SENHAS E MAIS SENHAS

O QUE ARDE CURA E O QUE APERTA SEGURA.

O interesse do brasileiro pela segurança da própria senha nunca foi tão expressivo como em 2021. Segundo o Google, as pesquisas por "gerenciador de senha" saltaram 523%; por "autenticação em dois fatores", 475%; por "vazamento de senha", 299%; e por "senha forte", 239%. 

O Google integrou um Gerenciador de Senhas no Chrome, no Android e na Conta do Google. O software usa a mais recente tecnologia baseada em IA para armazenar e proteger senhas, facilitando, inclusive, a criação de palavras-chave complexas. 

A ferramenta oferece ainda a opção de completar automaticamente campos de acesso a contas em diferentes sites, bem como de realizar um exame minucioso para identificar se uma senha utilizada foi comprometida e verificar se a mesma combinação já foi usada para outra conta. 

Uma novidade é o Password Import (acessível em Configurações), que permite importar facilmente até 1.000 senhas por vez. Para fortalecer ainda mais a segurança, o Google disponibiliza a verificação em duas etapas (uma segunda autenticação, que pode ser feita por meio de outros dispositivos ou aplicações). 

 

Observação: Há anos que a gigante de Mountain View lidera a inovação na área de verificação em duas etapas (uma das formas mais confiáveis de evitar acesso não-autorizado a contas e redes). A proteção é mais forte quando combina um elemento que a pessoa "conhece" (como uma senha, por exemplo) a um elemento que a pessoa "tem" (um celular ou um chaveiro com token). 

No ano passado, o Google ativou automaticamente a verificação em duas etapas em contas de pelo menos 150 milhões de usuários, e passou a exigir de cerca de 2 milhões de criadores do YouTube a ativação desse recurso.

Considerando que o que abunda não excede, não custa relembrar:

 

1 - Procure utilizar todas as possibilidades de caracteres na criação das senhas, como símbolos, letras maiúsculas e minúsculas e números.

 

2 - Evite quaisquer sequências lógicas ou que remetam a informações da sua vida. Não coloque nomes de animais, marcas de veículos ou hobbies pessoais (saiba mais neste vídeo). Opte sempre por novidades sem padrão. Se possível, grave as criações no Gerenciador de Senhas do seu Google Chrome ou Android!
 

3 - Crie senhas diferentes para acessos diferentes. Não repita seus códigos em sites, contas bancárias, senhas de cartão ou e-mail. Surpreenda!

 

4 - Use ferramentas de verificação em duas etapas. Em qualquer conta, procure por outros métodos de autenticação que acompanhem a sua senha.
 

5 - Não envie suas senhas por e-mail ou aplicativos de mensagem. Se possível, evite inclusive dizê-las ao telefone. Suas palavras-chave são importantes e não devem ser transferidas em nenhuma hipótese.

 

6 - Evite acessar seus dados ou contas em computadores, celulares e outros gadgets que não são seus, mesmo se houver verificação em duas etapas. Se o fizer, não salve seus acessos!

 

Para mais dicas e informações relevantes, visite a Central de Segurança do Google e o Blog do Google Brasil.

CRIMINOSOS USAM NOME DE FAMOSOS PARA APLICAR GOLPE PELO WHATSAPP

CONTRA FORÇA NÃO HÁ RESISTÊNCIA.

Um novo golpe na internet está usando o nome de pessoas famosas para roubar dados de usuários e praticar extorsões. O cibercriminoso envia mensagens simulando ser uma pessoa que trabalha diretamente com artistas e personalidades da TV e convida o destinatário para uma suposta festa. Uma das vítimas recentes foi Celso Portiolli, que usou sua conta oficial no Instagram para esclarecer a seus seguidores o que estava acontecendo.

"Atenção, pessoal, novo golpe! Tão olhando aí nas pessoas que eu sigo, pegando os contatos comerciais no perfil dessas pessoas que eu sigo - tem muitas que são profissionais e tem telefones de contato ali - e estão ligando, dizendo que eu estou fazendo evento e uma festa. É mentira!", publicou o apresentador.

No fim de novembro, a cantora Preta Gil também alertou seus seguidores sobre um golpe que usava seu nome. A estratégia dos criminosos é simular o envio de um código para confirmar a participação num evento. Como a sequência numérica é o código de verificação da conta do WhatsApp da vítima, o aplicativo pode ser habilitado em outro aparelho.

Após abrir a conta do app em outro celular, os criminosos enviam mensagens para os números salvos nos contatos, pedindo às vítimas que lhes transfiram um determinado valor para fazer frente a uma suposta emergência. A atriz Giovanna Ewbank, a cantora Lexa, o humorista Paulo Gustavo e os sertanejos Henrique e Juliano também tiveram seus nomes envolvidos em golpes aplicados pelas redes sociais e apps de mensagens.

Uma forma de se proteger é usar a verificação em duas etapas, que exige uma senha pessoal, criada pelo próprio usuário. Assim, mesmo que alguém obtenha o código de verificação, não conseguirá acessar a conta. Para proteger seu WhatsApp, faça o seguinte:

Em um smartphone com sistema operacional Android, abra o aplicativo do WhatsApp e toque nos três pontos no canto superior direito. Em seguida, abra as configurações do aplicativo. Na tela seguinte, toque no item conta, que é o primeiro da lista exibida; na janela conta, toque em verificação em duas etapas. Na próxima etapa, será preciso escolher um código de seis dígitos (que será solicitado a quem fazer novo login em outro aparelho). O WhatsApp pedirá a confirmação dos números escolhidos. Também será preciso inserir e confirmar um email para ser usado caso o código de verificação seja esquecido.

No iPhone, o passo a passo é bem parecido: Abra o aplicativo, toque em ajustes e depois em conta; na tela seguinte, toque em verificação em duas etapas para iniciar o tutorial. A próxima etapa é escolher um código com seis dígitos que deverá ser usado para fazer o login em outro celular. Por último, insira um email que deverá ser usado para recuperar a senha.

Fonte: Gazeta do Povo

LADRÕES DE CONTA NO WHATSAPP BURLAM A DUPLA AUTENTICAÇÃO — VEJA COMO SE PROTEGER

QUEM FAZ PODE COMETER FALHAS, MAS A MAIOR DE TODAS AS FALHAS É NÃO FAZER NADA.

O golpe que rouba o WhatsApp (account takeover) está completando dois anos. Como a criatividade é o ponto forte dos cibercriminosos, o modus operandi varia — da confirmação de anúncios a convite para festa VIP, passando pela clonagem da conta mediante o roubo da foto da vítima (o golpe começa com o envio da mensagem “troquei meu celular”, seguida de algumas informações para convencer o contato de que aquela situação é real) —, mas o objetivo é sempre o mesmo.

A melhor maneira de se prevenir contra essa maracutaia é usar a dupla autenticação, na qual você cria uma senha pessoal que é solicitada no momento da instalação do aplicativo em outro aparelho. Mas a bandidagem já encontrou uma modo de burlar essa proteção. Acompanhe.

Primeiro, o vigarista liga para a vítima e, dizendo ser do Ministério da Saúde, pede a ela que responda a uma pesquisa sobre a Covid. O objetivo, naturalmente, é fazer com que a pessoa informe o código de seis dígitos que lhe enviado via SMS (a pretexto de “confirmar a realização da pesquisa” ou mediante outra desculpa qualquer).

Com a dupla autenticação habilitada, mesmo que a vítima informe o código em questão o fraudador precisa da senha adicional (que é criada no momento da ativação da proteção adicional). Então, caso se depare com a tela em questão (vide imagem), o criminoso encerra a chamada da suposta pesquisa e liga em seguida, mas desta feita dizendo ser do suporte do aplicativo. Nesse segundo contato, ele alega que uma atividade maliciosa foi identificada e orienta a vítima a acessar seu email para refazer o recadastro da dupla autenticação. E é aí que a informação cai nas mãos do golpista. 

A vítima recebe uma mensagem de email legítima do WhatsApp, com o título “Two-Step Verification Reset” (Resgate da Verificação em Duas Etapas), com um link para desabilitar a proteção adicional. Em outras palavras, tanto a mensagem quanto o link para recuperar a dupla autenticação são verdadeiros, ou seja, foram enviados  mesmo pelo WhatsApp. O pulo do gato é que o vigarista se vale de engenharia social para induzir a vítima a clicar no link recebido por email.

O criminoso permanece na linha enquanto a vítima acessa o email e o link, cuja página de destino desativa a dupla autenticação — para que a pessoa crie uma nova senha ao ativar a função novamente. Aproveitando que a conta está desprotegida, o fiduma usa o código temporário que lhe foi informado pela vítima na primeira ligação e “transfere” a conta para seu próprio aparelho, a partir do qual entra em contato com amigos e familiares da vítima para pedir dinheiro.

A única maneira de evitar esse novo golpe é desconfiar ou saber antecipadamente que ele existe, pelo menos até que o Facebook, que é dono do WhatsApp, aprimore o processo de recuperação da dupla autenticação, permitindo que o recadastramento seja feito na própria página da empresa, em vez de simplesmente realizar a desativação.

Para habilitar a dupla autenticação em smartphones com sistema Android, abra o menu do WhatsApp tocando no ícone dos três pontinhos (no canto superior direito da tela), toque em Configurações > Conta. No menu que se abre em seguida, selecione a opção Verificação em duas etapas, ative-a, digite uma senha (PIN) de seis dígitos e confirme na próxima tela. Por fim, adicione um endereço de email de segurança.

Observação: É importante que você utilize um endereço de email vinculado à conta do WhatsApp para ter uma garantia a mais quando for registrar o número em outro aparelho. Além disso, se você esquecer os números que escolheu para o PIN, poderá utilizar o email escolhido para receber o código que lhe garantirá acesso ao aplicativo.

No iPhone abra o WhatsApp e, na barra inferior, toque em Ajustes, vá em Conta, selecione Verificação em duas etapas, toque em Ativar, digite o PIN, confirme e informe o email de segurança.

Se tiver alguma dificuldade em seguir este roteiro, sugiro assistir a este vídeo.

GOLPE VIA WHATSAPP E VERIFICAÇÃO EM DUAS ETAPAS

A VIDA É UMA SOMBRA ERRANTE; UM POBRE COMEDIANTE QUE SE PAVONEIA NO BREVE INSTANTE QUE LHE RESERVA A CENA, PARA DEPOIS NÃO SER MAIS OUVIDO. É UM CONTO DE FADAS QUE NADA SIGNIFICA, NARRADO POR UM IDIOTA CHEIO DE VOZ E FÚRIA.

Quando lançou o iPhone, Steve Jobs inovou a maneira como os celulares vinham sendo usados. Hoje, os diligentes telefoninhos não só são verdadeiros computadores de bolso como substituem o desktop e do notebook na execução de um sem-número de tarefas. 

Há atualmente no Brasil mais celulares do que habitantes, e o Google Android  se faz presente em 75% dos smartphones e tablets. Como popularidade e segurança não andam de mãos dadas, os ataques a esses dispositivos vêm se intensificando a cada dia.

Observação: Embora o iOS — sistema proprietário desenvolvido pela Apple para operar iPhones e iPads — abocanhe uma fatia de “apenas” 23% do mercado, a turma da Maçã não está livre desse tipo de ameaça, embora o risco seja bem menor.

O WhatsApp, por ter presença garantida na esmagadora maioria dos smartphones — tanto com Android quanto com iOS —, é largamente utilizado por cibercriminosos e cibervigaristas como trampolim para seus golpes. E de algumas semanas para cá o número de registros de uma nova modalidade de phishing vem crescendo assustadoramente.

A maracutaia se vale de anúncios em plataformas como OLX, WebMotors, ZapImóveis e Mercado Livre, embora as vítimas possam ser fisgadas de outras maneiras, já que o número do celular vem sendo solicitado para quase tudo, tanto no mundo virtual quanto no físico. Segundo a empresa de segurança digital Kaspersky, o esquema é bem simples: os cibercriminosos monitoram as plataformas de venda pela internet para mirar usuários que criaram um anúncio de venda. Com as informações do anúncio, eles se passam pela plataforma de vendas e enviam uma mensagem no WhatsApp para o alvo — algo como: “verificamos um anúncio recém postado, e gostaríamos de atualizar para que continue disponível para visualização” ou “devido ao grande número de reclamações referente ao seu número de contato, estamos verificando”. Ao final, eles informam à vítima que ela receberá um código via SMS, e que deverá informá-lo, também por SMS, para solucionar a questão. Assim que recebe o código — que na verdade é código de ativação da conta —, o fraudador dá início ao processo de ativação do WhatsApp da vítima em um novo celular.

Com pleno acesso ao histórico das conversas e lista de contatos e grupos da vítima, o vigarista envia mensagens para as pessoas que lhe parecerem mais promissoras (normalmente as dos grupos "família", "amigos" e assemelhados), pedindo um empréstimo para uma despesa urgente. Se o destinatário se dispõe a ajudar, o vigarista só precisa perguntar “qual o banco mais fácil” e depois enviar os dados da conta bancária de um laranja. Até a vítima recuperar o acesso ao WhatsApp, o golpista terá tido tempo suficiente para jogar a isca para dezenas de contatos.

Nos casos analisados, o teor das conversas iniciadas pelos criminosos muda de acordo com a pessoa que está sendo abordada, e as desculpas para empréstimos variam, com os pedidos sendo feitos para os mais diversos fins. Portanto, desconfie de pedidos de empréstimos feitos via WhatsApp e jamais os atenda sem antes entrar em contato com o solicitante, pessoalmente ou por telefone, mesmo que ele seja parente, amigo ou colega de trabalho. Adicionalmente, habilite a dupla autenticação do aplicativo mediante uma senha de seis dígitos. Assim, mesmo que obtenha o código de ativação da sua conta, o estelionatário só conseguirá transferi-la se fornecer também essa senha — vale lembrar que os dados do WhatsApp são vinculados ao SIM Card (chip da operadora), e não ao aparelho (hardware).

No Android, abra o menu do WhatsApp tocando no ícone dos três pontinhos, no canto superior direito da tela, e toque em Configurações > Conta. No menu que será exibido em seguida, selecione a opção Verificação em duas etapas. Ative-a, digite uma senha (PIN) de seis dígitos e confirme na próxima tela. Por fim, adicione um endereço de email de segurança.

Observação: É importante que você utilize um endereço de e-mail vinculado à conta do WhatsApp para ter uma garantia a mais quando for registrar o número em outro aparelho. Além disso, se você esquecer os números que escolheu para o PIN, poderá utilizar o e-mail escolhido para receber um código, que lhe garantirá acesso ao aplicativo.

No iOS, abra o WhatsApp em seu iPhone e, na barra inferior, toque em Ajustes, vá em Conta, selecione Verificação em duas etapas, toque em Ativar, digite o PIN, confirme e informe o email de segurança.

Se as informações desta postagem não forem suficientes, sugiro assistir a este vídeo.

AINDA SOBRE A AUTENTICAÇÃO EM DUAS ETAPAS

AO MEDO DOS PODERES INVISÍVEIS, INVENTADOS OU IMAGINADOS A PARTIR DE RELATOS, CHAMAMOS RELIGIÃO. 

Windows, Gmail, Facebook, WhatsApp, Telegram e mais uma vasta gama de apps e webservices se tornam mais seguros com a autenticação em dois fatores, que exige comprovação de identidade por mais de um método. Com ela, além de descobrir sua senha principal, um invasor precisará do token (código numérico gerado automaticamente e vale para um único acesso) que é enviado para o seu celular, endereço de email ou outro método secundário de autenticação que você definiu durante a ativação da 2FA.

Observação: Clique aqui para saber como ativar a dupla autenticação no WhatsApp; no Telegram, em Configurações, selecione Privacidade e Segurança > Verificação em duas etapas > Configurar senha adicional, defina uma senha de acesso, toque no botão exibido na parte de cima da tela para avançar, confirme a senha, crie uma dica de senha, informe um endereço de email (para facilitar a recuperação da senha) e, na tela seguinte, digite o código que lhe foi enviado por email (para confirmar que você tem acesso a ele) e toque novamente no botão com ícone de visto na parte de cima.

Receber o token via SMS é prático, mas “torpedos” são facilmente interceptáveis. Aliás, causa espécie a insistência das empresas em mandar dados importantes por SMS, considerando a quantidade de falhas conhecidas da rede SS7 (Sistema de Sinalização 7), utilizada para gerenciar ligações telefônicas e mensagens de texto, e o fato de que a maioria delas não foi corrigida pelas operadoras. E como tanto o iPhone como os smartphones Android podem exibir notificações de mensagens na tela de bloqueio, recomendo enfaticamente desativar essas notificações. Veja como:

- No iPhone, para impedir a visualização de notificações na tela sem que seja preciso desbloquear o aparelho, toque em Ajustes > Notificações > Mostrar Pré-visualizações e mude a configuração de “Sempre” para “Quando desbloqueado” ou “Nunca”. 

- No Android, o caminho pode variar um pouco conforme a versão, mas, em linhas gerais, basta tocar em Configurações > Notificações > Mensagens e explorar as opções disponíveis.

Para ativar, alterar ou desativar o PIN do SIM no iPhone, toque em Ajustes > Telefone > PIN do SIM; se o sistema do seu aparelho for o Android, toque em Configurações > Segurança > Bloqueio do cartão SIM e siga as instruções (pode haver variações conforme a versão do Android). Se você não souber o PIN, não tente adivinhá-lo. Depois de 3 tentativas incorretas (o número de vezes pode ser maior, dependendo da operadora), o chip é bloqueado e só será liberado mediante o PUK, que funciona como uma “chave-mestra”. 

O SIM Card vem num cartão de papelão onde constam algumas informações, dentre as quais PIN e o PUK. Como a gente nem sempre guarda esse cartão em local certo e sabido, nem sempre o encontra se e quando precisa usar o PUK para destrancar o PIN (convém anotar o número em outro local). 

O PIN — de Personal Identification Number — é uma senha de 4 dígitos que bloqueia ou desbloqueia o SIM Card. Por padrão, a Claro usa 3636; a Oi, 8888; a TIM, 1010, e a Vivo, 8486. Para prevenir acessos não autorizados, convém substituí-lo por uma senha pessoal, também de 4 dígitos. 

O PUK (de Pin Unlock Key) é a "chave" que "destrava" o SIM Card se o PIN for digitado incorretamente três vezes seguidas. Em alguns casos, os quatro primeiros dígitos servem de senha para outros recursos (como acesso à caixa postal, por exemplo), e se houver PUK 1 e PUK 2, o primeiro desbloqueia o PIN 1 e o segundo, o PIN 2. 

O PIN 1 é a senha principal de acesso ao telefone e que bloqueia ligações, SMS e chamadas de emergência; o PIN 2 costuma servir de alternativa e também para bloquear determinados serviços oferecidos pela operadora.

Por padrão, o PIN do SIM vem desativado, e há quem o deixe assim para não ter o trabalho de digitar o código sempre que ligar ou reiniciar o telefone — ou quando transferir o chip para outro dispositivo. No entanto, além de impedir o uso do aparelho por terceiros, essa camada adicional de proteção evita que pessoas não autorizadas visualizem tokens de verificação em duas etapas enviados via torpedo (SMS). Para não ingressar no lado negro das estatísticas, sugiro habilitar esse recurso. 

Observação: Após 10 tentativas incorretas de digitar o PUK (ou menos, conforme a operadora), o SIM Card é bloqueado definitivamente, e o jeito será adquirir um novo chip numa loja credenciada pela operadora — isso se você quiser manter o mesmo número de telefone; do contrário, caso sua linha seja pré-paga, basta comprar um chip (com outro número) em qualquer loja que comercialize celulares e acessórios.

Lembre-se: A segurança é um hábito, e como tal deve ser cultivada.