazes a sites e mensagens de e-mail. As empresas testam diversas opções de legendas, cabeçalhos e banners, escolhendo aquelas em que os clientes mais focam;
- Identificar as seções mais populares de um aplicativo móvel ou site e como você interage com elas;
- Testar novos produtos, serviços e funcionalidades;
- Vender o comportamento do usuário e dados de preferência para outras empresas.
Em uma postagem detalhada do Securelist, examinamos as estatísticas dos “espiões” mais ocupados: Google, Microsoft e Amazon – de longe, os mais famintos por (seus) dados.
Como funcionam os web beacons e os pixels de rastreio
As atividades de rastreamento descritas acima são baseadas em web beacons, também conhecidos como pixels rastreadores ou pixels espiões. A técnica de rastreamento mais popular é inserir uma imagem minúscula (tão pequena que fica praticamente invisível) – tamanho 1×1 ou mesmo 0x0 pixels – em um e-mail, aplicativo ou página da web. Quando sua tela exibe informações, seu cliente de e-mail ou navegador solicita o download da imagem do servidor, transmitindo informações sobre você, que o servidor registra: a hora, o dispositivo usado, o sistema operacional, o tipo de navegador e a página em que o pixel foi baixado. É assim que o operador do beacon fica sabendo que você abriu o e-mail ou a página da web e as condições gerais desse processo. Um pequeno pedaço de código (JavaScript) dentro da página da web, que pode coletar informações ainda mais detalhadas, geralmente é usado em vez de um pixel. De qualquer forma, o rastreador não fica visível na mensagem de e-mail ou no site de forma alguma: você simplesmente não pode vê-lo. No entanto, esses beacons colocados em todas as páginas ou telas de aplicativos permitem “seguir você” rastreando sua rota de navegação e o tempo que você gasta em cada etapa dessa rota.
Cibercriminosos e os web beacons
Agências de marketing e empresas de tecnologia não são as únicas que usam web beacons: os cibercriminosos também os usam. Web beacons são uma maneira conveniente de realizar reconhecimento preliminar para ataques de e-mail direcionados (como spear phishing ou o comprometimento de e-mail comercial). Eles ajudam os bandidos a descobrir a que horas suas vítimas verificam (ou não) seus e-mails para escolher o melhor horário para um ataque: é mais fácil invadir contas de usuários ou enviar e-mails falsos em seu nome enquanto o usuário está offline.
As informações do usuário, incluindo comportamento e dados de interesse, podem vazar após um ataque hacker. Mesmo líderes de mercado, como Mailchimp, Klaviyo ou ActiveCampaign, às vezes experimentam esses tipos de vazamentos. As informações roubadas podem ser usadas para vários golpes. Por exemplo, hackers que atacaram Klaviyo roubaram listas de usuários interessados em investir em criptomoedas. Uma tática de phishing especializada pode então ser usada para atingir esse público e enganá-lo.
Como se proteger contra rastreamento
Não podemos controlar vazamentos e hacks, mas podemos garantir que os servidores dos gigantes da tecnologia coletem o mínimo possível de dados sobre nós. As dicas abaixo podem ser usadas separadamente ou combinadas:
- Bloqueie o carregamento automático de imagens no e-mail. Ao configurar o e-mail em seu telefone, computador ou em um cliente baseado na Web, certifique-se de habilitar a configuração que bloqueia a exibição automática de imagens. Afinal, a maior parte dos e-mails faz sentido mesmo sem que as imagens sejam carregadas. A maioria dos clientes de e-mail adiciona um botão “mostrar imagens” logo acima do corpo do e-mail, então carregar as imagens realmente necessários demanda apenas um clique;
- Bloqueie rastreadores da web. A maioria dos web beacons pode ser impedida de carregar. Você pode encontrar as configurações de navegação privada nos [placeholder K Premium]produtos de segurança Kaspersky [placeholder]. O navegador Firefox permite ativar e ajustar a proteção aprimorada contra rastreamento. Plugins de privacidade especializados estão disponíveis nos catálogos do Chrome, Firefox e Safari, entre as extensões oficialmente recomendadas. Você pode encontrá-los inserindo privacidade ou proteção de rastreamento na barra de pesquisa;
- Proteja sua conexão com a Internet. A proteção contra rastreamento funciona bem no nível do sistema operacional ou do roteador doméstico. Se você bloquear web beacons em seu roteador, eles pararão de funcionar não apenas em seu e-mail e em páginas da web, mas também em aplicativos e até mesmo em sua smart TV. Para fazer isso, recomendamos que você ative o DNS Seguro no sistema operacional ou nas configurações do roteador e especifique um servidor DNS que bloqueie os rastreadores. Às vezes, uma conexão VPN também pode fornecer proteção contra rastreamento. Se esta for a opção mais prática para você, certifique-se de que seu provedor de VPN realmente oferece um serviço de bloqueio de rastreio.