No início dos anos 1960, o MIT desenvolveu o Compatible Time-Sharing System para evitar que meia dúzia de gatos pingados monopolizassem o acesso ao computador. Os nerds logo descobriram como burlar a exigência da senha, mas isso é outra conversa.
Observação: A TI e a Internet popularizaram as "passwords" como forma de verificar a identidade dos usuários em sistemas, webservices, redes sociais etc., mas as senhas são mais antigas do que costumamos imaginar: o Antigo Testamento registra o uso da palavra "xibolete" — do hebraico שבולת, que significa "espiga" — como senha linguística para identificar um determinado grupo de indivíduos.
De um tempo a esta parte, conceitos como segurança e privacidade se tornaram mera cantilena para dormitar bovinos. Mas nem as senhas mais complexas, com letras maiúsculas e minúsculas combinadas com algarismos e caracteres especiais, são páreo para os cibercriminosos, nem a dupla autenticação é uma muralha intransponível para o phishing.
CONTINUA DEPOIS DA POLÍTICA
Num instante em que 60% do território brasileiro sente, direta ou indiretamente, os efeitos das queimadas, Lula se deu conta de que, nos grandes desastres, a primeira pessoa que um governante precisa socorrer é a si mesmo, mas ainda falta transformar percepção em ação. De passagem pelo Amazonas, o petista anunciou a criação de uma Autoridade Nacional Climática e disse que a prioridade será acelerar um plano nacional de enfrentamento aos riscos climáticos extremos.
Trata-se de duas ideias requentadas. A primeira dorme numa gaveta desde a transição de governo. O plano para mitigar os desastres reapareceu em maio passado, durante o dilúvio no Rio Grande do Sul, que Lula aproveitou para torpedear o negacionismo ambiental de "um incivilizado" que passou pela Presidência.
A tragédia climática é planetária e de difícil solução, e negacionismo agravou a encrenca. No Planalto há 20 meses, Lula já deveria ter notado duas coisas: 1) Bolsonaro virou um bode expiatório vencido. 2) Saliva não apaga queimadas.
Ao solicitar uma OTP no login, a segunda instância de verificação, que pode ser gerada em um aplicativo especial diretamente no dispositivo do usuário, incrementa a segurança, mas quem não se preocupa em instalar e configurar um aplicativo autenticador fica vulnerável aos bots de OTP — softwares automatizados que se passam por bancos, órgãos públicos e outras instituições legítimas para induzir os usuários a revelarem seus dados por meio de engenharia social.
Quando a pessoa recebe a OTP por SMS ou email e informa o código solicitado, a informação é retransmitida para o golpista, que assim obtém acesso a sua conta (a vida útil das OTPs é curta, razão pela qual as chances de obter um código válido durante uma chamada telefônica são maiores do que por SMS ou email). Para evitar que as vítimas desconfiem, alguns bots de OTP enviam uma mensagem de texto avisando da chamada que será feita a seguir. À primeira vista, uma ligação precedida de uma mensagem do banco avisando da chamada parece legítima, e os bots se aproveitam dessa "credibilidade" para solicitar dados como número e validade de cartões de crédito, data de nascimento, detalhes de documentos etc.
Para agilizar a coleta dos dados, os golpistas se valem de kits de phishing. Os bots de OTP enviam uma mensagem, que parece vir do banco, da loja ou da operadora de cartão, pedindo à vítima que clique num link e atualize seus dados numa página semelhante à original. Se a conta estiver protegida por 2FA, um comando emitido para o painel de controle do kit de phishing exibirá uma página de inserção de OTP no site falso, e quando a vítima insere o código o golpista faz a festa.
Observação: Alguns cibercriminosos procuram extrair o máximo possível de informações pessoais pressionando a vítima a "confirmar suas credenciais" (como email e dados bancários, entre outros), e as utilizam para acessar outras contas. Com acesso ao email, fica fácil solicitar uma redefinição de senha para todas as outras contas vinculadas àquele endereço.
Portanto:
— Configure sua suíte de segurança para verificar automaticamente vazamentos de dados que afetem suas contas vinculadas a endereços de email e números de telefone. Se uma violação for detectada, altere sua senha imediatamente.
— Se receber uma OTP, alguém pode estar tentando hackear você. Para saber o que fazer nesse caso, clique aqui.
— Crie senhas fortes e exclusivas para todas as suas contas e armazene-as com segurança. Os golpistas só poderão atacar você com bots de OTP se souberem sua senha.
— Se receber uma mensagem com um link para inserir dados pessoais ou uma OTP, examine atentamente o URL. Os golpistas costumam enganar as vítimas substituindo alguns caracteres das URLs dos sites de phishing. Na dúvida, não inserir quaisquer dados confidenciais.
— Jamais compartilhe OTPs nem as insira no teclado do telefone durante uma chamada. Lembre-se de que funcionários legítimos de bancos, lojas ou prestadores de serviços não solicitam sua OTP.