AINDA SOBRE A AUTENTICAÇÃO EM DUAS ETAPAS

AO MEDO DOS PODERES INVISÍVEIS, INVENTADOS OU IMAGINADOS A PARTIR DE RELATOS, CHAMAMOS RELIGIÃO. 

Windows, Gmail, Facebook, WhatsApp, Telegram e mais uma vasta gama de apps e webservices se tornam mais seguros com a autenticação em dois fatores, que exige comprovação de identidade por mais de um método. Com ela, além de descobrir sua senha principal, um invasor precisará do token (código numérico gerado automaticamente e vale para um único acesso) que é enviado para o seu celular, endereço de email ou outro método secundário de autenticação que você definiu durante a ativação da 2FA.

Observação: Clique aqui para saber como ativar a dupla autenticação no WhatsApp; no Telegram, em Configurações, selecione Privacidade e Segurança > Verificação em duas etapas > Configurar senha adicional, defina uma senha de acesso, toque no botão exibido na parte de cima da tela para avançar, confirme a senha, crie uma dica de senha, informe um endereço de email (para facilitar a recuperação da senha) e, na tela seguinte, digite o código que lhe foi enviado por email (para confirmar que você tem acesso a ele) e toque novamente no botão com ícone de visto na parte de cima.

Receber o token via SMS é prático, mas “torpedos” são facilmente interceptáveis. Aliás, causa espécie a insistência das empresas em mandar dados importantes por SMS, considerando a quantidade de falhas conhecidas da rede SS7 (Sistema de Sinalização 7), utilizada para gerenciar ligações telefônicas e mensagens de texto, e o fato de que a maioria delas não foi corrigida pelas operadoras. E como tanto o iPhone como os smartphones Android podem exibir notificações de mensagens na tela de bloqueio, recomendo enfaticamente desativar essas notificações. Veja como:

- No iPhone, para impedir a visualização de notificações na tela sem que seja preciso desbloquear o aparelho, toque em Ajustes > Notificações > Mostrar Pré-visualizações e mude a configuração de “Sempre” para “Quando desbloqueado” ou “Nunca”. 

- No Android, o caminho pode variar um pouco conforme a versão, mas, em linhas gerais, basta tocar em Configurações > Notificações > Mensagens e explorar as opções disponíveis.

Para ativar, alterar ou desativar o PIN do SIM no iPhone, toque em Ajustes > Telefone > PIN do SIM; se o sistema do seu aparelho for o Android, toque em Configurações > Segurança > Bloqueio do cartão SIM e siga as instruções (pode haver variações conforme a versão do Android). Se você não souber o PIN, não tente adivinhá-lo. Depois de 3 tentativas incorretas (o número de vezes pode ser maior, dependendo da operadora), o chip é bloqueado e só será liberado mediante o PUK, que funciona como uma “chave-mestra”. 

O SIM Card vem num cartão de papelão onde constam algumas informações, dentre as quais PIN e o PUK. Como a gente nem sempre guarda esse cartão em local certo e sabido, nem sempre o encontra se e quando precisa usar o PUK para destrancar o PIN (convém anotar o número em outro local). 

O PIN — de Personal Identification Number — é uma senha de 4 dígitos que bloqueia ou desbloqueia o SIM Card. Por padrão, a Claro usa 3636; a Oi, 8888; a TIM, 1010, e a Vivo, 8486. Para prevenir acessos não autorizados, convém substituí-lo por uma senha pessoal, também de 4 dígitos. 

O PUK (de Pin Unlock Key) é a "chave" que "destrava" o SIM Card se o PIN for digitado incorretamente três vezes seguidas. Em alguns casos, os quatro primeiros dígitos servem de senha para outros recursos (como acesso à caixa postal, por exemplo), e se houver PUK 1 e PUK 2, o primeiro desbloqueia o PIN 1 e o segundo, o PIN 2. 

O PIN 1 é a senha principal de acesso ao telefone e que bloqueia ligações, SMS e chamadas de emergência; o PIN 2 costuma servir de alternativa e também para bloquear determinados serviços oferecidos pela operadora.

Por padrão, o PIN do SIM vem desativado, e há quem o deixe assim para não ter o trabalho de digitar o código sempre que ligar ou reiniciar o telefone — ou quando transferir o chip para outro dispositivo. No entanto, além de impedir o uso do aparelho por terceiros, essa camada adicional de proteção evita que pessoas não autorizadas visualizem tokens de verificação em duas etapas enviados via torpedo (SMS). Para não ingressar no lado negro das estatísticas, sugiro habilitar esse recurso. 

Observação: Após 10 tentativas incorretas de digitar o PUK (ou menos, conforme a operadora), o SIM Card é bloqueado definitivamente, e o jeito será adquirir um novo chip numa loja credenciada pela operadora — isso se você quiser manter o mesmo número de telefone; do contrário, caso sua linha seja pré-paga, basta comprar um chip (com outro número) em qualquer loja que comercialize celulares e acessórios.

Lembre-se: A segurança é um hábito, e como tal deve ser cultivada.

GOLPE VIA WHATSAPP E VERIFICAÇÃO EM DUAS ETAPAS

A VIDA É UMA SOMBRA ERRANTE; UM POBRE COMEDIANTE QUE SE PAVONEIA NO BREVE INSTANTE QUE LHE RESERVA A CENA, PARA DEPOIS NÃO SER MAIS OUVIDO. É UM CONTO DE FADAS QUE NADA SIGNIFICA, NARRADO POR UM IDIOTA CHEIO DE VOZ E FÚRIA.

Quando lançou o iPhone, Steve Jobs inovou a maneira como os celulares vinham sendo usados. Hoje, os diligentes telefoninhos não só são verdadeiros computadores de bolso como substituem o desktop e do notebook na execução de um sem-número de tarefas. 

Há atualmente no Brasil mais celulares do que habitantes, e o Google Android  se faz presente em 75% dos smartphones e tablets. Como popularidade e segurança não andam de mãos dadas, os ataques a esses dispositivos vêm se intensificando a cada dia.

Observação: Embora o iOS — sistema proprietário desenvolvido pela Apple para operar iPhones e iPads — abocanhe uma fatia de “apenas” 23% do mercado, a turma da Maçã não está livre desse tipo de ameaça, embora o risco seja bem menor.

O WhatsApp, por ter presença garantida na esmagadora maioria dos smartphones — tanto com Android quanto com iOS —, é largamente utilizado por cibercriminosos e cibervigaristas como trampolim para seus golpes. E de algumas semanas para cá o número de registros de uma nova modalidade de phishing vem crescendo assustadoramente.

A maracutaia se vale de anúncios em plataformas como OLX, WebMotors, ZapImóveis e Mercado Livre, embora as vítimas possam ser fisgadas de outras maneiras, já que o número do celular vem sendo solicitado para quase tudo, tanto no mundo virtual quanto no físico. Segundo a empresa de segurança digital Kaspersky, o esquema é bem simples: os cibercriminosos monitoram as plataformas de venda pela internet para mirar usuários que criaram um anúncio de venda. Com as informações do anúncio, eles se passam pela plataforma de vendas e enviam uma mensagem no WhatsApp para o alvo — algo como: “verificamos um anúncio recém postado, e gostaríamos de atualizar para que continue disponível para visualização” ou “devido ao grande número de reclamações referente ao seu número de contato, estamos verificando”. Ao final, eles informam à vítima que ela receberá um código via SMS, e que deverá informá-lo, também por SMS, para solucionar a questão. Assim que recebe o código — que na verdade é código de ativação da conta —, o fraudador dá início ao processo de ativação do WhatsApp da vítima em um novo celular.

Com pleno acesso ao histórico das conversas e lista de contatos e grupos da vítima, o vigarista envia mensagens para as pessoas que lhe parecerem mais promissoras (normalmente as dos grupos "família", "amigos" e assemelhados), pedindo um empréstimo para uma despesa urgente. Se o destinatário se dispõe a ajudar, o vigarista só precisa perguntar “qual o banco mais fácil” e depois enviar os dados da conta bancária de um laranja. Até a vítima recuperar o acesso ao WhatsApp, o golpista terá tido tempo suficiente para jogar a isca para dezenas de contatos.

Nos casos analisados, o teor das conversas iniciadas pelos criminosos muda de acordo com a pessoa que está sendo abordada, e as desculpas para empréstimos variam, com os pedidos sendo feitos para os mais diversos fins. Portanto, desconfie de pedidos de empréstimos feitos via WhatsApp e jamais os atenda sem antes entrar em contato com o solicitante, pessoalmente ou por telefone, mesmo que ele seja parente, amigo ou colega de trabalho. Adicionalmente, habilite a dupla autenticação do aplicativo mediante uma senha de seis dígitos. Assim, mesmo que obtenha o código de ativação da sua conta, o estelionatário só conseguirá transferi-la se fornecer também essa senha — vale lembrar que os dados do WhatsApp são vinculados ao SIM Card (chip da operadora), e não ao aparelho (hardware).

No Android, abra o menu do WhatsApp tocando no ícone dos três pontinhos, no canto superior direito da tela, e toque em Configurações > Conta. No menu que será exibido em seguida, selecione a opção Verificação em duas etapas. Ative-a, digite uma senha (PIN) de seis dígitos e confirme na próxima tela. Por fim, adicione um endereço de email de segurança.

Observação: É importante que você utilize um endereço de e-mail vinculado à conta do WhatsApp para ter uma garantia a mais quando for registrar o número em outro aparelho. Além disso, se você esquecer os números que escolheu para o PIN, poderá utilizar o e-mail escolhido para receber um código, que lhe garantirá acesso ao aplicativo.

No iOS, abra o WhatsApp em seu iPhone e, na barra inferior, toque em Ajustes, vá em Conta, selecione Verificação em duas etapas, toque em Ativar, digite o PIN, confirme e informe o email de segurança.

Se as informações desta postagem não forem suficientes, sugiro assistir a este vídeo.