Com a chegada do fim deste ano, estamos compartilhando uma série de atualizações sobre nosso trabalho para proteger as pessoas ao redor do mundo contra diversas ameaças.
Sabemos que a segurança e a recuperação de contas são prioridade para as pessoas, por isso, hoje estamos compartilhando uma visão dos bastidores relacionados a algumas das tensões que empresas como a nossa lidam na concepção de ferramentas de segurança de contas que ajudam a proteger as pessoas, ao mesmo tempo em que afastam maus atores. Também estamos detalhando os novos recursos de segurança que lançamos este ano e destacando o motivo pelo qual é fundamental que as pessoas mantenham seus contatos — como seus e-mails ou números de telefone — seguros e atualizados para prevenir uma das principais formas do comprometimento de contas.
Aplicando estrutura adversa à segurança da conta
Desde que compartilhamos nossos planos de expandir nossos esforços em suporte, no ano passado, continuamos testando nossos sistemas de segurança e suporte de conta para entender como os maus atores podem estar tentando burlá-los. Este espaço é altamente adverso, por isso estamos constantemente pensando em como nossos produtos e nossos canais de apoio podem sofrer abusos; temos que continuar evoluindo nossas defesas e processos em resposta a atores maliciosos que tentam contorná-los.
É sempre um equilíbrio complicado, porque se apertarmos demais os controles de segurança das contas, pessoas inocentes terão dificuldades para usar e recuperar suas contas. Se afrouxamos demais, maus atores terão mais facilidade em abusar de nossos sistemas para comprometer as pessoas. De fato, vemos regularmente os autores de ameaças tendo como alvo os próprios sistemas que implantamos para proteger as pessoas, tentando conseguir a remoção de contas.
Como exemplo desses tipos de controles, em nosso suporte de recuperação de conta, usamos vários sinais e desafios de verificação para ajudar a detectar atividades suspeitas e validar tentativas legítimas de acesso. Estes desafios podem variar desde solicitar uma cópia da identidade de uma pessoa ou confirmar um código enviado a um dispositivo que já esteve logado na conta.
Olhando mais de perto os pontos de contato
Uma vez que uma solicitação de recuperação de conta é verificada, plataformas como as nossas dependem de pontos de contato — como um endereço de e-mail ou número de telefone — listados nas configurações da conta de alguém como o canal principal para fornecer suporte, como links de redefinição de senha. Nossas pesquisas mostram que as pessoas têm duas vezes mais chances de recuperar sua conta no Facebook se seus os pontos de contato estiverem atualizados para que possamos contatá-las.
Entretanto, as pessoas podem perder o acesso a uma conta de e-mail antiga ou podem trocar de número de telefone — este é um desafio que é notório por toda a nossa indústria. Vimos também que os autores de ameaças têm como alvo esses pontos de contato para obter amplo acesso às contas on-line de alguém, usando-os para redefinir as senhas de outras contas conectadas — bancos, mídias sociais e outros. De fato, quando olhamos para contas comprometidas no Facebook, descobrimos que uma em cada quatro casos começou com o ponto de contato de uma pessoa sendo tomado.
Atualizações de produto e suporte
Nosso trabalho para ajudar as pessoas a permanecerem seguras e no controle de suas contas é dobrado. Primeiro, para prevenir o comprometimento das contas, construímos sistemas e ajudamos as pessoas a aprender como identificar atividades potencialmente suspeitas pela Internet. Em segundo lugar, para ajudar as pessoas que têm problemas de acesso, continuamos a melhorar nossas ofertas de suporte.
Suporte do ponto de contato
Temos construído maneiras adicionais para que as pessoas possam retornar às suas contas quando não tiverem mais acesso aos pontos de contato vinculados. Por exemplo, em certos casos, as pessoas podem usar pontos de contato removidos recentemente para recuperar o acesso. Como resultado, este ano ajudamos oito vezes mais pessoas por dia, em média, a retomar sua conta no Facebook, do que no ano passado, quando elas não tinham acesso a seus pontos de contato listados. Também estamos enviando avisos globais em todo o Facebook lembrando as pessoas de confirmarem seus pontos de contato e explorando formas alternativas de confirmar a identidade das pessoas durante o processo de recuperação de conta no Instagram, incluindo o uso de sua rede de amigos.
Proteção contra Phishing e Malware
Para ajudar as pessoas a permanecerem seguras em nossos aplicativos, continuamos a implementar proteções e iniciativas educativas:
- Proteções contra links maliciosos: Sabemos que os autores de ameaças frequentemente têm como alvo grupos como jornalistas, ativistas, campanhas políticas e negócios (entre outros), enviando links que contêm phishing ou malware. Uma medida que implementamos para a proteção contra isso no Messenger usa nossos sistemas automatizados para direcionar mensagens suspeitas se elas forem enviadas por usuários não conectados. Como em muitas de nossas medidas de segurança, usaremos nosso aprendizado para informar nossa estratégia mais ampla para proteger as pessoas.
- Alertas de impostores no Instagram: Removemos as contas de Instagram que nossos sistemas automatizados consideram maliciosos, inclusive aquelas que personificam outras pessoas. Mas como os maus atores podem não usar imediatamente as contas de forma maliciosa, estamos testando o envio de avisos quando uma conta que suspeitamos que possa estar se fazendo passar por alguém que pede para seguir você. Nos próximos meses, também enviaremos avisos se uma conta que possa estar se passando por uma empresa lhe enviar uma Mensagem Direta.
- Aumento da visibilidade do selo de verificação no Instagram: Também estamos expandindo onde o selo de verificação de contas aparece no Instagram, para torná-lo visível em mais lugares, incluindo os Stories e as Mensagens Diretas, para ajudar as pessoas a confirmar que as contas com as quais elas estão interagindo são autênticas e verificadas.
Teste de suporte de bate-papo ao vivo
Embora nossas ferramentas de recuperação de conta em escala tenham como objetivo apoiar a maioria das questões de acesso à conta, sabemos que existem grupos de pessoas que poderiam se beneficiar de um apoio adicional, conduzido por humanos. Este ano, fizemos um pequeno teste de um bate-papo ao vivo no Facebook, e estamos começando a ver resultados positivos. Por exemplo, durante o mês de outubro, oferecemos nossa opção de suporte por bate-papo ao vivo para mais de um milhão de pessoas em nove países, e planejamos expandir este teste para mais de 30 países em todo o mundo.
Suporte de acesso à conta no Instagram
Lançamos o instagram.com/hacked para ajudar as pessoas a reportar e resolver questões de acesso à conta. Lançamos também uma maneira para que as pessoas peçam a seus amigos para confirmar sua identidade no intuito de ajudar a recuperar o acesso à sua conta no Instagram.
Agradecemos o feedback da comunidade de pesquisadores e de nossos pares na indústria, pois todos nós navegamos equilibrando essas várias tensões para proteger as pessoas e dissuadir atores maliciosos.