Para Jonca Bull-Humphries, uma pesquisadora clínica que mora na área de D.C., Washington, ficar sem acesso ao Facebook após uma invasão foi mais do que apenas uma inconveniência. Ela estava perdendo atualizações importantes de familiares e amigos. Jonca temia que quem tivesse entrado em sua conta e alterado a senha pudesse se passar por ela online.
Bull-Humphries disse que tentou recuperar sua conta por seis semanas, seguindo as etapas do processo oficial de recuperação de conta do Facebook. Ela se debruçou sobre tópicos nos fóruns da comunidade da empresa e até enviou uma foto de sua carteira de motorista para verificar sua identidade. Nada funcionou.
“Estou me sentindo cada vez mais como uma lição para todas as centenas de milhões de pessoas por aí. Quando algo dá errado, é muito difícil de ser corrigido”, disse ela.
Uma rápida pesquisa no Google por “conta de rede social bloqueada” sugere que muitas pessoas já aprenderam da maneira mais difícil. Tópicos do Reddit, colunas de conselhos e e-mails para o Help desk do jornal americano The Washington Post mostram que os usuários de redes sociais são atormentados por contas perdidas e hackeadas e, muitas vezes, são levados ao desespero. Os processos de recuperação de contas são frustrantes e circulares. Entrar em contato com um ser humano é raro, embora o Facebook tenha dito que começará a testar uma opção de bate-papo ao vivo nesta semana para um pequeno número de pessoas que tiveram suas contas bloqueadas devido a “atividades incomuns” ou violações dos padrões da comunidade do site.
Algumas contas acabam bloqueadas devido à perda de senhas, outras devido ao descuido com os logins e a agentes mal-intencionados que trabalham constantemente para invadir os perfis. As empresas de redes sociais, por sua vez, fazem malabarismos com o atendimento ao cliente e a segurança da conta enquanto tentam garantir que os fraudadores não abusem das ferramentas de recuperação para obter acesso indevidamente. Parte disso poderia ser resolvido com verificações de segurança adicionais, mas isso pode ser um mau negócio para empresas com uma mentalidade de crescimento a qualquer custo.
Depois que enviei um e-mail ao Facebook sobre a conta de Bull-Humphries no Facebook, a empresa a enviou um link para redefinir sua senha e tudo parecia estar bem. Mas, no dia seguinte, ela me enviou outra mensagem: o hacker estava de volta e Bull-Humphries estava bloqueada.
Por que a recuperação de contas é quase um pesadelo?
Os hackers visam as contas de rede social porque querem espalhar golpes, links de phishing ou desinformação, disse Jon Clay, vice-presidente de inteligência de ameaças da empresa de segurança cibernética Trend Micro.
Quando os hackers colocam as mãos em credenciais de contas de redes sociais, geralmente é por meio de ataques de phishing que induzem as pessoas a digitar suas senhas ou por meio da compra de credenciais roubadas em cantos obscuros da internet, disse Clay. Mas, às vezes, eles exploram as próprias ferramentas que ajudam as pessoas a voltar para as contas invadidas. É por isso que o processo de recuperação de conta é tão complexo, de acordo com o chefe de política de segurança do Facebook, Nathaniel Gleicher.
“Qualquer sistema que criamos para ajudar os usuários a recuperar suas contas, também temos que reconhecer que ele se torna um vetor a ser explorado pelos agentes de ameaças”, disse ele.
O Facebook usa uma combinação de sistemas automatizados e pessoas reais para ajudar os usuários quando eles são bloqueados, disse. Quanto ao seu processo de revisão notoriamente difícil de navegar, Gleicher disse que a empresa “precisa melhorar” e que essas melhorias estão em andamento. A empresa não quis compartilhar detalhes ou um cronograma.
“Esse é um problema de todo o setor”, disse Gleicher.
Mas a dificuldade de equilibrar segurança e recuperação é apenas parte da história, disse Bruce Schneier, especialista em segurança cibernética e professor de políticas públicas da Kennedy School da Universidade de Harvard.
Schneier disse que o Facebook poderia resolver seus problemas de recuperação de contas com recursos de segurança adicionais. Por exemplo, se a empresa exigisse que as pessoas configurassem a autenticação de dois fatores, os hackers não poderiam assumir o controle das contas apenas com uma combinação de e-mail e senha roubados. Mas paradas obrigatórias de segurança introduziriam atrito na experiência do usuário, o que é ruim para o negócio de coleta de dados do Facebook, disse Schneier.
Gleicher disse que, para pessoas em outras partes do mundo, esse tipo de medida de segurança obrigatória faria mais mal do que bem. As pessoas fora dos Estados Unidos mudam de telefone e número com frequência, disse ele, e a autenticação de dois fatores representaria uma barreira séria para acessar suas contas.
Schneier disse que os usuários estão presos. O Facebook não tem concorrência significativa, disse ele, portanto, os usuários frustrados não podem sair e ir para outro lugar.
Leia também
O que fazer se você estiver bloqueado do Facebook
Os funcionários da Hacked.com não utilizam nenhum tipo de hack para acessar novamente as contas, disse o fundador Jonas Borchgrevink. (Nunca, jamais, contrate um hacker para entrar novamente em uma conta, advertiu ele, acrescentando que muitos de seus clientes já foram vítimas de golpes como esse).
Em vez disso, Borchgrevink e sua equipe se tornaram especialistas nas peculiaridades da ferramenta de recuperação do Facebook. Por exemplo, alguns tópicos do Reddit sugerem enviar ao Facebook fotos de sua ID até sete vezes por dia até que você receba uma resposta. Uma porta-voz do Facebook disse que solicitações repetidas não fariam diferença.
Borchgrevink me orientou no que ele descreveu como uma típica recuperação de conta do Facebook. É um processo elaborado - se você tiver tempo e energia. Ele recomenda as seguintes etapas se você tiver uma conta do Facebook bloqueada.
1) Verifique se você está se conectando a partir da rede Wi-Fi e do dispositivo que normalmente usa. Acesse facebook.com/login/identificação. Encontre sua conta pesquisando por seu número de telefone, endereço de e-mail, nome ou nome de usuário. (Para encontrar seu nome de usuário, acesse seu perfil - ou peça a um amigo que vá até lá - e verifique a barra de URL. Ela deve mostrar algo como facebook.com/NomeDeUsuário).
2) Envie um código de recuperação para seu telefone ou endereço de e-mail. Se você não tiver acesso ao número e ao endereço listados, selecione Não tem mais acesso? e Não consigo acessar meu email.
3) Se ele permitir, redefina seu endereço de e-mail. Caso contrário, acesse facebook.com/hacked e escolha Minha conta está comprometida. Digite sua senha antiga, escolha Proteger minha conta e selecione Não consigo acessar isso.
4) Se ele permitir, redefina seu endereço de e-mail. Caso contrário, abra o aplicativo do Facebook em seu dispositivo móvel, tente fazer login e selecione Esqueci a senha. Clique no botão que indica que você não tem mais acesso ao número de telefone e ao endereço de e-mail associados à conta. Se ele permitir, redefina seu endereço de e-mail.
Já está com dor de cabeça?
Se você chegar ao formulário em que redefinirá seu e-mail principal enviando uma foto do seu documento de identidade, certifique-se de que a foto seja nítida e de alta qualidade (sem webcams) e que todos os quatro cantos do seu documento de identidade estejam visíveis, juntamente com seu nome e data de nascimento, disse Borchgrevink. Se tudo der certo, o Facebook enviará um e-mail para o novo endereço, permitindo que você redefina sua senha.
Quando sua senha for redefinida, não comemore ainda. Se sua conta foi invadida, o hacker pode ter configurado a autenticação de dois fatores vinculada ao seu próprio número de telefone. Isso significa que você precisará de um código de login especial para contornar esse requisito e entrar novamente, o que exige o preenchimento de outro formulário e o upload do seu documento novamente. Se esse envio for bem-sucedido, o Facebook enviará um link e um código para seu novo e-mail principal. Se o link não funcionar, tente o código, disse Borchgrevink. Se o código parecer quebrado, tente o link.
Quando voltar a acessar uma conta invadida, vá imediatamente para Configurações e privacidade -> Configurações -> Central de contas -> Detalhes pessoais e verifique se os endereços de e-mail e números de telefone associados à sua conta são seus, e não do hacker. Em seguida, vá para Senha e segurança no menu do lado esquerdo. Ative a autenticação de dois fatores, certificando-se de que o número de telefone do hacker não esteja conectado. Por último, dê uma olhada na seção Onde você está conectado e revise seus Logins autorizados. Desconecte todos os dispositivos que você não reconhece. Em Verificações de segurança, ative os alertas para logins não reconhecidos. Por fim, volte para Detalhes pessoais -> Propriedade e controle da conta e escolha alguns amigos próximos, como membros da família ou amigos mais próximos, que possam receber códigos de recuperação de conta em seu nome se algo der errado no futuro.
E as outras redes sociais?
Cada site de rede social terá seu próprio processo de recuperação de conta - e alguns podem ser mais fáceis do que outros. Apesar de pertencer ao Facebook, o Instagram é muito mais difícil de ser recuperado, de acordo com Borchgrevink.
Uma porta-voz do Facebook disse que as taxas de recuperação de conta são semelhantes no Instagram e no Facebook. Ela não quis compartilhar as taxas de recuperação.
Se você esquecer uma senha, perder o acesso a uma conta de e-mail ou for vítima de um hack, há algumas coisas que você pode fazer. Primeiro, vá para a página de login do aplicativo ou site e verifique se há links de recuperação de conta, como Esqueci minha senha, Não tenho acesso a este e-mail ou Minha conta foi comprometida.
Se isso não resolver o problema, procure a central de ajuda da empresa ou envie uma mensagem para o e-mail de suporte ao cliente. (Geralmente é Suporte@NomeDaEmpresa.com). Em seu e-mail, fique à vontade para incluir capturas de tela de qualquer atividade suspeita que você tenha notado, como alertas de e-mail de tentativas de login ou mensagens de texto com códigos de login que você não esperava, disse Anna Larkina, analista de conteúdo da web na empresa de segurança cibernética Kaspersky.
Também pode ser útil enviar todas as comunicações do endereço IP que você normalmente usa e compartilhar esse endereço IP com o suporte ao cliente, disse Larkina. (Pesquise “qual é o meu endereço IP”).
Às vezes, você perceberá uma invasão quando o hacker alterar sua senha e o e-mail associado, bloqueando sua conta. Outras vezes, os hackers agem com calma, disse Clay, da Trend Micro, usando sua conta ocasionalmente ou esperando a oportunidade certa para usá-la. Fique atento a mensagens que você não enviou, postagens que não criou ou compras que não fez.
Mais importante ainda, tome medidas agora para evitar invasões. Uma vez que uma conta é comprometida, recuperá-la é muito difícil, disse Gleicher.
O Facebook, assim como outras redes sociais, tem ferramentas integradas para ajudar a evitar invasões antes que elas aconteçam - mas é preciso ativá-las. No mínimo, verifique suas contas de rede social e ative a autenticação de dois fatores, que permite aprovar tentativas de login pelo seu telefone.
Crie uma senha totalmente nova para cada uma de suas contas, aconselhou Larkina, da Kaspersky. (Como sempre, qualquer senha que contenha a palavra “senha” está fora dos limites.) Dessa forma, se uma de suas senhas for roubada em uma violação, os hackers não poderão usá-la para invadir outras contas. Os hackers usam bots para inserir senhas comumente usadas nas páginas de login, disse Larkina. Em vez disso, use uma sequência de letras, números e símbolos. Um gerenciador de senhas o ajudará a lembrar suas novas senhas difíceis de adivinhar sem anotá-las em algum lugar que não seja seguro - nosso favorito é o Dashlane.
Por fim, lembre-se de que os hackers se aproveitam dos processos de recuperação de conta e até mesmo criam processos falsos para induzi-lo a compartilhar sua senha, disse Larkina. Se você receber uma mensagem do que parece ser uma empresa de rede social dizendo que sua conta foi comprometida, não siga nenhum link nem ligue para nenhum número de telefone na mensagem. Navegue até o site ou aplicativo por conta própria e entre em contato com o atendimento ao cliente ou tome medidas para alterar sua senha e proteger sua conta.
Este conteúdo foi traduzido com o auxílio de ferramentas de Inteligência Artificial e revisado por nossa equipe editorial. Saiba mais em nossa Política de IA.
Os comentários são exclusivos para assinantes do Estadão.