Exchange
Bolsa de blockchain e ativos de criptomoeda
Academy
Educação sobre blockchain e criptomoedas
Corretor
Soluções de terminais de trading
Charity
Caridade
Cloud
Soluções para corretoras empresariais
DEX
Bolsa de ativos digitais descentralizada, rápida e segura
Labs
Incubadora dos melhores projetos de blockchain
Launchpad
Plataforma de Lançamento de Tokens
Research
Análises e relatórios de nível institucional
Trust Wallet
Carteira oficial de criptomoedas Binance
Comprar Criptomoedas
Mercados
Converter
A maneira mais fácil de fazer trades
Clássico
Interface simples e fácil de utilizar
Avançado
Acesso total a todas as ferramentas de trading
Margem
Aumente os seus lucros com alavancagem
P2P
Transferência bancária e mais de 100 opções
Token de Ações
New
Transacionar Ações com Criptomoedas
Transacionar
Ler para Transferir a Aplicação IOS e Android
Transferir
English
USD
Blogue da Binance
Notícias e informações atualizadas sobre a bolsa de criptomoedas líder no mundo
Como proteger os seus criptoativos
2020-5-28

Devemos olhar para segurança como uma corrente, onde cada elo corresponde a uma parte da segurança que construímos ao redor daquilo que queremos proteger. E a primeira e mais importante lição que tiramos desta abordagem é que essa proteção, seja ela física ou digital, é tão forte quanto o elo mais fraco desta corrente.

 No caso específico de segurança para os seus criptoativos, esta corrente é formada por pelo menos 5 elos:

  • Atitude segura

  • Ambiente seguro

  • Dispositivo seguro

  • Corretora segura

  • Protocolo seguro

Fica muito claro por esta analogia com a corrente que de nada adianta termos dispositivos protegidos pelo estado da arte em tecnologia se a nossa atitude não é segura, e, desta forma, nos transformamos em presas fáceis para técnicas de engenharia social ou mesmo roubo físico. 

Da mesma forma de nada adiantaria ter a atitude segura, ambiente minuciosamente pensado para te trazer segurança, dispositivo de acesso moderno e seguro se a sua corretora não provê uma abordagem no mesmo sentido quando você for negociar, ou mesmo para armazenar os seus criptoativos.

Vamos então olhar para cada elo desta nossa corrente. 

Protocolo seguro

Começando pelo protocolo seguro, aquele que consideramos o elo mais forte desta corrente. O blockchain, também conhecido como “o protocolo de confiança”, permite que os criptoativos implementam uma base de registro de dados distribuída e compartilhada utilizando criptografia para trazer segurança e privacidade aos seus usuários. Do ponto de vista de segurança, o protocolo já foi amplamente testado. O principal criptoativo, o Bitcoin, já existe há mais de 10 anos e nunca foi “hackeado” ou teve sua rede tirada do ar por qualquer tipo de ataque. Num mundo onde vemos gigantes de todos segmentos de negócio, inclusive financeiro, serem manchetes por terem sido comprometidos por ciberataques, este é um feito e tanto! Para saber mais sobre a segurança do protocolo blockchain sugiro o artigo da Binance Academy: “O que faz uma Blockchain segura?

Atitude segura

Não são raros os casos onde a atitude é o elo mais fraco da corrente de segurança. Isso acontece muitas vezes porque simplesmente não paramos para pensar como coisas simples do nosso cotidiano nos expõem a riscos desnecessários no mundo online. Temos que ter consciência que quanto mais “online” estivermos, maior a superfície de ataque para “hackers” mal intencionados, e que nossa conta de e-mail é o vetor de ataque mais utilizado por esses elementos. Portanto é aconselhável, ao utilizar uma conta de e-mail para seus acessos a corretoras de criptoativos, tomar os cuidados apresentados no quadro abaixo.

Ambiente Seguro

Outro ponto muito importante é utilizarmos sempre um ambiente seguro quando estivermos acessando o sistema da corretora. De preferência, devemos usar uma rede cabeada, ou Wi-Fi  de nossas casas ou escritório. Idealmente devemos tomar cuidado para mantermos sempre atualizados os firmwares dos equipamentos de rede, e de configurarmos nestes equipamentos uma senha forte de administrador. A rede Wi-Fi de casa deverá estar protegida por uma senha forte, e deve utilizar o protocolo WPA2, que é o mais atual e também o mais seguro, implementado em 2006. A possibilidade de invasões e de ataques a senhas é bem mais baixa do que a dos anteriores. Isto deve-se a seus padrões de segurança mais avançados: no caso, o AES (Advanced Encryption Standard).

O mais importante é não utilizarmos rede wifi de lugares públicos, como aeroportos, shopping centers, cafeterias etc. Nestes locais estamos mais expostos a um tipo de ataque mais sofisticado, mas não tão incomum como gostaríamos, conhecido como “man-in-the-middle”. Neste tipo de ação maliciosa, o atacante intercepta a conexão Wi-Fi original, e se coloca no meio da conexão, podendo desta forma registrar os dados ou mesmo alterá-los (veja ilustração na figura abaixo).

 Caso seja necessário acessar a corretora de fora da rede de casa ou do escritório, podemos lançar mão de aplicativos de VPN (Virtual Private Network), que podem ser instalados nos notebooks, smartphones ou tablets. Uma opção melhor que as redes de Wi-Fi públicas é utilizar a rede de celular, através do aplicativo da corretora no celular, ou fazer o compartilhamento da rede do celular e utilizar o notebook normalmente. As redes das operadoras de celulares não estão completamente livres deste tipo de ataque, mas exigem do atacante um maior grau de sofisticação. O ideal seria sempre usar a VPN (Virtual Private Network) quando usar o acesso fora do ambiente mais controlado.

Dispositivo Seguro

O dispositivo utilizado para acessar a corretora e executar operações também deve ser seguro, seja ele um smartphone, um tablet, um notebook ou um desktop. A princípio, para mitigar os riscos em qualquer um destes dispositivos, você deve garantir que seu sistema operacional e aplicativos estejam atualizados. Caso esteja utilizando um notebook ou desktop, é também recomendável ter uma solução de antivírus que não seja gratuita. No caso de estar utilizando um dispositivo Android ou IOS, você deve garantir que as aplicações utilizadas nestes dispositivos não são maliciosas, jamais carregue aplicações fora da plataforma oficial Google Store (Android) e Apple Store. Para quem precisar fazer acesso constante através de dispositivos móveis sugiro ler o artigo sobre os golpes comuns em dispositivos móveis, disponível na Binance Academy.

Corretora Segura

Por fim, vamos entender cada funcionalidade que a corretora Binance provê como parte desta corrente de segurança. Como vimos anteriormente, a nossa conta de e-mail é o vetor de ataque mais utilizado pelos “hackers” mal intencionados, e que, por conta disso, devemos verificar cuidadosamente o remetente do e-mail e os anexos enviados. 

Para auxiliar o usuário e dar a ele uma forma adicional de verificação da origem da mensagem, a Binance criou o Código Anti-Phishing. Com ele, você saberá se os emails de notificações que está recebendo são realmente da Binance ou se são tentativas de phishing, nome dado a uma tentativa fraudulenta de obter informações confidenciais como nomes de usuário, senhas e detalhes de sua conta por meio de disfarce. Normalmente, o phishing é realizado por falsificação de e-mail e muitas vezes direciona os usuários a inserir informações pessoais em um site falso, que corresponde à aparência do site legítimo. Na imagem abaixo, você pode verificar como o Código Anti-Phising é enviado, a imagem mostra também uma forma simples de identificar se o remetente é a própria Binance <do-not-reply@post.binance.com>, basta passar o mouse sobre o remetente para que o verdadeiro endereço seja revelado. Se você estiver em um smartphone, clique no remetente e confira cuidadosamente a sua origem.

As funcionalidades de retiradas e modificações de segurança devem ter atenção especial, por este motivo elas podem ser protegidas na Binance por 2FA, ou segundo fator de autenticação. Para isto, a Binance provê dois métodos OTP (One-Time Password), que consiste de um mecanismo tecnológico através do qual uma senha de uso único é gerada e enviada para o usuário. Os métodos OTP disponibilizados são:

  • Autenticação por SMS: com a Autenticação por SMS ativada serão solicitados códigos enviados por SMS ao telefone cadastrado em sua conta na corretora sempre que você solicitar uma retirada ou tentar alterar configurações de segurança. 

  • Autenticação Google: para usar o autenticador Google você deverá instalar este aplicativo em seu celular ou tablet e ativá-lo. Com a Autenticação Google ativada na Binance serão solicitados códigos de autenticação sempre que você solicitar uma retirada ou tentar alterar configurações de segurança. Quando isso acontecer você abrirá o aplicativo em seu celular ou tablete e verificará o código válido naquele momento, note que novos códigos únicos são gerados a cada 30 segundos (imagem abaixo). A autenticação Google é mais forte que a autenticação por SMS, porque usando diversas táticas desleais (engenharia social, persuasão, suborno, etc.), criminosos podem conseguir um novo cartão SIM com o número de da vítima em uma loja de celulares e passar a receber mensagens SMS no lugar do verdadeiro usuário.

Para aqueles usuários que querem ir além dos aplicativos 2FA como segundo fator de autenticação, e desejam lançar mão do uso de chaves de segurança de hardware para autenticação de dois fatores, a Binance indica o uso da YubiKey. As chaves de segurança baseadas em hardware fornecem uma maneira rápida e fácil de usar a autenticação de dois fatores sem ter que mexer com o telefone. Eles são baseados no padrão FIDO2, um protocolo de segurança extremamente seguro desenvolvido pelo Google e pela empresa de segurança Yubico (fabricante da YubiKey) e agora é administrado pela Aliança FIDO (https://fidoalliance.org/).

A YubiKey utiliza criptografia de chave pública, também conhecida como criptografia assimétrica, para a implementação do 2FA (segundo fator de autenticação). Quando você registra sua YubiKey na Binance, uma chave pública é gerada e a chave privada encontra-se no interior de sua YubiKey, e é conhecida apenas pelo hardware da sua chave. Isto realiza duas funções: autenticação, onde a chave pública verifica que um portador da chave privada enviou a mensagem, e encriptação, onde apenas o portador da chave privada pode decriptar a mensagem encriptada com a chave pública.

Na Binance Academy, você encontra um artigo Como usar YubiKey na Binance. Depois de ativar a sua chave você poderá definir que ela sempre seja requisitada para Saques, Gestão de API, Login e redefinição de senha de acesso.

Por último, a Binance traz também o gerenciamento  de endereços, onde você pode criar uma lista de endereços confiáveis (whitelist) para saques de seus criptoativos. Isso evita que saques sejam feitos para endereços errados. Lembre-se que, garantir que seja utilizado o endereço correto para saques é extremamente importante, uma vez que uma das características de segurança do protocolo blockchain é sua imutabilidade. Ou seja, uma vez realizado o saque esta transação não pode ser desfeita.

Muito mais poderia ser dito sobre cada um dos elos desta corrente de segurança, mas o objetivo principal aqui é melhorar a sua percepção de segurança sem tornar-se demasiadamente cansativo, esperamos que tenhamos conseguido! O Binance Academy dedica uma seção exclusiva para segurança, clique aqui e veja outros artigos sobre o tema, busque constantemente informação e torne-se um investidor cada vez mais seguro.

Siga-nos no novo canal no Twitter, novo Instagram, Facebook e YouTube. Participe do nosso grupo oficial da Binance em Português Telegram para conversar com a nossa comunidade.

Blogue da Binance
Notícias e informações atualizadas sobre a bolsa de criptomoedas líder no mundo
May 28
2020
Como proteger os seus criptoativos

Devemos olhar para segurança como uma corrente, onde cada elo corresponde a uma parte da segurança que construímos ao redor daquilo que queremos proteger. E a primeira e mais importante lição que tiramos desta abordagem é que essa proteção, seja ela física ou digital, é tão forte quanto o elo mais fraco desta corrente.

 No caso específico de segurança para os seus criptoativos, esta corrente é formada por pelo menos 5 elos:

  • Atitude segura

  • Ambiente seguro

  • Dispositivo seguro

  • Corretora segura

  • Protocolo seguro

Fica muito claro por esta analogia com a corrente que de nada adianta termos dispositivos protegidos pelo estado da arte em tecnologia se a nossa atitude não é segura, e, desta forma, nos transformamos em presas fáceis para técnicas de engenharia social ou mesmo roubo físico. 

Da mesma forma de nada adiantaria ter a atitude segura, ambiente minuciosamente pensado para te trazer segurança, dispositivo de acesso moderno e seguro se a sua corretora não provê uma abordagem no mesmo sentido quando você for negociar, ou mesmo para armazenar os seus criptoativos.

Vamos então olhar para cada elo desta nossa corrente. 

Protocolo seguro

Começando pelo protocolo seguro, aquele que consideramos o elo mais forte desta corrente. O blockchain, também conhecido como “o protocolo de confiança”, permite que os criptoativos implementam uma base de registro de dados distribuída e compartilhada utilizando criptografia para trazer segurança e privacidade aos seus usuários. Do ponto de vista de segurança, o protocolo já foi amplamente testado. O principal criptoativo, o Bitcoin, já existe há mais de 10 anos e nunca foi “hackeado” ou teve sua rede tirada do ar por qualquer tipo de ataque. Num mundo onde vemos gigantes de todos segmentos de negócio, inclusive financeiro, serem manchetes por terem sido comprometidos por ciberataques, este é um feito e tanto! Para saber mais sobre a segurança do protocolo blockchain sugiro o artigo da Binance Academy: “O que faz uma Blockchain segura?

Atitude segura

Não são raros os casos onde a atitude é o elo mais fraco da corrente de segurança. Isso acontece muitas vezes porque simplesmente não paramos para pensar como coisas simples do nosso cotidiano nos expõem a riscos desnecessários no mundo online. Temos que ter consciência que quanto mais “online” estivermos, maior a superfície de ataque para “hackers” mal intencionados, e que nossa conta de e-mail é o vetor de ataque mais utilizado por esses elementos. Portanto é aconselhável, ao utilizar uma conta de e-mail para seus acessos a corretoras de criptoativos, tomar os cuidados apresentados no quadro abaixo.

Ambiente Seguro

Outro ponto muito importante é utilizarmos sempre um ambiente seguro quando estivermos acessando o sistema da corretora. De preferência, devemos usar uma rede cabeada, ou Wi-Fi  de nossas casas ou escritório. Idealmente devemos tomar cuidado para mantermos sempre atualizados os firmwares dos equipamentos de rede, e de configurarmos nestes equipamentos uma senha forte de administrador. A rede Wi-Fi de casa deverá estar protegida por uma senha forte, e deve utilizar o protocolo WPA2, que é o mais atual e também o mais seguro, implementado em 2006. A possibilidade de invasões e de ataques a senhas é bem mais baixa do que a dos anteriores. Isto deve-se a seus padrões de segurança mais avançados: no caso, o AES (Advanced Encryption Standard).

O mais importante é não utilizarmos rede wifi de lugares públicos, como aeroportos, shopping centers, cafeterias etc. Nestes locais estamos mais expostos a um tipo de ataque mais sofisticado, mas não tão incomum como gostaríamos, conhecido como “man-in-the-middle”. Neste tipo de ação maliciosa, o atacante intercepta a conexão Wi-Fi original, e se coloca no meio da conexão, podendo desta forma registrar os dados ou mesmo alterá-los (veja ilustração na figura abaixo).

 Caso seja necessário acessar a corretora de fora da rede de casa ou do escritório, podemos lançar mão de aplicativos de VPN (Virtual Private Network), que podem ser instalados nos notebooks, smartphones ou tablets. Uma opção melhor que as redes de Wi-Fi públicas é utilizar a rede de celular, através do aplicativo da corretora no celular, ou fazer o compartilhamento da rede do celular e utilizar o notebook normalmente. As redes das operadoras de celulares não estão completamente livres deste tipo de ataque, mas exigem do atacante um maior grau de sofisticação. O ideal seria sempre usar a VPN (Virtual Private Network) quando usar o acesso fora do ambiente mais controlado.

Dispositivo Seguro

O dispositivo utilizado para acessar a corretora e executar operações também deve ser seguro, seja ele um smartphone, um tablet, um notebook ou um desktop. A princípio, para mitigar os riscos em qualquer um destes dispositivos, você deve garantir que seu sistema operacional e aplicativos estejam atualizados. Caso esteja utilizando um notebook ou desktop, é também recomendável ter uma solução de antivírus que não seja gratuita. No caso de estar utilizando um dispositivo Android ou IOS, você deve garantir que as aplicações utilizadas nestes dispositivos não são maliciosas, jamais carregue aplicações fora da plataforma oficial Google Store (Android) e Apple Store. Para quem precisar fazer acesso constante através de dispositivos móveis sugiro ler o artigo sobre os golpes comuns em dispositivos móveis, disponível na Binance Academy.

Corretora Segura

Por fim, vamos entender cada funcionalidade que a corretora Binance provê como parte desta corrente de segurança. Como vimos anteriormente, a nossa conta de e-mail é o vetor de ataque mais utilizado pelos “hackers” mal intencionados, e que, por conta disso, devemos verificar cuidadosamente o remetente do e-mail e os anexos enviados. 

Para auxiliar o usuário e dar a ele uma forma adicional de verificação da origem da mensagem, a Binance criou o Código Anti-Phishing. Com ele, você saberá se os emails de notificações que está recebendo são realmente da Binance ou se são tentativas de phishing, nome dado a uma tentativa fraudulenta de obter informações confidenciais como nomes de usuário, senhas e detalhes de sua conta por meio de disfarce. Normalmente, o phishing é realizado por falsificação de e-mail e muitas vezes direciona os usuários a inserir informações pessoais em um site falso, que corresponde à aparência do site legítimo. Na imagem abaixo, você pode verificar como o Código Anti-Phising é enviado, a imagem mostra também uma forma simples de identificar se o remetente é a própria Binance <do-not-reply@post.binance.com>, basta passar o mouse sobre o remetente para que o verdadeiro endereço seja revelado. Se você estiver em um smartphone, clique no remetente e confira cuidadosamente a sua origem.

As funcionalidades de retiradas e modificações de segurança devem ter atenção especial, por este motivo elas podem ser protegidas na Binance por 2FA, ou segundo fator de autenticação. Para isto, a Binance provê dois métodos OTP (One-Time Password), que consiste de um mecanismo tecnológico através do qual uma senha de uso único é gerada e enviada para o usuário. Os métodos OTP disponibilizados são:

  • Autenticação por SMS: com a Autenticação por SMS ativada serão solicitados códigos enviados por SMS ao telefone cadastrado em sua conta na corretora sempre que você solicitar uma retirada ou tentar alterar configurações de segurança. 

  • Autenticação Google: para usar o autenticador Google você deverá instalar este aplicativo em seu celular ou tablet e ativá-lo. Com a Autenticação Google ativada na Binance serão solicitados códigos de autenticação sempre que você solicitar uma retirada ou tentar alterar configurações de segurança. Quando isso acontecer você abrirá o aplicativo em seu celular ou tablete e verificará o código válido naquele momento, note que novos códigos únicos são gerados a cada 30 segundos (imagem abaixo). A autenticação Google é mais forte que a autenticação por SMS, porque usando diversas táticas desleais (engenharia social, persuasão, suborno, etc.), criminosos podem conseguir um novo cartão SIM com o número de da vítima em uma loja de celulares e passar a receber mensagens SMS no lugar do verdadeiro usuário.

Para aqueles usuários que querem ir além dos aplicativos 2FA como segundo fator de autenticação, e desejam lançar mão do uso de chaves de segurança de hardware para autenticação de dois fatores, a Binance indica o uso da YubiKey. As chaves de segurança baseadas em hardware fornecem uma maneira rápida e fácil de usar a autenticação de dois fatores sem ter que mexer com o telefone. Eles são baseados no padrão FIDO2, um protocolo de segurança extremamente seguro desenvolvido pelo Google e pela empresa de segurança Yubico (fabricante da YubiKey) e agora é administrado pela Aliança FIDO (https://fidoalliance.org/).

A YubiKey utiliza criptografia de chave pública, também conhecida como criptografia assimétrica, para a implementação do 2FA (segundo fator de autenticação). Quando você registra sua YubiKey na Binance, uma chave pública é gerada e a chave privada encontra-se no interior de sua YubiKey, e é conhecida apenas pelo hardware da sua chave. Isto realiza duas funções: autenticação, onde a chave pública verifica que um portador da chave privada enviou a mensagem, e encriptação, onde apenas o portador da chave privada pode decriptar a mensagem encriptada com a chave pública.

Na Binance Academy, você encontra um artigo Como usar YubiKey na Binance. Depois de ativar a sua chave você poderá definir que ela sempre seja requisitada para Saques, Gestão de API, Login e redefinição de senha de acesso.

Por último, a Binance traz também o gerenciamento  de endereços, onde você pode criar uma lista de endereços confiáveis (whitelist) para saques de seus criptoativos. Isso evita que saques sejam feitos para endereços errados. Lembre-se que, garantir que seja utilizado o endereço correto para saques é extremamente importante, uma vez que uma das características de segurança do protocolo blockchain é sua imutabilidade. Ou seja, uma vez realizado o saque esta transação não pode ser desfeita.

Muito mais poderia ser dito sobre cada um dos elos desta corrente de segurança, mas o objetivo principal aqui é melhorar a sua percepção de segurança sem tornar-se demasiadamente cansativo, esperamos que tenhamos conseguido! O Binance Academy dedica uma seção exclusiva para segurança, clique aqui e veja outros artigos sobre o tema, busque constantemente informação e torne-se um investidor cada vez mais seguro.

Siga-nos no novo canal no Twitter, novo Instagram, Facebook e YouTube. Participe do nosso grupo oficial da Binance em Português Telegram para conversar com a nossa comunidade.