Conteúdo contribuído pela comunidade - Autor: WhoTookMyCrypto.com
2017 foi um ano notável para a indústria das criptomoedas devido ao aumento vertiginoso das avaliações, o que, como resultado, levou a uma ampla exposição nos principais meios de comunicação. Como não poderia deixar de ser, esta circunstância suscitou-lhes um enorme interesse tanto do público em geral como dos cibercriminosos. O relativo anonimato oferecido pelas criptomoedas tornou-as num instrumento cobiçado por estes atores maliciosos, que muitas vezes as utilizam para contornar os sistemas bancários tradicionais e evitar a supervisão dos reguladores.
Dado que as pessoas tendem a passar mais tempo a utilizar smartphones do que computadores de secretária, não é surpreendente que os cibercriminosos tenham voltado a sua atenção para os primeiros. Portanto, o artigo a seguir enfoca os mecanismos utilizados pelos golpistas para acessar usuários de criptomoedas através de seus dispositivos móveis, bem como algumas medidas que estes últimos podem tomar para se protegerem.
Aplicativos falsos de criptomoeda
Aplicativos falsos de troca de criptomoedas
O exemplo mais conhecido de um aplicativo falso de troca de criptomoedas é provavelmente o Poloniex. Antes do lançamento do aplicativo móvel oficial em julho de 2018, vários aplicativos falsos de troca da Poloniex já podiam ser encontrados no Google Play – que foram intencionalmente projetados para serem funcionais. Muitos usuários que baixaram esses aplicativos fraudulentos viram suas credenciais de acesso Poloniex comprometidas e suas criptomoedas roubadas. Alguns aplicativos foram além, até solicitando aos usuários credenciais de acesso às suas contas do Gmail. É necessário observar que apenas as contas que não possuíssem autenticação de dois fatores (2FA) seriam comprometidas.
As etapas a seguir podem ajudar a protegê-lo contra esses tipos de golpes:
Verifique o site oficial da bolsa para verificar se ela realmente oferece um aplicativo de negociação móvel. Nesse caso, use o link fornecido pelo mesmo site.
Leia os comentários e classificações. Os aplicativos fraudulentos geralmente recebem inúmeras avaliações negativas de pessoas reclamando de terem sido enganados, portanto, certifique-se de realizar verificações antes de fazer o download. Da mesma forma, você também deve ser cético em relação a aplicativos que apresentam comentários e classificações excessivamente positivas. Todo aplicativo legítimo é sempre acompanhado por seu quinhão de avaliações negativas.
Revise as informações relacionadas ao desenvolvedor do aplicativo. Verifique se são fornecidas referências a uma empresa, site ou e-mail legítimo. A seguir, deverá realizar uma pesquisa online das informações fornecidas para verificar se elas realmente estão vinculadas à casa de câmbio oficial.
Verifique o número de downloads. Esse detalhe também deve ser levado em consideração porque é pouco provável que uma casa de câmbio muito popular tenha um baixo número de downloads.
Ative a autenticação 2FA em suas contas. Embora não seja 100% segura, a autenticação 2FA é muito mais difícil de contornar e pode fazer uma grande diferença na proteção dos seus fundos – mesmo que as suas credenciais de login tenham sido comprometidas por phishing.
Aplicativos falsos de carteira de criptomoeda
Existem muitos tipos de aplicativos falsos. Entre eles, aqueles que buscam obter dados pessoais dos usuários, como senhas e chaves privadas de suas carteiras.
Em alguns casos, trata-se de aplicações falsas que fornecem aos utilizadores endereços públicos gerados anteriormente. Os utilizadores presumirão que podem depositar fundos com segurança nestes endereços, no entanto, como não recebem as chaves privadas, não poderão aceder aos fundos que ali depositam.
Carteiras falsas desse tipo foram criadas para criptomoedas populares como Ethereum ou Neo e, infelizmente, muitos usuários perderam seus fundos. Aqui estão algumas das precauções que você pode tomar para evitar ser vítima de tais golpes:
As precauções destacadas na seção anterior – dedicada a aplicativos de exchanges falsos – são igualmente válidas neste caso. No entanto, uma medida adicional que pode ser tomada ao lidar com aplicativos de carteira é garantir que endereços completamente novos sejam gerados quando esses aplicativos forem abertos pela primeira vez, e que um deles tenha suas chaves privadas ou sementes mnemônicas correspondentes. Aplicativos de carteira legítimos permitirão que você exporte suas chaves privadas; mas também é importante garantir que a geração de novos pares de chaves não seja comprometida. Portanto, você deve usar software confiável (de preferência de código aberto).
Mesmo que o aplicativo forneça uma chave privada (ou semente), você deve verificar se os endereços públicos podem ser derivados e acessados a partir dele. Por exemplo, algumas carteiras Bitcoin permitem que os usuários importem suas chaves privadas ou sementes para visualizar endereços e acessar fundos. Para minimizar o risco de comprometimento de chaves e sementes, o ideal é realizar esta operação em um computador “air-gap” (ou seja, desconectado da Internet).
Aplicativos de cryptojacking
O Cryptojacking tornou-se uma das práticas preferidas dos cibercriminosos devido ao seu fácil acesso e baixo custo, bem como ao potencial de oferecer receitas recorrentes a longo prazo. Apesar do seu menor poder de processamento em comparação com os PCs, os dispositivos móveis estão a tornar-se um alvo cada vez mais comum para o cryptojacking.
Além do cryptojacking em navegadores da Web, os cibercriminosos também estão desenvolvendo programas que parecem ser aplicativos e jogos educacionais e funcionais totalmente legítimos. Muitos desses aplicativos, no entanto, foram projetados para executar scripts secretamente em segundo plano.
Existem também aplicativos de cryptojacking que são anunciados como aplicativos legítimos de mineração de terceiros, mas cujas recompensas acabam sendo dadas aos desenvolvedores em vez de aos seus usuários.
Para piorar a situação, os criminosos tornaram-se cada vez mais sofisticados, o que os levou a instalar algoritmos de mineração leves que tornam a sua detecção extremamente difícil.
O Cryptojacking é extremamente prejudicial para dispositivos móveis, pois degrada seu desempenho e acelera o desgaste. Pior ainda, ele também pode atuar como um cavalo de Tróia para outros tipos de malware ainda mais perniciosos.
As etapas a seguir podem ser úteis para se proteger contra o cryptojacking:
Baixe apenas aplicativos de plataformas oficiais, como Google Play. Os aplicativos piratas não foram pré-examinados e são mais propensos a conter scripts de cryptojacking.
Monitore seu telefone para identificar consumo excessivo ou superaquecimento da bateria. Uma vez detectado, cancele os aplicativos que causam esses efeitos.
Mantenha seu dispositivo e aplicativos atualizados para que possíveis vulnerabilidades de segurança sejam corrigidas.
Use um navegador que proteja contra cryptojacking ou instale plug-ins confiáveis, como MinerBlock, NoCoin e Adblock.
Se possível, instale um software antivírus móvel e mantenha-o atualizado.
Brindes grátis e aplicativos falsos de mineração de criptografia
São aplicativos que simulam a mineração de criptomoedas, mas na realidade não fazem nada além de exibir publicidade. Eles incentivam os usuários a manter os aplicativos abertos, refletindo um aumento nas recompensas ao longo do tempo. Alguns desses aplicativos até incentivam os usuários a deixar avaliações 5 estrelas como condição para obter as recompensas mencionadas. É claro que nenhum desses aplicativos explora de forma eficaz e seus usuários nunca receberão uma recompensa real.
Para se proteger contra esse golpe, é necessário entender que a mineração da maioria das criptomoedas requer hardware altamente especializado (os famosos ASICs), o que significa que não é viável realizar a operação a partir de um dispositivo móvel. E em qualquer caso, qualquer quantia que pudesse ser extraída desta forma seria trivial. Por esse motivo, recomendamos que você fique longe de qualquer aplicativo semelhante.
Aplicativos portapapeles (aplicativos clipper)
Este tipo de aplicativo altera os endereços das criptomoedas que se copia e os substitui pelos do invasor. Desta forma, embora a vítima possa copiar um endereço de recebimento correto, aquele que ela colar para processar a transação será substituído por um do invasor.
A seguir apresentamos uma série de medidas que você pode tomar no processamento de suas transações, para evitar ser vítima deste tipo de aplicativos:
Sempre verifique duas ou até três vezes o endereço que você está colando no campo de envio. As transações Blockchain são irreversíveis, portanto você deve agir com cautela em todos os momentos.
É melhor verificar todo o endereço fornecido, em vez de apenas partes dele. Alguns aplicativos são sofisticados o suficiente para colar endereços semelhantes aos legítimos.
Troca de SIM
Em um golpe de troca de SIM, o cibercriminoso obtém acesso ao número de telefone do usuário. Eles conseguem isso usando técnicas de engenharia social que lhes permitem enganar as operadoras móveis e fazer com que lhes forneçam uma cópia do cartão SIM. O golpe de troca de SIM mais famoso foi aquele que afetou o empresário de criptomoeda Michael Terpin – que alegou que a AT&T havia entregue negligentemente suas credenciais de telefone celular a terceiros, fazendo com que ele perdesse tokens avaliados em mais de 20 milhões de dólares americanos.
Depois que os criminosos obtiverem acesso ao seu número de celular, eles poderão usá-lo para ignorar qualquer autenticação 2FA que dependa dele. A partir daí, eles entrarão em suas carteiras de criptomoedas e contas de câmbio.
Outro método que os cibercriminosos podem usar é monitorar suas comunicações via SMS. Falhas nas redes de comunicação podem permitir que criminosos interceptem suas mensagens – entre as quais pode estar o número pin 2FA.
O que torna estes tipos de ataques particularmente perturbadores é que eles não exigem um papel ativo por parte das vítimas – como é o caso do download de software falso ou da abertura de links maliciosos.
Para evitar cair nesse tipo de golpe, as seguintes medidas podem ser consideradas:
Não use o número do seu celular para autenticações 2FA do tipo SMS. Em vez disso, use aplicativos como Google Authenticator ou Authy para proteger suas contas. Os cibercriminosos não conseguirão obter acesso a esses tipos de aplicativos, nem mesmo se assumirem o controle do seu número de telefone. Alternativamente, você também pode usar autenticações 2FA de hardware - como YubiKey ou Titan Security Keys do Google.
Nunca revele informações pessoais – como seu número de telefone – nas redes sociais. Os cibercriminosos podem tirar vantagem dessas informações e usá-las para se passar por você em outros sites.
Você nunca deve anunciar nas redes sociais que possui criptomoedas, pois isso pode torná-lo um alvo. Se você estiver em uma posição em que todos saibam que você os possui, evite revelar informações pessoais – como as exchanges ou carteiras que você usa.
Planeje proteger sua conta com suas operadoras de telefonia móvel. Isso pode incluir a exigência de um PIN ou senha para qualquer alteração que você queira fazer. Alternativamente, você também pode solicitar que tais alterações só possam ser feitas pessoalmente, impossibilitando sua execução por telefone.
Wi-fi
Os cibercriminosos estão constantemente em busca de possíveis formas de acessar dispositivos móveis, principalmente aqueles que utilizam criptomoedas. Um desses pontos de entrada potenciais é o WiFi. As redes WiFi públicas são inseguras e os usuários devem sempre tomar precauções antes de se conectarem a elas. Caso contrário, correm o risco de os cibercriminosos obterem acesso aos dados armazenados nos seus dispositivos móveis. Estas precauções foram abordadas no artigo dedicado às redes WiFi públicas.
Pensamentos finais
Os telefones celulares se tornaram uma parte fundamental de nossas vidas. Na verdade, estão tão interligados com a nossa identidade digital que podem tornar-se a nossa principal vulnerabilidade. Os cibercriminosos sabem disso e é por isso que continuam procurando mecanismos para explorá-los. Proteger seus dispositivos móveis não é mais uma opção, mas tornou-se uma necessidade. Sempre aja com cautela.
