Contribuição da comunidade - Autor: WhoTookMyCrypto.com


2017 foi um ano notável para o setor das criptomoedas, com o seu rápido aumento nas avaliações impulsionando-as para a grande mídia. Não é novidade que isso lhes rendeu um interesse imenso e crescente, tanto do público em geral quanto dos cibercriminosos. O relativo anonimato oferecido pelas criptomoedas torna-as nas favoritas dos criminosos que muitas vezes as utilizam para contornar os sistemas bancários tradicionais e evitar a supervisão financeira dos reguladores.

Dado que as pessoas passam mais tempo nos seus smartphones do que nos seus desktops, não é surpresa que os cibercriminosos também tenham recorrido a estes dispositivos. O artigo a seguir explica como os golpistas atacam os usuários de criptomoedas por meio de seus dispositivos móveis, bem como algumas etapas que os usuários podem seguir para se protegerem.


Aplicativos falsos de criptomoeda

Aplicativos falsos de plataforma de troca de criptomoedas

Provavelmente, o exemplo mais conhecido de trocas falsas de criptomoedas é o Poloniex. Antes do lançamento de seu aplicativo oficial de negociação móvel em julho de 2018, o Google Play já listava vários aplicativos falsos da plataforma de negociação Poloniex, intencionalmente projetados para serem funcionais. Muitos usuários que baixaram esses aplicativos fraudulentos viram suas credenciais de login do Poloniex comprometidas e suas criptomoedas roubadas. Alguns aplicativos foram ainda mais longe ao solicitar informações de login das contas do Gmail dos usuários. É importante observar que apenas contas sem autenticação de dois fatores (2FA) foram comprometidas.

As etapas a seguir podem ajudá-lo a se proteger contra esses golpes.

  • Verifique o site oficial da bolsa para verificar se ela realmente oferece um aplicativo de negociação móvel. Se sim, use o link fornecido no site deles.

  • Leia comentários e classificações. Os aplicativos fraudulentos geralmente recebem muitas críticas negativas de pessoas reclamando de terem sido enganados, portanto, verifique essas avaliações e classificações antes de baixar um aplicativo. No entanto, você também deve permanecer cético em relação a aplicativos com análises e classificações perfeitas. Qualquer aplicativo legítimo tem seu quinhão de críticas negativas.

  • Verifique as informações do desenvolvedor do aplicativo. Verifique se uma empresa, endereço de e-mail e site legítimos são fornecidos. Também é aconselhável pesquisar as informações disponibilizadas online para ver se estão realmente relacionadas com a plataforma oficial de câmbio.

  • Verifique o número de downloads. O número de downloads também deve ser levado em consideração. É improvável que uma bolsa de criptomoedas muito popular produza um pequeno número de downloads.

  • Ative 2FA em suas contas. Embora não seja 100% seguro, o 2FA é muito mais difícil de contornar e pode fazer uma enorme diferença na proteção dos seus fundos, mesmo que as suas credenciais de login estejam comprometidas (consulte o artigo sobre phishing).


Aplicativos falsos de carteira de criptomoeda

Existem muitos tipos de aplicativos falsos. Uma variação busca obter informações pessoais dos usuários, como senhas de carteiras e chaves privadas.

Em alguns casos, aplicações falsas fornecem aos utilizadores endereços públicos pré-gerados. Estes utilizadores assumem, portanto, que os fundos são depositados nestes endereços, só que no final, não têm acesso às chaves privadas e, portanto, não têm acesso aos fundos depositados.

Exemplos dessas carteiras falsas foram criadas para criptomoedas populares como Ethereum e Neo e, infelizmente, muitos usuários perderam seus fundos. Aqui estão algumas medidas preventivas a serem tomadas para evitar ser vítima dessas práticas:

  • As precauções destacadas acima no parágrafo relativo a aplicativos de troca falsos também são aplicáveis. No entanto, uma precaução adicional que você pode tomar ao usar aplicativos de carteira é garantir que novos endereços sejam gerados quando você abrir o aplicativo pela primeira vez e que você esteja de posse das chaves privadas (ou mnemônicos). Um aplicativo de carteira legítimo permite exportar as chaves privadas, mas também é importante garantir que a geração de novos pares de chaves não seja comprometida. Portanto, é aconselhável usar software confiável (de preferência de código aberto).

  • Mesmo que o aplicativo forneça uma chave privada (ou frase mnemônica), você deve verificar se os endereços públicos podem ser derivados e acessíveis a partir deles. Por exemplo, algumas carteiras Bitcoin permitem que os usuários importem suas chaves privadas ou mnemônicos para visualizar endereços e acessar fundos. Para minimizar o risco de comprometimento de chaves e frases, você pode fazer isso em um computador isolado (desconectado da Internet).


Aplicativos furtivos de mineração de criptografia (cryptojacking)

A mineração furtiva de criptografia (cryptojacking) é uma das formas favoritas de fazer isso pelos cibercriminosos devido aos poucos obstáculos presentes em sua implementação e aos baixos custos indiretos. Além disso, oferece-lhes o potencial de receitas recorrentes a longo prazo. Apesar do seu baixo poder de processamento em comparação com os PCs, os dispositivos móveis são cada vez mais alvo de mineração furtiva de criptografia.

Além de hackear criptografia em navegadores da web, os cibercriminosos também desenvolvem programas que parecem ser legítimos, jogos, utilidade pública ou aplicativos educacionais. No entanto, muitos desses aplicativos são projetados para executar scripts de mineração de criptomoedas secretamente em segundo plano.

Existem também aplicativos de criptografia anunciados como mineradores terceirizados legítimos, mas as recompensas são dadas ao desenvolvedor do aplicativo e não aos usuários.

Para piorar a situação, os cibercriminosos tornaram-se cada vez mais sofisticados e implementaram algoritmos de mineração leves para evitar a detecção.

A mineração furtiva de criptografia (criptojacking) é extremamente prejudicial aos seus dispositivos móveis porque degrada o desempenho e acelera o desgaste. Pior ainda, eles poderiam atuar como cavalos de Tróia para malwares mais prejudiciais.

As seguintes medidas podem ser tomadas para se proteger:

  • Baixe aplicativos apenas de lojas oficiais, como Google Play. Os aplicativos hackeados não passam por pré-seleção e são mais propensos a conter scripts furtivos de mineração de criptografia.

  • Monitore seu telefone para garantir que a bateria não acabe ou superaqueça. Assim que esses fenômenos forem detectados, feche os aplicativos que os estão causando.

  • Mantenha seu dispositivo e aplicativos atualizados para corrigir vulnerabilidades de segurança.

  • Use um navegador da web que proteja contra mineração furtiva de criptografia ou instale plug-ins de navegador confiáveis, como MinerBlock, NoCoin e Adblock).

  • Se possível, instale um software antivírus móvel e mantenha-o atualizado.


Brindes grátis e aplicativos falsos de mineração de criptomoedas

Esses são aplicativos que afirmam minerar criptomoedas para seus usuários, mas na verdade não fazem nada além de exibir anúncios. Eles incentivam os usuários a manter os aplicativos abertos, prometendo um aumento nas recompensas ao longo do tempo. Alguns aplicativos até incentivam os usuários a deixar uma avaliação 5 estrelas para receber recompensas. É claro que nenhum desses aplicativos estava realmente minerando e seus usuários nunca receberam nenhuma recompensa.

Para se proteger deste esquema fraudulento, esteja ciente de que, para a maioria das criptomoedas, a mineração requer hardware altamente especializado (ASIC), o que significa que é impossível minerar num dispositivo móvel. Quaisquer quantidades que você extraia seriam, na melhor das hipóteses, triviais. Fique longe desses aplicativos.


Aplicativos de recorte

Esses aplicativos modificam os endereços de criptomoeda que você copia e os substituem pelos do invasor. Assim, enquanto a vítima deseja copiar o endereço correto do destinatário, aquele que ela cola para processar a transação é substituído pelo do invasor.

Para evitar ser vítima dessas aplicações, aqui estão alguns cuidados a serem tomados ao processar transações:

  • Sempre verifique duas ou três vezes o endereço colado no campo do destinatário. As transações no blockchain são irreversíveis, portanto você deve sempre ter cuidado com isso.

  • É melhor verificar o endereço completo em vez de apenas parte dele. Alguns aplicativos são inteligentes o suficiente para colar endereços que se parecem com o endereço que você deseja.


Troca de cartão SIM

Em um golpe de troca de SIM, um cibercriminoso obtém acesso ao número de telefone de um usuário. Para fazer isso, eles usam técnicas de engenharia social para enganar as operadoras móveis e fazê-las emitir um novo cartão SIM. O golpe mais famoso de troca de SIM envolveu o empresário de criptomoeda Michael Terpin. Ele alegou que a AT&T foi negligente no uso de suas credenciais de telefone celular, fazendo com que ele perdesse tokens no valor de mais de US$ 20 milhões.

Assim que os cibercriminosos tiverem acesso ao seu número de telefone, eles poderão usá-lo para contornar qualquer A2F que dependa dele. A partir daí, eles podem acessar suas carteiras e exchanges de criptomoedas.

Outro método que os cibercriminosos podem empregar é monitorar suas comunicações por SMS. Vulnerabilidades nas redes de comunicação podem permitir que criminosos interceptem suas mensagens, o que pode incluir o código de identificação de segundo fator 2FA que você deve receber ao fazer login.

O que torna esse ataque particularmente preocupante é que os usuários podem ser vítimas dele sem qualquer tipo de culpa (ao contrário de outros tipos de golpes em que o usuário é induzido a baixar software falso ou clicar em um link malicioso).

Para evitar ser vítima desses golpes, aqui estão algumas etapas a serem consideradas:

  • Não use o número do seu celular para 2FA via SMS. Em vez disso, use aplicativos como Google Authenticator ou Authy para proteger suas contas. Os cibercriminosos não podem acessar esses aplicativos, mesmo que tenham o seu número de telefone. Você também pode usar um dispositivo 2FA, como YubiKey ou a chave de segurança Google Titan.

  • Não divulgue informações de identificação pessoal nas redes sociais, como o número do seu celular. Os cibercriminosos podem coletar essas informações e usá-las para roubar sua identidade em outro lugar.

  • Você nunca deve anunciar nas redes sociais que possui criptomoedas, isso fará de você um alvo. Ou se você estiver em uma posição em que todos já sabem que você é o proprietário, evite divulgar informações pessoais, incluindo quais exchanges ou carteiras você usa.

  • Faça acordos com suas operadoras de telefonia celular para proteger sua conta. Isso pode significar associar um PIN ou senha à sua conta e indicar que somente usuários que conhecem o PIN podem fazer alterações na conta. Você também pode exigir que essas alterações sejam feitas pessoalmente e recusá-las por telefone.


Wi-fi

Os cibercriminosos estão constantemente procurando pontos de entrada em dispositivos móveis, especialmente aqueles de usuários de criptomoedas. Um excelente exemplo é o acesso Wi-Fi público que não é seguro e os usuários devem tomar precauções antes de se conectarem a ele. Caso contrário, correm o risco de conceder aos cibercriminosos acesso aos dados armazenados nos seus dispositivos móveis. Essas precauções foram abordadas no artigo sobre Wi-Fi público.


Conclusão

Os telefones celulares se tornaram uma parte essencial de nossas vidas. Na verdade, eles estão tão intimamente ligados à sua identidade digital que podem se tornar a nossa maior vulnerabilidade. Os cibercriminosos estão cientes desta fraqueza e continuarão a encontrar formas de a explorar. Proteger seus dispositivos móveis não é mais uma opção. Tornou-se uma necessidade. Fique seguro.