Com base nas preocupações de segurança da comunidade - por: WhoTookMyCrypto.com


2017 foi um ano notável para a indústria das criptomoedas, uma vez que o seu rápido aumento de preço atraiu intensa atenção da mídia. Não é novidade que isso atraiu enorme interesse tanto do público em geral quanto dos cibercriminosos. O relativo anonimato da criptomoeda tornou-a favorita para aqueles que a utilizam para contornar os sistemas bancários tradicionais e evitar a supervisão financeira dos reguladores.

Considerando que as pessoas passam a maior parte do tempo usando um smartphone em vez de um PC, não é de se surpreender que os cibercriminosos tenham focado sua atenção nele. As informações a seguir mostram como os golpistas estão mirando nos smartphones dos usuários de criptomoedas, bem como algumas medidas que você pode tomar para se proteger.


Aplicativos falsos

Trocas de criptomoedas

O exemplo mais famoso desse tipo de software para smartphone é o aplicativo móvel para acessar uma conta na Poloniex. Antes do lançamento da versão oficial em julho de 2018, o Google Play já tinha vários aplicativos falsos que foram deliberadamente projetados para serem indistinguíveis do original. Muitos usuários que baixaram e instalaram esses programas tiveram suas credenciais de login da exchange comprometidas e suas criptomoedas roubadas. Alguns aplicativos foram além e começaram a solicitar uma conta do Gmail. É importante observar que todas as contas das vítimas não tinham autenticação de dois fatores (2FA).

Você pode garantir sua segurança tomando as seguintes medidas:

  • Visite o site oficial da bolsa para ter certeza de que eles realmente têm um aplicativo móvel. Se sim, use o link fornecido no site deles;

  • Leia avaliações e classificações. Aplicativos falsos geralmente têm muitas avaliações ruins de vítimas de golpes, então verifique isso antes de instalar. No entanto, você também deve ser cético em relação a aplicativos que têm apenas avaliações e comentários positivos. Qualquer aplicativo legítimo tem sua cota de avaliações negativas;

  • Verifique as informações sobre o desenvolvedor do aplicativo, empresa, endereço de e-mail e site. Você deve garantir que todas as informações fornecidas estejam corretas e que o aplicativo esteja de fato associado à troca;

  • Verifique o número de downloads, isso também deve ser levado em consideração. É improvável que um aplicativo móvel popular de troca de criptomoedas tenha um número pequeno de downloads;

  • Ative o 2FA na sua conta. Embora isso não proteja sua conta 100%, tornará muito mais difícil para golpistas acessá-la e pode ajudar muito a proteger seus fundos, mesmo se você for vítima de phishing.


Carteiras de criptomoedas

Existem muitos aplicativos falsos por aí. A essência de um tipo é obter informações pessoais dos usuários, como senhas de carteira e chaves privadas.

Em alguns casos, esses aplicativos fornecem endereços públicos pré-gerados e sugerem que os usuários podem depositar neles. No entanto, eles não obtêm acesso às chaves privadas e, portanto, não são donos dos fundos que enviaram.

Essas carteiras falsas foram criadas exclusivamente para as criptomoedas mais populares, como Ethereum e Neo, e infelizmente muitos usuários se tornaram vítimas disso. 

Precauções a tomar para não se tornar uma vítima:

  • As operações acima com aplicativos de acesso à bolsa são igualmente relevantes. No entanto, ao trabalhar com carteiras, você definitivamente deve levar em consideração que, ao iniciá-la pela primeira vez, deverá receber um novo endereço público e uma chave privada (ou frases mnemônicas). Um aplicativo de carteira real permite que você exporte chaves privadas, mas você também deve garantir que a geração de novos pares de chaves não tenha sido comprometida. Portanto, você deve usar um software com excelente reputação (de preferência de código aberto);

  • Mesmo que o aplicativo forneça uma chave privada (ou frase mnemônica), você deve garantir que pode acessar sua carteira com ela. Por exemplo, algumas carteiras de Bitcoin permitem que os usuários importem suas chaves privadas ou frases para visualizar endereços e acessar fundos. Para minimizar o risco de suas chaves e frases serem comprometidas, você pode fazer isso em um computador isolado (sem acesso à Internet).


Criptojacking

O cryptojacking tem sido claramente o favorito entre os criminosos cibernéticos devido à sua baixa barreira de entrada e baixos custos indiretos. Além disso, proporciona renda recorrente de longo prazo. Apesar de terem menor poder computacional que os PCs, os dispositivos móveis estão se tornando cada vez mais vítimas desse ataque.

Além do cryptojacking baseado em navegador da web, os cibercriminosos também desenvolvem programas que se parecem com jogos comuns, utilitários ou aplicativos educacionais. No entanto, muitos deles são projetados para minerar criptomoedas secretamente em segundo plano.

Também há aplicativos que se anunciam como mineração legítima para seu dispositivo, mas na verdade a recompensa vai para o desenvolvedor, não para o usuário. Para piorar a situação, os cibercriminosos estão se tornando cada vez mais sofisticados, desenvolvendo algoritmos de mineração mais inconsequentes para evitar a detecção.

O cryptojacking é extremamente perigoso para seus dispositivos móveis, pois degrada o desempenho e acelera o desgaste do seu processador e bateria. Pior ainda, ele pode atuar como um cavalo de Troia, além de outros vírus. 

As seguintes medidas devem ser tomadas para se proteger: 

  • Baixe aplicativos apenas de fontes oficiais, como o Google Play. Programas pirateados não são pré-verificados e provavelmente contêm um script de cryptojacking;

  • Monitore o desempenho do seu telefone em caso de esgotamento rápido da bateria ou superaquecimento. Uma vez identificada a causa, encerre os aplicativos que a estão causando;

  • Atualize seu dispositivo e aplicativos para corrigir vulnerabilidades em versões anteriores de firmware;

  • Use um navegador que o proteja contra cryptojacking ou instale extensões especiais como: MinerBlock, NoCoin e Adblock;

  • Se possível, instale um antivírus no seu smartphone e atualize-o regularmente.


Brindes grátis e aplicativos de mineração falsos 

Alguns dos programas que “mineram criptomoedas” para seus usuários na verdade não fazem nada além de exibir anúncios. Eles incentivam a manutenção dos aplicativos abertos refletindo recompensas crescentes ao longo do tempo. Alguns programas forçam os usuários a deixar uma classificação máxima para receber uma recompensa. No final das contas, nenhuma dessas plataformas estava minerando e seus usuários não receberão suas recompensas.

Para se proteger dessas fraudes, você deve entender que, para a maioria das criptomoedas, a mineração requer hardware altamente especializado (ASIC), o que significa que é impossível minerar em um dispositivo móvel. Quaisquer quantias que você receba lá, elas não significam nada. Fique longe desses aplicativos.


Tosquiadeira

Esses são programas que alteram o endereço que você copia e o substituem por outro. Assim, embora a vítima possa copiar o endereço correto do destinatário para processar a transação, ele é substituído pelo endereço do invasor.

Para evitar ser vítima de tais aplicativos, aqui estão algumas precauções a serem tomadas ao enviar transações:

  • Sempre verifique duas vezes, ou melhor ainda, três vezes, o endereço que você digita no campo de destinatário. Todas as transações no blockchain são irreversíveis, então você deve sempre ter cuidado.

  • É melhor verificar o endereço inteiro, não apenas partes dele. Alguns aplicativos são tão inteligentes que usam endereços muito semelhantes ao endereço do destinatário.


Substituição do cartão SIM

Na fraude de troca de SIM, um invasor obtém acesso ao número de telefone de um usuário usando várias técnicas de engenharia social para enganar as operadoras de telefonia móvel e fazê-las obter um novo cartão SIM. O caso mais famoso desse tipo de golpe foi o do empreendedor de criptomoedas Michael Terpin. Ele alegou que a AT&T foi negligente com suas credenciais de celular, fazendo com que ele perdesse mais de US$ 20 milhões em tokens.

Quando um criminoso cibernético tem acesso ao seu número, ele pode usá-lo para ignorar qualquer autenticação de dois fatores associada a ele, o que lhe dá acesso às suas carteiras e contas de câmbio.

Outro método que os cibercriminosos podem usar é rastrear suas mensagens SMS. Vulnerabilidades em redes de telecomunicações permitem que invasores interceptem suas mensagens que incluem um elemento de autenticação de segundo fator.

O que torna esse ataque particularmente preocupante é que os usuários não são obrigados a realizar nenhuma ação, como baixar software falso ou clicar em um link infectado.

Precauções a tomar para evitar ser vítima de tal fraude:

  • Não use seu número de celular principal para SMS 2FA. Em vez disso, use aplicativos como Google Authenticator ou Authy para proteger sua conta. Nesse caso, os cibercriminosos não terão acesso às informações, mesmo que tenham seu número de telefone. Como alternativa, você pode usar 2FA de hardware usando YubiKey ou Google Titan;

  • Não divulgue suas informações de identificação nas redes sociais, como seu número de telefone celular. Essas informações podem ser usadas contra você;

  • Não anuncie nas redes sociais que você tem criptomoedas, pois isso fará de você um alvo imediato, caso já esteja nessa situação. Evite divulgar outras informações pessoais, bem como as exchanges e carteiras que você usa;

  • Faça acordos com sua operadora de celular para proteger seu número de celular. Isso pode significar ter um PIN ou senha com a indicação de que somente aqueles que os conhecem podem fazer alterações em sua conta pessoal. Além disso, você pode concordar que as mudanças devem ocorrer apenas na sua presença pessoal.


Wi-fi

Os cibercriminosos estão constantemente procurando por pontos fracos em seus dispositivos móveis, especialmente se eles envolverem criptomoedas. Um desses pontos fracos é o acesso à Internet via WiFi. Pontos de acesso públicos não são seguros e, ao usá-los, você não deve negligenciar as precauções de segurança antes de se conectar, caso contrário, você corre o risco de dar acesso aos dados do seu dispositivo. Abordamos todas as etapas relacionadas para garantir sua segurança no artigo sobre WiFi público.


Conclusão

Os celulares se tornaram parte integrante de nossas vidas e, de fato, estão tão intimamente ligados à identidade digital que podem se tornar seu ponto fraco. Os cibercriminosos sabem disso e continuarão procurando maneiras de explorar isso. Proteger seus dispositivos móveis não é mais uma opção, mas sim uma necessidade, então esteja sempre alerta e seguro.