A popularização da Internet, a banda larga e as facilidades proporcionadas pelo smartphone levaram os vigaristas dos tempos de antanho a se atualizar.
Embora o pré-histórico “conto
do bilhete premiado” continue fazendo vítimas, os cibervigaristas descobriram que podem lucrar mais e com menos esforço adequando-se ao “estelionato
2.0”, pois uma simples mensagem de phishing enviada em massa pode produzir excelentes resultados, desde que “engenheiro social” tenha habilidade para construir narrativas que convençam suas vítimas em potencial a engolir a isca com anzol e tudo (mais detalhes nesta postagem).
Em seu sentido mais amplo, a Engenharia Social e uma conjunto de técnicas
de manipulação psicológica que induzem as pessoas a fazer o que se quer que elas
façam — no caso específico do cibercrime, persuadi-las a revelar
informações confidenciais (senhas bancárias, p.ex.) que possam ser usadas pelo vigarista para obter lucro ilício. Entre os ataques mais comuns, atualmente, estão os emails de phishing e o vishing (telefonemas de pessoas que se apresentam como uma
organização respeitada).
De acordo com a empresa de segurança PSafe, o sequestro de contas em redes sociais tem sido uma
prática recorrente. Somente em setembro do ano passado, 473 mil usuários
tupiniquins do WhatsApp tiveram
suas contas clonadas (média de 15 por dia), o que poderia ter sido evitado pela
autenticação em dois fatores (ou 2FA).
Via de regra, o segundo fator
é um código criado aleatoriamente a cada login, que geralmente é enviado
por SMS ou email ao usuário cadastrado, mas em alguns casos é gerado por aplicativo
(soft token) ou por um dispositivo
específico (hard token). O objetivo
e acrescer uma camada adicional de segurança ao login, de maneira a impedir que
pessoas não autorizada acessem o aplicativo ou serviço, ainda que descubram a
senha do usuário.
Apps de troca de mensagens, como os populares WhatsApp e o Telegram, oferecem nativamente o recurso,
mas é preciso ativá-lo para uso. Em smartphones com Android 7 e versões superiores, pode-se
usar como
chave de segurança um mecanismo que combina a localização do GPS com o sensor de proximidade
conectado pelo Bluetooth.
A maioria dos mecanismos de controle de acesso suporta a autenticação
de dois fatores e apps como o Google Authenticator e o Microsoft Authenticator são capazes
de códigos aleatórios para proteger contas de webmail, netbanking, Facebook, Instagram etc. O site Two Factor Auth ensina
a configurar o 2FA na maioria dos
webservices, tanto bancários quanto de redes sociais.
