Envio de usuário da comunidade - Autor: WhoTookMyCrypto.com

2017 foi um ano memorável para a indústria das criptomoedas, uma vez que o seu rápido crescimento no valor da indústria impulsionou a cobertura da grande mídia sobre elas. Não é novidade que isso despertou muito interesse do público em geral e dos cibercriminosos. O relativo anonimato oferecido pelas criptomoedas torna-as uma ferramenta favorita dos criminosos, que utilizam criptomoedas para contornar a supervisão do sistema bancário tradicional e evitar a supervisão financeira por parte dos reguladores.

Os usuários agora passam mais tempo em seus smartphones do que em seus desktops, e os cibercriminosos estão voltando sua atenção para isso. O conteúdo a seguir destacará e discutirá como os golpistas têm como alvo os usuários de criptomoedas por meio de seus dispositivos móveis e o que os usuários devem fazer para se protegerem ainda mais.


Aplicativos falsos de criptomoeda

Aplicativos falsos de troca de criptomoedas

Talvez o exemplo mais conhecido de um aplicativo falso de troca de criptomoedas seja o Poloniex. Antes do lançamento do aplicativo oficial de negociação móvel da Poloniex em julho de 2018, vários aplicativos falsos de troca da Poloniex apareceram no Google Play e foram projetados especificamente para realizar fraudes. Muitos usuários que baixaram esses aplicativos falsos tiveram suas credenciais de login do Poloniex comprometidas e suas criptomoedas roubadas. E esses aplicativos vão até pedir aos usuários que forneçam suas contas do Gmail como credenciais de login. É importante ressaltar que apenas contas que não possuem autenticação de dois fatores (2FA) configurada serão afetadas.

Você pode ajudar a se proteger contra esse tipo de golpe definindo as etapas a seguir.

  • Verifique o site oficial da bolsa para confirmar se eles realmente oferecem um aplicativo de negociação móvel. Se for verdade, use o link seguro fornecido no site.

  • Leia análises e classificações de software. Aplicativos falsos costumam receber muitas críticas negativas e pessoas denunciam golpes, portanto, verifique antes de fazer o download. No entanto, você também deve ser cético em relação a aplicativos que possuem classificações e análises de usuários abrangentes. Porque qualquer aplicativo normal terá algumas críticas negativas insatisfatórias.

  • Verifique as informações do desenvolvedor do aplicativo. Verifique se ele fornece uma empresa, endereço de e-mail e site legítimos. Você também deve realizar uma pesquisa on-line sobre as informações fornecidas para ver se elas se relacionam com bolsas oficiais.

  • Verifique o número de downloads. O número de downloads também precisa ser considerado aqui. Porque é impossível para uma bolsa de criptomoedas convencional ter apenas um pequeno número de downloads.

  • Ative as configurações 2FA em sua conta. Embora não seja 100% seguro, configurar 2FA oferece mais proteção caso suas credenciais de login sejam roubadas, fazendo uma enorme diferença em comparação com contas sem 2FA.


Aplicativos falsos de carteira de criptomoeda

Existem muitos tipos diferentes de aplicativos semelhantes a carteiras falsas. Um formulário visa obter informações pessoais dos usuários, como senhas de carteiras e chaves privadas.

Em alguns casos, o aplicativo falso fornece ao usuário um endereço de chave pública gerado anteriormente. Assim, os usuários depositam fundos nesses endereços. No entanto, os utilizadores não têm acesso à chave privada e, portanto, não podem aceder aos fundos que depositaram no endereço público.

Essas carteiras falsas são geralmente criadas para criptomoedas convencionais, como Ethereum e Neo, e, infelizmente, muitos usuários perderam seus ativos devido a isso. As seguintes medidas podem ajudá-lo a evitar se tornar uma vítima:

  • As considerações levantadas acima para aplicações de troca também se aplicam. No entanto, existem alguns cuidados adicionais que você pode tomar ao lidar com aplicativos de carteira, certificando-se de que um novo endereço seja gerado quando você abrir o aplicativo pela primeira vez e que você tenha acesso à chave privada (ou semente mnemônica). Aplicativos de carteira legítimos permitirão que você exporte suas chaves privadas e é importante garantir que o par de chaves recém-gerado não seja comprometido. Portanto, você deve usar software confiável (de preferência de código aberto).

  • Mesmo que um aplicativo seja capaz de fornecer chaves privadas (ou sementes), você deve verificar se o endereço da chave pública pode ser derivado e acessado a partir delas. Por exemplo, algumas carteiras Bitcoin permitem que os usuários importem sua chave privada ou seed e visualizem esse endereço e os ativos correspondentes. Para minimizar o risco de ocorrência de vazamentos de chaves e sementes, você pode fazer isso em um computador que não esteja conectado à Internet (desconectado da Internet).


Aplicações de ataque de criptojacking

Os ataques de roubo de criptografia são há muito tempo os favoritos entre os cibercriminosos devido às baixas barreiras de entrada e às baixas taxas administrativas exigidas. Além disso, o cryptojacking também lhes proporciona rendimento cíclico potencial. Apesar de terem menor poder de processamento em comparação aos PCs, os dispositivos móveis continuam sendo o principal alvo de ataques de cryptojacking.

Além dos ataques de cryptojacking a navegadores, os cibercriminosos também desenvolveram abordagens que se assemelham a jogos legítimos, utilitários ou aplicativos educacionais. No entanto, o objetivo de muitos desses aplicativos é executar scripts de mineração de criptografia ilegalmente em segundo plano nos dispositivos dos usuários.

Existem também aplicativos de cryptojacking que afirmam ser mineradores terceirizados legítimos, mas as recompensas de mineração não são entregues aos usuários, mas aos desenvolvedores de aplicativos.

Para piorar a situação, as técnicas dos cibercriminosos estão a tornar-se cada vez mais sofisticadas e continuam a implementar algoritmos de mineração cada vez mais leves para evitar a deteção.

O Cryptojacking é muito prejudicial ao seu dispositivo móvel, pois reduz o desempenho e acelera o desgaste do dispositivo. Além do mais, eles podem se tornar cavalos de Tróia para malware.

Você pode tomar precauções das seguintes maneiras.

  • Baixe apenas aplicativos de lojas oficiais, como Google Play. Os aplicativos piratas não foram verificados manualmente e são mais propensos a conter scripts de cryptojacking.

  • Monitore seu telefone quanto a consumo excessivo ou superaquecimento da bateria. Se detectado, é recomendável encerrar o aplicativo que está causando o problema.

  • Atualize seus dispositivos e aplicativos para corrigir vulnerabilidades de segurança.

  • Use um navegador à prova de criptografia ou instale plug-ins de navegador confiáveis, como MinerBlock, NoCoin e Adblock).

  • Se possível, instale um software antivírus móvel e mantenha-o atualizado.


Brindes grátis e programas falsos de mineração de criptomoedas

Esses aplicativos fingem ser um software de mineração de criptomoedas, mas na verdade existem apenas para exibir anúncios. Eles enganam os usuários e as recompensas da mineração aumentam com a duração. Isso incentiva os usuários a manter o aplicativo aberto. Alguns aplicativos até incentivam os usuários a deixar uma avaliação de 5 estrelas para ganhar recompensas. É claro que nenhum desses aplicativos realiza mineração real, nem os usuários desse software recebem qualquer recompensa.

Para se proteger contra este tipo de software, é importante compreender que, para a maioria das criptomoedas, é necessário hardware altamente especializado (ASICs) para a mineração, o que significa que a mineração em dispositivos móveis não é viável. Portanto, mesmo que você consiga obter fundos por meio da mineração, isso é insignificante. Portanto, fique longe desses aplicativos.


Aplicativo Clipper

Esses aplicativos alteram o endereço da criptomoeda copiada e o substituem pelo endereço falso do invasor. Embora a vítima possa copiar o endereço de pagamento correto, ao colá-lo, o endereço de transação correto será adulterado pelo invasor.

Para evitar ser vítima de tais aplicações, aqui estão alguns cuidados que você pode tomar ao processar transações relacionadas.

  • Verifique duas ou três vezes o endereço que deseja colar no campo Para. As transações Blockchain são irreversíveis, então você deve ter cuidado.

  • É melhor verificar a precisão de todo o endereço, não apenas de parte dele. Alguns aplicativos são inteligentes o suficiente para colar um endereço semelhante ao endereço pretendido.


Fraude de troca de SIM

Os cibercriminosos acessam os números de telefone dos usuários para realizar fraudes na troca de cartões SIM. Eles fazem isso por meio de engenharia social, fraudando as operadoras de telefonia móvel para que emitam novos cartões SIM. O golpe de troca de SIM mais famoso envolve o empresário de criptomoeda Michael Terpin. Ele afirma que perdeu mais de US$ 20 milhões em criptomoedas devido à negligência da AT&T no manuseio de suas credenciais telefônicas.

Se os cibercriminosos obtiverem acesso ao seu número de telefone, eles poderão ignorar toda a autenticação 2FA dessa forma e obter acesso às suas carteiras e exchanges de criptomoedas.

Outro método que os cibercriminosos usarão é monitorar suas comunicações por mensagens de texto. Falhas nas redes de comunicação podem ser exploradas por criminosos para interceptar suas mensagens de texto, que podem incluir mensagens de autenticação de segundo fator enviadas a você.

Esse tipo de ataque é particularmente preocupante porque o usuário não consegue realizar nenhuma ação, como baixar software falso ou clicar em um link malicioso.

Para evitar ser vítima deste tipo de golpe, aqui estão algumas defesas a serem consideradas.

  • Não use o número do seu celular para autenticação SMS 2FA. Em vez disso, use o Google Authenticator ou um aplicativo como o Authy para manter sua conta segura. Mesmo que o seu número de telefone seja roubado, os cibercriminosos não poderão acessar esses aplicativos. Alternativamente, você pode usar hardware 2FA para proteção, como YubiKey ou Titan Security Key do Google.

  • Não divulgue informações de identificação pessoal, como número de celular, nas redes sociais. Os cibercriminosos podem obter essas informações e usá-las em outro lugar para se passar por você.

  • Por favor, não anuncie nas redes sociais que você possui criptomoeda, pois isso fará de você um alvo. Alternativamente, se a sua localização tiver sido exposta a outras pessoas, evite divulgar informações pessoais, como a bolsa ou carteira que você usa.

  • Trabalhe com sua operadora de celular para proteger sua conta. Isso pode significar que você precisa definir uma senha na conta ou associar a conta à senha e deixar claro que somente usuários com conhecimento da conta podem fazer alterações na conta. Ou somente você pode controlar essas alterações e desativá-las em seu telefone.


Wi-fi

Os cibercriminosos também continuam a procurar pontos de entrada em dispositivos móveis, visando particularmente os utilizadores de criptomoedas. Um ponto de entrada é o acesso WiFi. O WiFi público não é seguro e os usuários devem tomar precauções antes de se conectarem. Sem precauções, os cibercriminosos obtêm acesso aos dados do dispositivo móvel do usuário. Essas precauções foram abordadas no artigo sobre WiFi público.


Pensamentos resumidos

Os telefones celulares se tornaram uma parte indispensável de nossas vidas. Na verdade, eles estão tão ligados à sua identidade digital que podem ser a sua maior vulnerabilidade. Os cibercriminosos estão cientes disso e continuarão a procurar formas de explorar esta vulnerabilidade. A proteção de dispositivos móveis não é mais opcional. Tornou-se imperdível. Portanto, por favor, tome precauções.