Mostrando postagens com marcador vigarice digital. Mostrar todas as postagens
Mostrando postagens com marcador vigarice digital. Mostrar todas as postagens

sexta-feira, 31 de maio de 2019

GOLPE VIA WHATSAPP E VERIFICAÇÃO EM DUAS ETAPAS


A VIDA É UMA SOMBRA ERRANTE; UM POBRE COMEDIANTE QUE SE PAVONEIA NO BREVE INSTANTE QUE LHE RESERVA A CENA, PARA DEPOIS NÃO SER MAIS OUVIDO. É UM CONTO DE FADAS QUE NADA SIGNIFICA, NARRADO POR UM IDIOTA CHEIO DE VOZ E FÚRIA.

Quando lançou o iPhone, Steve Jobs inovou a maneira como os celulares vinham sendo usados. Hoje, os diligentes telefoninhos não só são verdadeiros computadores de bolso como substituem o desktop e do notebook na execução de um sem-número de tarefas. 

Há atualmente no Brasil mais celulares do que habitantes, e o Google Android  se faz presente em 75% dos smartphones e tablets. Como popularidade e segurança não andam de mãos dadas, os ataques a esses dispositivos vêm se intensificando a cada dia.

Observação: Embora o iOS — sistema proprietário desenvolvido pela Apple para operar iPhones e iPads — abocanhe uma fatia de “apenas” 23% do mercado, a turma da Maçã não está livre desse tipo de ameaça, embora o risco seja bem menor.

O WhatsApp, por ter presença garantida na esmagadora maioria dos smartphones — tanto com Android quanto com iOS —, é largamente utilizado por cibercriminosos e cibervigaristas como trampolim para seus golpes. E de algumas semanas para cá o número de registros de uma nova modalidade de phishing vem crescendo assustadoramente.

A maracutaia se vale de anúncios em plataformas como OLX, WebMotors, ZapImóveis e Mercado Livre, embora as vítimas possam ser fisgadas de outras maneiras, já que o número do celular vem sendo solicitado para quase tudo, tanto no mundo virtual quanto no físico. Segundo a empresa de segurança digital Kaspersky, o esquema é bem simples: os cibercriminosos monitoram as plataformas de venda pela internet para mirar usuários que criaram um anúncio de venda. Com as informações do anúncio, eles se passam pela plataforma de vendas e enviam uma mensagem no WhatsApp para o alvo — algo como: “verificamos um anúncio recém postado, e gostaríamos de atualizar para que continue disponível para visualização” ou “devido ao grande número de reclamações referente ao seu número de contato, estamos verificando”. Ao final, eles informam à vítima que ela receberá um código via SMS, e que deverá informá-lo, também por SMS, para solucionar a questão. Assim que recebe o código — que na verdade é código de ativação da conta —, o fraudador dá início ao processo de ativação do WhatsApp da vítima em um novo celular.

Com pleno acesso ao histórico das conversas e lista de contatos e grupos da vítima, o vigarista envia mensagens para as pessoas que lhe parecerem mais promissoras (normalmente as dos grupos "família", "amigos" e assemelhados), pedindo um empréstimo para uma despesa urgente. Se o destinatário se dispõe a ajudar, o vigarista só precisa perguntar “qual o banco mais fácil” e depois enviar os dados da conta bancária de um laranja. Até a vítima recuperar o acesso ao WhatsApp, o golpista terá tido tempo suficiente para jogar a isca para dezenas de contatos.

Nos casos analisados, o teor das conversas iniciadas pelos criminosos muda de acordo com a pessoa que está sendo abordada, e as desculpas para empréstimos variam, com os pedidos sendo feitos para os mais diversos fins. Portanto, desconfie de pedidos de empréstimos feitos via WhatsApp e jamais os atenda sem antes entrar em contato com o solicitante, pessoalmente ou por telefone, mesmo que ele seja parente, amigo ou colega de trabalho. Adicionalmente, habilite a dupla autenticação do aplicativo mediante uma senha de seis dígitos. Assim, mesmo que obtenha o código de ativação da sua conta, o estelionatário só conseguirá transferi-la se fornecer também essa senha — vale lembrar que os dados do WhatsApp são vinculados ao SIM Card (chip da operadora), e não ao aparelho (hardware).

No Android, abra o menu do WhatsApp tocando no ícone dos três pontinhos, no canto superior direito da tela, e toque em Configurações > Conta. No menu que será exibido em seguida, selecione a opção Verificação em duas etapas. Ative-a, digite uma senha (PIN) de seis dígitos e confirme na próxima tela. Por fim, adicione um endereço de email de segurança.

Observação: É importante que você utilize um endereço de e-mail vinculado à conta do WhatsApp para ter uma garantia a mais quando for registrar o número em outro aparelho. Além disso, se você esquecer os números que escolheu para o PIN, poderá utilizar o e-mail escolhido para receber um código, que lhe garantirá acesso ao aplicativo.

No iOS, abra o WhatsApp em seu iPhone e, na barra inferior, toque em Ajustes, vá em Conta, selecione Verificação em duas etapas, toque em Ativar, digite o PIN, confirme e informe o email de segurança.

Se as informações desta postagem não forem suficientes, sugiro assistir a este vídeo.

segunda-feira, 30 de novembro de 2015

COMPRAS ONLINE – BOLETO BANCÁRIO

NÃO VIVE MAIS O QUE MAIS VIVE, MAS O QUE VIVE MELHOR. A FELICIDADE NÃO ESTÁ EM VIVER, MAS EM SABER VIVER.

Estamos "nas barbas" de dezembro e, pelo andar da carruagem, daqui para as tradicionais festas de final de ano é um pulo. Como o brasileiro cultiva o (péssimo) hábito de deixar tudo para a última hora, as compras online podem facilitar sobremaneira a vida de quem não quer enfrentar o trânsito congestionado das grandes metrópoles e se apinhar em shopping centers lotados. No entanto, se seu computador (desktop, note, tablet ou smartphone) não estiver devidamente atualizado e protegido por um arsenal de segurança responsável, ele se tornará um aliado da bandidagem digital. Demais disso, jamais realize transações bancárias ou compras online a partir de redes Wi-Fi de terceiros — de restaurantes, grandes magazines, salões de cabeleireiro, consultórios e por aí afora. E o mesmo vale para máquinas públicas, como as de bibliotecas, lanhouses, cybercafés, etc.

Antes de preencher formulários online, verifique se o URL que aparece na barra de endereços do seu navegador começa com HTTPS (em vez do tradicional HTTP) e se o ícone de um pequeno cadeado é exibido (isso indica que você está em um site seguro e que as informações serão criptografadas). Evite repetir os mesmos dados de login/pergunta de segurança em dois ou mais sites de comércio eletrônico, e jamais use a mesma senha que lhe dá acesso ao Net Banking. E se sua caixa de correio está cheia de e-mails com ofertas arrasadoras, fique esperto.

Antes de clicar num link de loja virtual, pouse o ponteiro do mouse sobre ele e verifique se o URL confere com o que aparece no rodapé da janela de navegação. Se os endereços não coincidirem, é quase certo que você será redirecionado para um site de phishing. Escolha lojas confiáveis — sites como Buscapé Bondfaro, por exemplo, contam com um processo de filiação sujeito a aprovação, selos de empresa reconhecida e opiniões e avaliações dos consumidores, o que os torna mais seguro — e redobre os cuidados com ofertas de produtos a preços abaixo da média de mercado.

Convém ainda conferir a reputação das lojas em sites como o Reclame Aqui e/ou consulte o CNPJ das lojas no Serasa (para mais informações, acessa a Cartilha do E-consumidor). Serviços como o PayPal ou o PagSeguro atuam como intermediários entre o vendedor e o comprador; em caso de fraude — como uma cobrança com valor indevido ou um produto que não foi entregue, por exemplo —, eles se comprometem a devolver seu dinheiro.

Usar cartões de crédito no âmbito virtual envolve riscos — aliás, da mesma forma que no “mundo real” —, mas eles serão menores se você reservar um cartão específico para compras online, e mantiver seu limite dentro do estritamente necessário. E se não se sentir seguro para informar os dados do cartão num determinado site, cancele a transação ou opte por outra forma de pagamento, como o boleto bancário ou o SEDEX a cobrar.

Observação: O boleto bancário já foi considerado a opção mais segura para pagamento de compras online, mas os fraudadores passaram a se aproveitar dessa “aura” de confiabilidade para lesar os incautos. Para não engrossar a fileira das vítimas, observe atentamente as informações que constam dos boletos (tanto nos que você imprime quanto nos que chegam pelo correio). Confira o número do Banco, o CNPJ da empresa, a data de vencimento, o valor devido, e compare o número do código de barras com o da parte superior da fatura.

Abraços a todos e até a próxima.

quarta-feira, 1 de abril de 2015

DE VOLTA À ENGENHARIA SOCIAL


CHEGAMOS A TAL PONTO DE IMBECILIDADE QUE CONSIDERAMOS O TRABALHO NÃO SÓ HONROSO, MAS TAMBÉM SAGRADO, QUANDO NA VERDADE ELE NÃO PASSA DE UMA TRISTE NECESSIDADE.  

Muito já se disse aqui no Blog sobre o tema em pauta, mas, dada a sua importância e considerando que hoje é 1º de abril, resolvi revisitá-lo, até porque a audiência deste humilde espaço é rotativa, e os recém-chegados nem sempre se dão conta de que podem acessar, mediante poucos cliques do mouse, qualquer uma das mais de 2200 postagens publicadas.

Passando ao que interessa, chamamos ENGENHARIA SOCIAL a um conjunto de técnicas que exploram a ingenuidade, a confiança, ou, em certos casos, a cobiça das pessoas, visando induzi-las a cometar atos que auxiliem os cybercriminosos em seus propósitos escusos.

As táticas que a bandidagem usa variam, mas as mais comuns consistem na remessa de emails com anexos suspeitos ou links duvidosos, pretensamente oriundos de pessoas de reputação ilibada, empresas idôneas, instituições financeiras ou órgãos públicos. Afinal, pouca gente deixa de seguir as instruções de um email supostamente recebido da Microsoft ou reluta em averiguar uma pretensa pendência com a Receita Federal ou a Justiça Eleitoral, por exemplo, embora seja público e notório que tais órgãos não utilizam o correio eletrônico para convocações que tais.

Observação: É possível separar o joio do trigo (embora nem sempre) salvando os anexos de email e fiscalizando-os com o VIRUSTOTAL, buscando discrepâncias entre os links e os endereços que eles apontam, checando-os com o ONLINE LINK SCAM, e por aí vai, mas o melhor é contatar por telefone a empresa/instituição remetente e conferir a autenticidade da mensagem.

Segundo a INTEL SECURITY (McAfee) os cyberataques baseados em engenharia social se dividem em “caçada” e “cultivo”, e se dividem em quatro etapas:

1.    A pesquisa (opcional) consiste na coleta de informações sobre o alvo que forneçam ao atacante elementos para a construção do anzol, tais como hobbies, endereços de casa e do local de trabalho, Banco em que a vítima mantém conta, e por aí vai.

2.   O anzol tem como objetivo encenar um “enredo” bem-sucedido envolvendo o alvo e proporcionando um pretexto para interação. O psicólogo Robert Cialdini cita seis alavancas de influência que permitem tirar proveito do subconsciente do alvo:

a)   Reciprocidade: as pessoas ganham alguma coisa, ficam agradecidas e sentem-se na obrigação de retribuir o favor.
b)  Escassez: as pessoas tendem a obedecer quando acreditam que algo está em falta.
c)   Consistência: uma vez que os alvos tenham prometido fazer algo, eles cumprem suas promessas por receio de parecerem pouco confiáveis.
d)  Propensão: é mais provável que os alvos obedeçam quando o engenheiro social é alguém de quem eles gostam.
e)   Autoridade: explora a tendência humana de obedecer quando a solicitação vem de alguma autoridade.
f)   Validação social: a tendência de obedecer quando outras pessoas estão fazendo o mesmo.

3.   Enredo: execução da parte principal do ataque, que pode envolver a divulgação de informações, um clique em um link, a transferência de fundos, etc.

4.   Saída: a interação é encerrada. Note que, dependendo do fruto do golpe, pode ser uma vantagem sair antes de despertar suspeitas ou prolongar o ataque para obter vantagens adicionais.


A melhor arma contra a engenharia social é a informação. Mesmo tendo um arsenal de segurança responsável e mantendo o sistema e os programas atualizados, as brechas humanas continuam a existir e como muitos internautas não têm noção do perigo que correm, maravilham-se com a Web e passam a acreditar em tudo aquilo que leem nesse meio.

Barbas de molho, minha gente.