O ano de 2017 foi histórico para a indústria das criptomoedas. A forte valorização do mercado fez com que a mídia começasse a dar muito mais atenção para o espaço. Naturalmente, isso atraiu o interesse do público em geral, mas também dos cibercriminosos. Por oferecem um certo grau de anonimidade, as criptomoedas se tornaram uma das alternativas favoritas entre os criminosos, que costumam usá-las para burlar os sistemas bancários tradicionais e evitar a vigilância financeira dos agentes reguladores.
Dado que as pessoas estão gastando mais tempo em seus smartphones do que nos computadores de mesa, não é nenhuma surpresa que cibercriminosos tenham também voltado suas atenções para os dispositivos móveis. A discussão a seguir destaca como golpistas têm atacado os usuários de criptomoedas por meio de seus smartphones, além de algumas precauções que podem tomar para se proteger desses ataques.
Apps fraudulentos de criptomoedas
Apps fraudulentos de exchanges
O caso da Poloniex é provavelmente o exemplo mais conhecido de um aplicativo fraudulento de uma exchange de criptomoedas. Antes do lançamento oficial do seu aplicativo de negociação, em julho de 2018, a Google Play já listava vários aplicativos falsos da corretora Poloniex, que foram intencionalmente desenvolvidos para serem funcionais. Vários usuários que baixaram esses aplicativos tiveram suas informações de login da Poloniex comprometidas e suas criptomoedas roubadas. Alguns aplicativos foram um pouco mais longe, solicitando informações de login das contas Gmail dos usuários. É importante destacar que apenas contas sem verificação em dois fatores (2FA) foram comprometidas.
Os passos a seguir podem ajudar na precaução contra esses tipos de golpe.
Verifique o site oficial da corretora para ter certeza de que oferecem um aplicativo móvel para negociação. Se sim, use o link disponibilizado pelo site oficial.
Leia os comentários e avaliações. Aplicativos fraudulentos normalmente têm vários comentários negativos de pessoas reclamando sobre golpes, portanto, faça essa verificação antes de baixar o App. Entretanto, você também deve desconfiar de aplicativos com comentários e avaliações perfeitas. Qualquer aplicativo legítimo tem uma certa porcentagem de comentários negativos.
Verifique as informações de desenvolvedor do aplicativo. Certifique-se de que o nome de uma empresa legítima, endereço de email e site oficial sejam fornecidos. Você também deve fazer uma pesquisa online sobre as informações apresentadas para ter certeza que elas estão realmente relacionadas à corretora oficial.
Verifique o número de downloads. Essa informação também deve ser considerada, é improvável que uma corretora de criptomoedas bastante popular tenha um baixo número de downloads.
- Ative a verificação em dois fatores (2FA). Embora não seja 100% seguro, o 2FA é muito mais complicado de burlar e pode fazer uma grande diferença na proteção dos seus fundos, mesmo que suas credenciais de login tenham sofrido phishing.
Falsos aplicativos de carteira de criptomoedas
Existem vários tipos diferentes de aplicativos falsos. Um desses tipos tenta obter informações pessoais de usuários como a senha das suas carteiras e chaves privadas.
Em alguns casos, aplicativos falsos fornecem endereços públicos previamente gerados aos usuários. Assim, fazendo com que entendam que os fundos devem ser depositados nesses endereços. Entretanto, eles não obtêm acesso às chaves privadas, e dessa forma, não têm acesso à quaisquer fundos enviados para esses endereços.
Esses tipos de carteiras falsas foram criadas para criptomoedas populares como a Ethereum e a Neo, e infelizmente, muitos usuários perderam suas moedas. Aqui estão algumas precauções que podem ser tomadas para evitar que você se torne uma vítima:
As precauções destacadas acima são igualmente aplicáveis para segmento de aplicativos de corretoras. Entretanto, uma precaução adicional que você pode tomar ao lidar com aplicativos de carteira é garantir que novos endereços sejam gerados assim que você abrir o aplicativo pela primeira vez, e que você tenha posse das chaves privadas (ou seeds mnemônicas). Um aplicativo de carteira legítimo permite que você exporte as chaves privadas, mas também é importante garantir que a geração de novos pares de chaves não esteja comprometida. Então você deve usar um aplicativo que tem boa reputação (de preferência com código aberto).
Mesmo que o aplicativo lhe forneça uma chave privada (ou seed), você deve verificar se os endereços públicos podem ser gerados e acessados a partir dela. Por exemplo, algumas carteiras de Bitcoin permitem que os usuários importem suas chaves privadas ou seeds para visualizar os endereços e acessar seus fundos. Na tentativa de minimizar os riscos das chaves ou seeds serem comprometidas, você deve fazer isso em um computador desconectado da internet.
Aplicativos de cryptojacking
Além do Cryptojacking baseado em navegadores da web, os golpistas também estão desenvolvendo jogos, programas utilitários e educacionais que parecem legítimos. Entretanto, muitos desses programas são desenvolvidos para executar scripts (comandos) para mineração das criptomoedas de forma secreta.
Existem também aplicativos de Cryptojacking que são anunciados como mineradores oficiais, mas as recompensas são entregues ao desenvolvedor do aplicativo, em vez dos usuários.
Para tornar as coisas ainda piores, os golpistas estão se tornando cada vez mais sofisticados, lançando algoritmos de mineração muito leves para evitar a detecção.
A atividade de Cryptojacking é extremamente nociva para seus dispositivos móveis já que diminui a performance e acelera o desgaste dos componentes internos. Pior ainda, pode agir como um potencial Cavalo de Tróia para outras infecções mais perigosas.
Os passos a seguir podem ser tomados para se prevenir contra o Cryptojacking.
Só baixe aplicativos que estão disponíveis em lojas oficiais, como a Google Play. Os aplicativos piratas não foram pré-escaneados, tendo maior probabilidade de possuir scripts de cryptojacking.
Monitore seu celular para identificar uso excessivo de bateria ou superaquecimento. Uma vez identificado, feche os aplicativos que estão causando o problema.
- Mantenha seu dispositivo e aplicativos devidamente atualizados, dessa forma as vulnerabilidades de segurança serão corrigidas com frequência.
Use um navegador da web que tenha proteção contra Cryptojacking, ou instale plugins com boa reputação, como o MinerBlock, NoCoin e Adblock.
Se possível, instale programas antivírus e mantenha-os atualizados.
Falsos aplicativos para mineração de criptomoedas e sorteios
Esses aplicativos fingem estar minerando criptomoedas para seus usuários, mas na realidade não fazem nada além de exibir anúncios. Eles incentivam os usuários a manterem os aplicativos abertos ao prometer supostas recompensas com o passar do tempo. Alguns deles até incentivam os usuários a fazerem avaliações 5 estrelas na loja, utilizando-se do mesmo tipo de promessa. É claro que nenhum desses aplicativos realmente minera criptomoedas, e seus usuários nunca receberão qualquer recompensa.
Para se proteger contra esse tipo de golpe, é necessário entender que na maioria das criptomoedas, a mineração tem como pré-requisito um tipo de hardware altamente especializado, chamado de ASIC, significando que é impossível minerar usando um dispositivo móvel. Qualquer montante que você conseguir minerar, na melhor das hipóteses, será ínfimo. Fique longe desses aplicativos.
Aplicativos Clipper
Esses aplicativos alteram os endereços de criptomoedas que você copia e os substitui pelos endereços do invasor. Assim, enquanto a vítima copia o endereço correto, assim que ela cola é feita a substituição por um endereço válido, mas que pertence ao invasor.
Para evitar ser vítima de aplicativos como esse, aqui estão algumas precauções que podem ser tomadas quando estiver processando transações.
- Sempre verifique o endereço que você está colocando no campo do destinatário, ao menos duas ou três vezes. As transações na blockchain são irreversíveis, então você deve sempre ser cuidadoso.
É melhor verificar o endereço inteiro em vez de só algumas partes dele. Alguns aplicativos são inteligentes o suficiente para colar endereços semelhantes aos que você pretendia.
Mudança de chip
Uma vez que golpistas conseguem acesso ao seu número de telefone, podem então usá-lo para burlar uma possível proteção 2FA que se baseie em mensagens de texto (SMS). A partir daí, eles têm acesso às suas carteiras de criptomoedas e contas de corretoras.
Outro método que os golpistas podem usar é o monitoramento de suas mensagens de texto (SMS). Algumas falhas nas redes de comunicação permitem que criminosos consigam interceptar suas mensagens, que podem incluir a senha da sua proteção 2FA.
O que faz desse ataque particularmente preocupante é que os usuários não são requisitados a realizar qualquer ação, como baixar programas falsos ou clicar em links infectados.
Para evitar se tornar mais uma vítima de tais golpes, aqui estão alguns passos a se considerar.
Não use seu número de telefone para receber senhas do 2FA via SMS. Em vez disso, use aplicativos como o Google Authenticator ou o Authy para proteger suas contas. Os golpistas não conseguem obter acesso a esses aplicativos, mesmo que tenham o seu número de telefone. Uma outra alternativa é usar um hardware de 2FA, como o YubiKey ou o Titan Security Key do Google.
Não revele informações pessoais em redes sociais, como seu número de telefone. Os golpistas podem usar essas informações para se passar por você em outro lugar, seja em redes sociais ou locais físicos.
Você nunca deve postar em redes sociais que possui criptomoedas, isso o tornará um alvo. E no caso de estar numa posição onde todos sabem que você tem criptomoedas, evite divulgar informações pessoais, como as carteiras e corretoras que você usa.
Negocie com seus provedores de telefonia móvel uma forma mais segura para proteção da sua conta. Uma boa opção é pedir que senha ou PIN sejam anexados à sua conta, para que somente quem tem esse código possa fazer alterações na mesma. Como alternativa, você pode exigir que todas as alterações sejam feitas pessoalmente, proibindo qualquer uma por telefone.
WiFi
Considerações Finais
Telefones móveis se tornaram uma parte essencial das nossas vidas. De fato, eles estão tão ligados à sua identidade digital, que podem se transformar na sua maior vulnerabilidade. Os criminosos sabem disso e vão continuar tentando encontrar formas de se aproveitar desse problema. A proteção dos seus dispositivos móveis não é mais opcional, mas sim uma necessidade. Mantenha-se em segurança.