Notícia de hoje: códigos anti-phishing e como te protegeres a ti próprio

2022-06-13

Principais conclusões

  • O Phishing é um ciberataque onde os burlões tentam "pescar" [obter] informações confidenciais tais como dados de cartões de crédito.

  • As vítimas normalmente recebem um e-mail falso instruindo-as a clicar numa ligação prejudicial, a transferir malware, ou a fornecer dados pessoais.

  • Os utilizadores da Binance podem configurar um Código anti-phishing para os ajudar a verificar e-mails reais ou falsos da Binance.

Antes da Web3, os ataques de phishing eram direcionados principalmente a contas bancárias e cartões de crédito. Hoje, a tua carteira de criptoactivos pode estar na mira. 

Por mais seguro que penses que o teu dinheiro esteja, quer esteja num cofre, na blockchain, ou na tua carteira hardware, o cérebro humano é sempre vulnerável à manipulação. Por exemplo, um burlão pode facilmente explorar a confiança de uma pessoa, mas muito provavelmente não saberá como hackear um sistema de segurança de última geração. 

Ao contrário dos programas, os humanos sentem emoções como medo, ganância e curiosidade, entre muitas outras; como resultado, o phishing é – e continuará a ser – um método preferido pelos burlões. 

De acordo com o Financial Cyber Survey conduzido pela Deloitte em 2021, o phishing/malware, também conhecido como engenharia social, é considerado a ameaça cibernética mais significativa entre as empresas do setor dos serviços financeiros. 

Este guia irá abordar tudo o que precisas de saber sobre ataques de phishing, exemplos reais de phishing, e como podes proteger a tua conta com o Código anti-phishing da Binance.

O que é o Phishing?

Phishing é um ciberataque popular onde burlões "pescam" informações pessoais — tais como dados de cartões de crédito — fazendo-se passar por uma empresa ou uma entidade de renome. Além disso, o phishing recai sob ataques de engenharia social, um termo genérico para qualquer atividade maliciosa que dependa da interação humana. Simplificando, a engenharia social consiste em hackear humanos, não programas.

A forma mais comum de phishing é através do correio eletrónico. Por exemplo, podes receber um e-mail de alguém em quem "confies", incitando-te a clicar num link, a transferir malware prejudicial ou a fornecer as tuas informações pessoais. 

O Relatório de investigação de violação de dados de 2022 da Verizon (Verizon’s 2022 Data Breach Investigations Report) descobriu que 96% dos ataques de phishing ocorrem através de correio eletrónico. 

Os suspeitos do costume: e-mails de phishing

O phishing por e-mail aplica uma combinação de técnicas para forjar o endereço do remetente. Estes e-mails vão desde um esquema óbvio a réplicas inteligentes, que fazem com que até utilizadores veteranos de criptoactivos mordam o isco. Afinal de contas, os ataques de phishing continuam a existir porque funcionam. Abaixo, podes explorar a nossa lista de cinco exemplos reais de e-mails de phishing. 

Exemplo 1

Um atacante criou este e-mail para roubar o e-mail de um cliente, palavra-passe e chave de segurança A2F. O e-mail foi enviado de <do-not-reply19@www--binance.com>, que utiliza um domínio semelhante ao nosso. No entanto, não te deixes enganar pelo binance.com — os burlões irão utilizar todos os truques disponíveis para disfarçar os seus endereços de e-mail.

Exemplo 2

Este e-mail tentou convencer os utilizadores a transferir um ficheiro PDF aparentemente inocente, que se revelou ser malware malicioso. Ao contrário do exemplo anterior, a formatação e linguagem usadas são significativamente menos profissionais.

Exemplo 3

Este e-mail de phishing instruiu os utilizadores a verificarem se receberam 0,129 BTC, clicando num link da Binance. Recomendamos aos utilizadores nunca clicar num link se parecer estranho, desconhecido ou suspeito. Também é possível verificar duas vezes qualquer domínio da Binance em Binance Verify. Dito isto, se alguma vez suspeitares de um e-mail e do seu conteúdo, podes sempre contactar o Apoio ao cliente da Binance.

Exemplo 4

Este exemplo instruiu os utilizadores a participarem num concurso chamado "ETH Giveaway", utilizando um grande botão verde no fundo que diz "PARTICIPAR".  Tal como o nosso primeiro exemplo, notarás que o remetente está a utilizar um endereço de e-mail falso da Binance. 

Exemplo 5

O remetente deste e-mail estava a fazer-se passar por "Diretor de listagem" da Binance e solicitou ao utilizador que enviasse uma mensagem via Telegram. Assim que o alvo respondeu no Telegram, o atacante pedia que fosse enviada uma certa quantidade de criptoactivos para o seu endereço de carteira. Embora o domínio de e-mail diga Binance.com, não enviámos este e-mail. De facto, o pessoal da Binance nunca irá pedir aos utilizadores informações confidenciais. 

Não te deixes apanhar, prepara o teu Código anti-phishing

Uma vez configurado, o código anti-phishing é um conjunto único de letras e números que aparecerá em cada e-mail legítimo que receberes da Binance. Se o e-mail mostrar um código incorreto ou não tiver um código, contacta imediatamente o Apoio ao cliente da Binance. Este e-mail pode ser uma tentativa de roubar as tuas informações pessoais. Por outro lado, serás capaz de identificar e-mails genuínos da Binance se tiver o teu código anti-phishing.

O código anti-phishing consiste em informação pessoal altamente sensível; não deves em caso algum partilhá-la com ninguém, incluindo os membros do pessoal da Binance. 

Abaixo poderás ver o aspeto de um e-mail da Binance, com e sem o código anti-phishing.

Como configurar o teu código anti-phishing

A configuração do teu código anti-phishing é simples e leva apenas alguns minutos. Segue os nossos passos abaixo para começar:

  1. Primeiro, inicia sessão na tua conta Binance no teu computador.

  2. Visita o painel de controlo da tua conta. Encontrarás a configuração do código anti-phishing sob o separador de segurança. 

  3. Para começar, clica em [Ativar].

  4. Cria o teu próprio código anti-phishing usando uma série de letras e números

O código deve ter um mínimo de 8 caracteres, tanto letras maiúsculas como números. Aconselhamos os utilizadores a criar um código que seja fácil de lembrar e difícil de adivinhar para os atacantes. 

  1. Dependendo de qual autenticação de dois fatores (A2F) tiveres ativado, introduz o teu código de autenticação Google ou SMS.

  2. A configuração para o teu código anti-phishing está agora concluída. A partir de agora, todos os e-mails enviados pela Binance incluirão o teu código único. 

Como atualizar o teu código anti-phishing

Assim como as palavras-chave, é melhor atualizares regularmente o teu código anti-phishing - pelo menos uma vez por mês.  Por vezes, um atacante pode já ter o teu código anti-phishing e pode estar à espera do momento certo para atacar. Ao alterares o teu código frequentemente, evitarás a probabilidade de uma potencial fuga ou de um ataque de phishing bem-sucedido. Se suspeitares que o seu código anti-phishing está comprometido, certifica-te de que o atualizas o mais rapidamente possível.

Para atualizares o teu código, visita a secção código anti-phishing no painel de controlo da tua conta. Depois, clica em [Alterar código] e segue o mesmo processo como quando criaste o teu código anti-phishing anterior. Lembra-te de fazer um novo código que não seja muito semelhante à sua versão antiga.