WHATSAPP — SEGURO MORREU DE VELHO

AQUILO A QUE CHAMAMOS SORTE É O CUIDADO COM OS PORMENORES.

 

O Brasil só perde para a Índia em número de usuários do WhatsApp. Como a popularidade do programinha atrai a bandidagem, é preciso tomar alguns cuidados ao usá-lo, começando pelos links, que são sempre suspeitos. Mesmo que a mensagem provenha de um parente ou amigo, a pessoa pode não saber que o link é malicioso. Então, cheque se o site é conhecido, se há algo de estranho nos caracteres e se o contexto da conversa justifica o envio do link. Na dúvida, confirme com o remetente se foi mesmo ele que o enviou.

 

A autenticação em duas etapas não é uma muralha intransponível, mas reduz as chances de ter a conta roubada. Com ela ativada, qualquer tentativa de verificar o número de telefone no aplicativo deverá ser acompanhada de uma senha de seis dígitos criada pelo próprio usuário. Como o recurso não vem ativado por padrão, é preciso acessar o app e tocar em Configurações > Conta > Verificação em duas etapas > Ativar (também é possível cadastrar um email para desabilitar a função, para o caso de você esqueça a senha).

 

O WhatsApp Web pode ser acessado a partir do computador, o que facilita a vida de quem passa muito tempo usando o PC e/ou prefere digitar as mensagens num teclado físico. Mas não convém usar esse recurso em máquinas de terceiros — caso não haja alternativa, assegure-se ao menos de sair de sua conta quando terminar e, se possível, limpar o histórico do navegador.

 

Conforme a quantidade de fotos e vídeos que você recebe dos contatos ou que são compartilhados em grupos de bate-papo, o WhatsApp pode consumir um volume considerável de dados do seu plano de internet móvel. Por padrão, ele baixa automaticamente esse conteúdo em segundo plano — ou seja, o mensageiro nem precisa estar aberto para devorar sua franquia. 

Toque em Configurações > Dados e armazenamento > Download automático e, em "Quando utilizar rede de dados", desmarque todas as opções e confirme em OK. Para não ficar sem espaço no armazenamento interno do aparelho, instale um SD Card de 128GB ou maior. Caso seu celular não suporte cartões de memória, transfira os arquivos mais volumosos para o Google Drive (ou iCloud, conforme o caso). 

 

Observação: Com o backup de conversas do WhatsApp, você não corre o risco de perder suas mensagens e arquivos se seu aparelho for roubado ou deixar de funcionar. Toque em Configurações > Conversas > Backup de conversas para ativar ou configurar a função e, uma vez concluído o upload, apague as mensagens do aparelho.

 

O WhatsApp protege a privacidade dos usuários com criptografia de ponta-a-ponta, mas é bom ter em mente que as conversas e os arquivos pessoais sensíveis que você compartilha podem cair em mãos erradas. 

Em rio que tem piranha, jacaré nada de costas.

SEGREDO ENTRE TRÊS, SÓ MATANDO DOIS

QUEM CONFIA SEUS SEGREDOS A OUTRA PESSOA SE TORNA ESCRAVO DELA. 

Por razões cujo detalhamento seria pura exaltação do óbvio, a preocupação das pessoas (sensatas) com privacidade aumenta a cada dia. No universo online, então, nem se fala. Daí ser importante adotar medidas preventivas, já que de nada adianta, depois, chorar sobre o leite derramado.
 
O WhatsApp é largamente utilizado, mas muitos usuários não exploram devidamente os recursos que o programinha oferece para proteger a privacidade, até porque muitas dessas funções precisam ser ativadas/configuradas pelo usuário. 
 
Todas as mensagens trocadas através do software mensageiro, independente do conteúdo (texto, fotos, vídeos, documentos, arquivos, etc.) contam com a criptografia de ponta a ponta. Isso significa que apenas o remetente e o destinatário podem ler as mensagens — ou seja, nem a operadora de telefonia móvel nem o próprio WhatsApp têm acesso a esse conteúdo.
 
A verificação em duas etapas torna o acesso à conta mais seguro. Com ela ativada, o WhatsApp exige uma senha de seis dígitos para fazer login — e torna a exigi-la de tempos em tempos, mesmo que o smartphone seja roubado e/ou o SIM-Card seja clonado.
 
O app oferece também a possibilidade de desbloqueio por impressão digital (no Android) e por reconhecimento facial (no iPhone). Uma vez ativado o recurso, o desbloqueio será necessário mesmo quando o aparelho em si já estiver desbloqueado. 
Para ativar a proteção no sistema do Android, abra o WhatsApp, toque nos três pontinhos (que ficam geralmente no canto direito da barra de opções), vá em Configurações > Contas > Privacidade, deslize a tela até o final, toque em Bloqueio por impressão digital e ative Desbloquear com impressão digital. Feito isso, toque no sensor de impressão digital para confirmar sua impressão digital e defina um intervalo de tempo para que a autenticação seja solicitada.
 
Observação: O bloqueio por impressão digital está disponível somente para aparelhos que dispõem do sensor respectivo, rodam o Android 6.0 ou posterior e são compatíveis com a API de biometria do Google. Note também que você ainda poderá atender a chamadas se o app estiver bloqueado.
 
O WhatsApp permite que o usuário determine o intervalo de tempo durante o qual a mensagem fica disponível para ser lida pela pessoa com quem ele está conversando. Quando esse prazo expira, as conversas são excluídas automaticamente. O recurso está disponível para mensagens privadas e em grupo, e permite definir se elas serão excluídas em 24 horas, 7 dias ou 90 dias. Para fazer a configuração, basta abrir o WhatsApp, tocar nos três pontinhos > Configurações > Conta > Privacidade e, em Duração padrão, selecionar o intervalo desejado.
 
Observação: Com essa função ativada, a mensagem "Você usa uma duração padrão para mensagens temporárias em novas conversas. Todas as novas mensagens desaparecerão desta conversa 24 horas / 7 dias / 90 dias após o envio. Toque para mudar sua duração padrão será exibida nas conversas privadas ou em grupo.
 
A opção “ver uma vez só” é semelhante, mas se restringe a vídeos e fotos. Você pode ativá-la para que o destinatário visualize o conteúdo uma única vez (ou seja, a mensagem se torna indisponível depois de ter sido acessada).

Observação: A criptografia de ponta a ponta garante que os chats sejam privados, mas, se sua conta for clonada, o fraudador pode se passar por você, e aí está feita a caca. Considerando que agora é possível transferir conversas e dados para outro aparelho, os cuidados devem ser redobrados. Portanto, abra o aplicativo, toque nos três pontinhos para abrir a tela de configurações, selecione "aparelhos conectados",  confira os dispositivos que têm acesso a sua conta e desative os que não deveriam estar na lista.

SENHAS E MAIS SENHAS

O QUE ARDE CURA E O QUE APERTA SEGURA.

O interesse do brasileiro pela segurança da própria senha nunca foi tão expressivo como em 2021. Segundo o Google, as pesquisas por "gerenciador de senha" saltaram 523%; por "autenticação em dois fatores", 475%; por "vazamento de senha", 299%; e por "senha forte", 239%. 

O Google integrou um Gerenciador de Senhas no Chrome, no Android e na Conta do Google. O software usa a mais recente tecnologia baseada em IA para armazenar e proteger senhas, facilitando, inclusive, a criação de palavras-chave complexas. 

A ferramenta oferece ainda a opção de completar automaticamente campos de acesso a contas em diferentes sites, bem como de realizar um exame minucioso para identificar se uma senha utilizada foi comprometida e verificar se a mesma combinação já foi usada para outra conta. 

Uma novidade é o Password Import (acessível em Configurações), que permite importar facilmente até 1.000 senhas por vez. Para fortalecer ainda mais a segurança, o Google disponibiliza a verificação em duas etapas (uma segunda autenticação, que pode ser feita por meio de outros dispositivos ou aplicações). 

 

Observação: Há anos que a gigante de Mountain View lidera a inovação na área de verificação em duas etapas (uma das formas mais confiáveis de evitar acesso não-autorizado a contas e redes). A proteção é mais forte quando combina um elemento que a pessoa "conhece" (como uma senha, por exemplo) a um elemento que a pessoa "tem" (um celular ou um chaveiro com token). 

No ano passado, o Google ativou automaticamente a verificação em duas etapas em contas de pelo menos 150 milhões de usuários, e passou a exigir de cerca de 2 milhões de criadores do YouTube a ativação desse recurso.

Considerando que o que abunda não excede, não custa relembrar:

 

1 - Procure utilizar todas as possibilidades de caracteres na criação das senhas, como símbolos, letras maiúsculas e minúsculas e números.

 

2 - Evite quaisquer sequências lógicas ou que remetam a informações da sua vida. Não coloque nomes de animais, marcas de veículos ou hobbies pessoais (saiba mais neste vídeo). Opte sempre por novidades sem padrão. Se possível, grave as criações no Gerenciador de Senhas do seu Google Chrome ou Android!
 

3 - Crie senhas diferentes para acessos diferentes. Não repita seus códigos em sites, contas bancárias, senhas de cartão ou e-mail. Surpreenda!

 

4 - Use ferramentas de verificação em duas etapas. Em qualquer conta, procure por outros métodos de autenticação que acompanhem a sua senha.
 

5 - Não envie suas senhas por e-mail ou aplicativos de mensagem. Se possível, evite inclusive dizê-las ao telefone. Suas palavras-chave são importantes e não devem ser transferidas em nenhuma hipótese.

 

6 - Evite acessar seus dados ou contas em computadores, celulares e outros gadgets que não são seus, mesmo se houver verificação em duas etapas. Se o fizer, não salve seus acessos!

 

Para mais dicas e informações relevantes, visite a Central de Segurança do Google e o Blog do Google Brasil.

MAIS SOBRE INSEGURANÇA DIGITAL (PARTE VI) — A HORA E A VEZ DO PIX

O COMEÇO DE TODAS AS CIÊNCIAS É O ESPANTO DE AS COISAS SEREM O QUE SÃO.

Menos de um ano após começar a funcionar, o PIX já é o segundo meio de pagamento mais usado pelos brasileiros nas compras à vista, atrás apenas do dinheiro — as modalidades de pagamento mais utilizadas pelos brasileiros são dinheiro (71%), PIX (70%), cartão de débito (66%) e cartão de crédito (57%).

Esses bons resultados têm atraído, além de novos adeptos para o sistema, a atenção de golpistas, que não param de criar formas de enganar os usuários da ferramenta. Isso porque a agilidade do PIX é "sopa no mel" para os criminosos, pois permite movimentações rápidas e gratuitas a qualquer dia e horário. Com isso, a vítima tem menos tempo para perceber a artimanha e pode não conseguir cancelar a operação. Diante disso, é essencial ficar atento para evitar ser vítima de fraude, que podem ocorrer de diversas maneiras.

O tipo de ataque mais comum é a clonagem do WhatsApp — que, aliás, existe desde muito antes de o PIX ser lançado. Com a nova tecnologia, a clonagem foi aprimorada. A primeira etapa do golpe é o contato com a vítima: o criminoso finge ser representante de uma empresa e solicita um código de segurança ao proprietário da conta como se ele fosse necessário para atualização, manutenção ou confirmação de cadastro.

O problema é que esse código permite o sequestro do perfil: se o usuário não tiver habilitado a autenticação em duas etapas, basta essa informação para que a conta de WhatsApp seja instalada em um dispositivo diferente. Com acesso ao perfil, o golpista aborda os contatos da vítima e pede ajuda financeira, de preferência com transferência por PIX. Depois que o dinheiro é transferido, recuperá-lo é pouco provável, já que a transferência é feita por vontade própria (mesmo que seja motivada por um golpe).

Uma variação desse ataque é a da falsa pesquisa sobre Covid. O golpista se passa por representante do Ministério da Saúde, faz perguntas sobre sintomas relacionados à doença e, ao final, solicita que o usuário informe um código recebido por SMS, como se fosse um dado necessário para confirmar a realização da pesquisa, mas a ideia é usá-lo para clonar o WhatsApp da vítima.

Outra modalidade de fraude é relacionada à clonagem da conta — é como se fosse um upgrade do método. Depois de sequestrar a conta da vítima, o golpista passa a usar fotos suas, obtidas em redes sociais. Em seguida, ele passa a procurar os contatos da vítima. Como o número de celular é desconhecido, ele alega que teve de trocá-lo. Em seguida, diz que está em uma emergência e pede uma transferência via PIX.

Por isso, é muito importante ter cuidado com a exposição de dados em redes sociais. E mais: vale ficar atento quando receber mensagens de contatos com números novos, especialmente se eles pedirem dinheiro com urgência. Antes de atender o pedido feito pelo contato, confirme com a pessoa por chamada telefônica ou email (pelo WhatsApp não vale, porque a conta pode estar em posse de criminosos).

Pelo fato de a versão simples do ataque ser inviabilizada pelo uso da autenticação em duas etapas, muitos fraudadores incluíram vêm incluindo uma segunda fase à ação: depois de obter o código enviado por SMS, o golpista entra em contato com a vítima e se apresenta como integrante da equipe de suporte do WhatsApp. Ele informa ao usuário que identificou uma suposta atividade maliciosa na conta e que enviou um e-mail para que ele recadastre a dupla autenticação. A vítima, de fato, recebe uma mensagem legítima do WhatsApp. Ela contém um link para a redefinição da verificação em duas etapas. Ao clicar nele, o usuário desabilita a proteção, e o golpista se aproveita do fato de que a conta está desprotegida para seguir com o golpe.

Em outra técnica, o criminoso se vale do desconhecimento sobre as formas de cadastro das chaves PIX. Ele se passa por funcionário do banco em que a vítima tem conta e oferece ajuda para efetuar o cadastro ou informa que é preciso fazer um teste com o sistema de pagamentos para regularizar o registro. A vítima, então, é induzida a fazer uma transferência via PIX e dá adeus ao dinheiro repassado ao golpista.

Segundo a FEBRABAN, as instituições financeiras não solicitam dados pessoais de seus clientes ativamente e seus funcionários não ligam para fazer testes com o PIX. Jamais passe informações por telefone; em caso de dúvida, procure os canais oficiais da instituição bancária para confirmar a necessidade de atualização de dados.

Outra fraude começa em mensagens e vídeos divulgados em redes sociais. Trata-se de fake news que afirmam que um bug no PIX permite que o usuário receba de volta um prêmio em dinheiro quando transfere valores para determinadas chaves. A vítima acredita e envia dinheiro diretamente para o golpista (o dono da chave supostamente contemplada). Dinheiro fácil, anunciado em mensagens em redes sociais, deve ser um sinal de alerta para todos os usuários. E lembre-se: o sistema criado pelo Bacen é robusto, seguro e sem bugs.

Pagamentos pelo PIX podem ser feitos a partir de códigos QR. Em meio à pandemia, tornaram-se comuns lives em benefício de organizações não governamentais e recebam doações, muitas delas via QR Code. Alguns criminosos fazem o download dessas apresentações e criam uma transmissão nova em que colocam seu próprio código QR. Assim, recebem as doações de quem não tem muita experiência com a tecnologia.

Portanto:

• Sempre verifique a identidade de quem está solicitando o PIX;
• Na hora de efetivar a transação, fique atento: os aplicativos estão cada vez mais fáceis de utilizar e o usuário, muitas vezes, seleciona ‘Confirmar’ sem nem perceber que está transferindo recursos para um nome que não conhece;
• Alguns sites já estão adotando pagamento por PIX. Nesse caso, se o usuário estiver em um ambiente falso, o dinheiro vai para a conta do golpista;
• É fundamental confirmar o limite disponível para transferência por PIX com a instituição financeira. Às vezes, o próprio usuário comete um erro de digitação e atribui a perda a um golpe;
• Usuários que não têm familiaridade com o PIX podem treinar o uso do recurso. Uma boa ideia é fazer uma transferência de R$ 1 para um conhecido, de modo a testar a funcionalidade. E pedir o dinheiro de volta, se quiser, já que o processo é gratuito.

O BACEN também tem uma lista de sugestões importantes. Acompanhe:

• Confira os remetentes de emails e não acesse páginas suspeitas, com endereços curtos ou com erros de digitação;
• Não clique em links recebidos por email, WhatsApp, redes sociais ou mensagens de SMS que direcionam a cadastros de chaves do PIX;
• Cadastre chaves do PIX apenas em canais oficiais de bancos ou fintechs;
• Em caso de suspeita, entre em contato com o banco pelos canais oficiais;
• Após o cadastro, o BACEN envia o código por SMS (se a chave cadastrada for um celular) ou email (se ela for um email). Essa confirmação não vem por ligação telefônica nem por link;
• Não compartilhe esse código;
• Não faça transferências para conhecidos sem confirmar por chamada telefônica ou pessoalmente. O WhatsApp não é uma boa opção, já que pode estar clonado.

Na última sexta-feira BACEN anunciou uma série de mudanças para o uso do PIX. A proposta é melhorar a segurança desse sistema. Entre as ações estão o bloqueio de horários para transferências, limitação de valores e até a escolha dos destinatários. Ainda não se sabe quando as regras começarão a valer efetivamente. Segundo o presidente do BC, Roberto Campos Neto, com o anúncio das mudanças as instituições financeiras poderão se preparar para as novas regras, que "serão efetivas em algumas semanas”.

• Das 20h às 6h fica estabelecido um limite de R$ 1.000 para transferências para mesmo banco, PIX e TED
• Se quiser aumentar esse limite, o cliente pode fazer a solicitação, mas haverá prazo mínimo de 24 horas e máximo de 48 horas para a efetivação do pedido feito por canal digital, impedindo o aumento imediato em situação de risco;
• Clientes passam a poder estabelecer limites transacionais diferentes no PIX para os períodos diurno e noturno, permitindo limites menores durante a noite;
• Instituições poderão permitir que usuários cadastrem com antecedência contas que poderão receber PIX acima dos limites estabelecidos;
• Haverá prazo mínimo de 24h para que o cadastramento prévio de contas por canal digital produza efeitos;
• É possível que uma transação fique retida por 30 minutos durante o dia ou por 60 minutos durante a noite para a análise de risco da operação.

• Passa a ser obrigatório o mecanismo, já existente e hoje facultativo, de marcação no Diretório de Identificadores de Contas Transacionais (DICT) de contas em relação às quais existem indícios de utilização em fraudes no PIX, inclusive no caso de transações realizadas entre contas mantidas no mesmo participante;
• Passam a ser permitidas consultas ao DICT para alimentar os sistemas de prevenção à fraude das instituições;
• Usuários do PIX poderão adotar controles adicionais em relação a transações envolvendo contas marcadas no DICT;
• Usuários de arranjos de pagamentos eletrônicos poderão compartilhar com autoridades de segurança pública as informações sobre transações suspeitas de envolvimento com atividades criminosas;

Ainda não há consenso sobre quem deve arcar com o prejuízo em golpes aplicados utilizando o PIX. Desde que a solução de pagamento instantâneo foi implementada, em novembro de 2020, a Justiça brasileira já tomou decisões tanto a favor de instituições financeiras quanto de clientes que foram lesados por crimes envolvendo o PIX. Especialistas ressaltam que, por mais que envolvam a mesma solução, os crimes podem ter diferentes perfis, o que acaba sendo determinante para as decisões.

Via de regra, o banco não tem responsabilidade quando há um crime cometido utilizando o PIX, porque, no caso de um sequestro relâmpago, por exemplo — crime que cresceu 39% no Estado de São Paulo —, a própria vítima coloca o login no aplicativo de banco e faz a transferência, de modo que o banco não contribui em nada com essa fraude. Por outro lado, algumas decisões judiciais atribuíram a responsabilidade aos bancos quando as vítimas entraram em contato com a instituição financeira logo após o crime, requerendo o bloqueio dos valores na conta de destino, mas não foram atendidas, ou quando há suspeita de invasão do aplicativo.

De acordo com a súmula 479 do STJ, "as instituições financeiras respondem objetivamente pelos danos gerados por fortuito interno relativo a fraudes e delitos praticados por terceiros no âmbito de operações bancárias". Em tese, isso significa que os bancos acabam arcando com o prejuízo em casos de invasão de hackers, fraude nos sistemas, entre outros problemas internos. Por outro lado, em sequestros relâmpagos há o que se chama de "fortuito externo" — ou seja, elementos que fogem das margens de controle que as instituições financeiras colocam nos aplicativos. Nesses casos, a responsabilização das instituições costuma ser mais rara.

Em julho, a Justiça de Goiás condenou parcialmente o Banco Itaú a restituir o valor de R$ 20 mil a duas vítimas de um golpe sofrido após um criminoso ter alegado ser funcionário do banco e realizar movimentações por PIX. A vítimas fizeram um boletim de ocorrência e tentaram resolver a situação de forma administrativa, mas houve "recusa do banco". Com isso, o juiz responsável pelo caso refutou o argumento da instituição financeira — de que a culpa é exclusiva do autor da ação — e ainda condenou o banco a pagar uma indenização de R$ 5 mil por danos morais.

Por outro lado, uma decisão recente do TJ-SP em ação ajuizada contra o Banco Itaú entendeu pela improcedência do pedido feito por uma vítima que teve o celular furtado e R$ 8 mil retirados de sua conta. De acordo com a magistrada que jugou o caso, a responsabilidade é exclusiva do cliente, pois a transação foi realizada pelo aplicativo no celular.

Com informações de O Estado de S. Paulo

CERCA DE 90% DAS MENSAGENS FRAUDULENTAS SÃO DISSEMINADAS VIA WHATSAPP

QUEM TEM DOIS TEM UM; QUEM TEM UM NÃO TEM NENHUM

Dados anônimos enviados de forma voluntária por clientes da Kaspersky Internet Security for Android dão conta de que os apps mais utilizados em golpes de phishing entre dezembro de 2020 e maio de 2021 foram o WhatsApp, com 89,6%, o Telegram, com 5,7%, e o Viber, com 4,9, e os países que mais registraram bloqueios de phishing foram a Rússia (46%), o Brasil (15%) e a Índia (7%).

Aplicativos de troca de mensagens ultrapassaram as redes sociais em 20% em termos de popularidade (com quase 3 bilhões de usuários em todo o mundo). De acordo com a empresa de cibersegurança Kaspersky, o WhatsApp está presente me 98% dos smartphones em uso no Brasil e, para piorar, três de cada dez brasileiros não sabem reconhecer uma mensagem falsa. 

No léxico da informática, o termo phishing (pescaria) designa uma modalidade de fraude mediante a qual os golpistas exploraram a curiosidade, a inocência ou a ganância das vítimas em potencial — técnica conhecida como engenharia social. As mensagens fraudulentas mais comuns envolvem notificações falsas de órgãos públicos — SPC/Serasa, Receita Federal, Justiça Eleitoral etc. — ou de operadoras de telefonia, TV por assinatura, bancos, administradoras de cartões de crédito e por aí afora. Em outras palavras, trata-se do velho conto do vigário adaptado ao universo digital.

Para minimizar os riscos de ser pego no contrapé, a Kaspersky recomenda desconfiar de qualquer oferta de produtos com preços muito abaixo dos que são praticados no mercado; atentar para erros ortográfico-gramaticais no texto das mensagens e possíveis irregularidades nos links.

Caso você receba um link pelo WhatsApp — ou outro aplicativo similar — não clique sem antes fazer uma busca na Web. Se o (suposto) remetente for um de seus contatos e a mensagem envolver um pedido de empréstimo, jamais transfira o dinheiro ou atenda qualquer outro pedido sem confirmar por telefone (ou outro meio que não seja o próprio WhatsApp) se a mensagem foi realmente enviada pelo seu contato, já que a conta pode ter sido roubada.

Para aprimorar a segurança no WhatsApp, habilite a dupla camada de autenticação. Assim, mesmo que o golpista obtenha o código de ativação a conta, ele só conseguirá transferi-la para o próprio aparelho se dispuser também da senha de seis dígitos (que é definida pelo próprio usuário no momento da ativação do recurso), mas tenha em mente que, apesar de dificultar o roubo da conta, a dupla autenticação nem sempre evita que a fraude ocorra, pois a bandidagem se vale da engenharia social (sempre ela) para obter a senha definida pelo usuário.

No Android, abra o menu do WhatsApp tocando no ícone dos três pontinhos (no canto superior direito da tela) e toque em Configurações > Conta. No menu que será exibido em seguida, selecione a opção Verificação em duas etapas, ative-a, digite uma senha (PIN) de seis dígitos e confirme na tela seguinte. Por fim, adicione um endereço de email de segurança.

Observação: Vincular um email à conta do WhatsApp representa uma garantia a mais quando você for registrar o número em outro aparelho. Além disso, se você esquecer os números que escolheu para o PIN, poderá utilizar esse email para receber um código que lhe dará acesso ao aplicativo.

No iOS, abra o WhatsApp em seu iPhone e, na barra inferior, toque em Ajustes, vá em Conta, selecione Verificação em duas etapas, toque em Ativar, digite o PIN, confirme e informe o email de segurança.  

Por último, mas não menos importante, instale uma solução de segurança confiável, como o Kaspersky Internet Security for Android, que pode ser avaliado gratuitamente por 30 dias — e está disponível também para PCs com sistema operacional Windows.

LADRÕES DE CONTA NO WHATSAPP BURLAM A DUPLA AUTENTICAÇÃO — VEJA COMO SE PROTEGER

QUEM FAZ PODE COMETER FALHAS, MAS A MAIOR DE TODAS AS FALHAS É NÃO FAZER NADA.

O golpe que rouba o WhatsApp (account takeover) está completando dois anos. Como a criatividade é o ponto forte dos cibercriminosos, o modus operandi varia — da confirmação de anúncios a convite para festa VIP, passando pela clonagem da conta mediante o roubo da foto da vítima (o golpe começa com o envio da mensagem “troquei meu celular”, seguida de algumas informações para convencer o contato de que aquela situação é real) —, mas o objetivo é sempre o mesmo.

A melhor maneira de se prevenir contra essa maracutaia é usar a dupla autenticação, na qual você cria uma senha pessoal que é solicitada no momento da instalação do aplicativo em outro aparelho. Mas a bandidagem já encontrou uma modo de burlar essa proteção. Acompanhe.

Primeiro, o vigarista liga para a vítima e, dizendo ser do Ministério da Saúde, pede a ela que responda a uma pesquisa sobre a Covid. O objetivo, naturalmente, é fazer com que a pessoa informe o código de seis dígitos que lhe enviado via SMS (a pretexto de “confirmar a realização da pesquisa” ou mediante outra desculpa qualquer).

Com a dupla autenticação habilitada, mesmo que a vítima informe o código em questão o fraudador precisa da senha adicional (que é criada no momento da ativação da proteção adicional). Então, caso se depare com a tela em questão (vide imagem), o criminoso encerra a chamada da suposta pesquisa e liga em seguida, mas desta feita dizendo ser do suporte do aplicativo. Nesse segundo contato, ele alega que uma atividade maliciosa foi identificada e orienta a vítima a acessar seu email para refazer o recadastro da dupla autenticação. E é aí que a informação cai nas mãos do golpista. 

A vítima recebe uma mensagem de email legítima do WhatsApp, com o título “Two-Step Verification Reset” (Resgate da Verificação em Duas Etapas), com um link para desabilitar a proteção adicional. Em outras palavras, tanto a mensagem quanto o link para recuperar a dupla autenticação são verdadeiros, ou seja, foram enviados  mesmo pelo WhatsApp. O pulo do gato é que o vigarista se vale de engenharia social para induzir a vítima a clicar no link recebido por email.

O criminoso permanece na linha enquanto a vítima acessa o email e o link, cuja página de destino desativa a dupla autenticação — para que a pessoa crie uma nova senha ao ativar a função novamente. Aproveitando que a conta está desprotegida, o fiduma usa o código temporário que lhe foi informado pela vítima na primeira ligação e “transfere” a conta para seu próprio aparelho, a partir do qual entra em contato com amigos e familiares da vítima para pedir dinheiro.

A única maneira de evitar esse novo golpe é desconfiar ou saber antecipadamente que ele existe, pelo menos até que o Facebook, que é dono do WhatsApp, aprimore o processo de recuperação da dupla autenticação, permitindo que o recadastramento seja feito na própria página da empresa, em vez de simplesmente realizar a desativação.

Para habilitar a dupla autenticação em smartphones com sistema Android, abra o menu do WhatsApp tocando no ícone dos três pontinhos (no canto superior direito da tela), toque em Configurações > Conta. No menu que se abre em seguida, selecione a opção Verificação em duas etapas, ative-a, digite uma senha (PIN) de seis dígitos e confirme na próxima tela. Por fim, adicione um endereço de email de segurança.

Observação: É importante que você utilize um endereço de email vinculado à conta do WhatsApp para ter uma garantia a mais quando for registrar o número em outro aparelho. Além disso, se você esquecer os números que escolheu para o PIN, poderá utilizar o email escolhido para receber o código que lhe garantirá acesso ao aplicativo.

No iPhone abra o WhatsApp e, na barra inferior, toque em Ajustes, vá em Conta, selecione Verificação em duas etapas, toque em Ativar, digite o PIN, confirme e informe o email de segurança.

Se tiver alguma dificuldade em seguir este roteiro, sugiro assistir a este vídeo.

SOBRE O MICROSOFT AUTHENTICATOR

DA FEITA QUE NADA NESTA VIDA É PERMANENTE, SOMOS TOLOS EM DESEJAR QUE CERTAS COISAS SE PERPETUEM, MAS MAIS TOLOS SEREMOS SE NÃO AS APRECIARMOS ENQUANTO AS TEMOS.

Muito já foi dito sobre senhas aqui no Blog. Notadamente sobre a importância de criar senhas “robustas” — lembrando que a segurança da senha está diretamente relacionada com aquilo que ela se destina a proteger, donde se conclui que a senha que dá acesso ao aplicativo do seu banco, por exemplo, deve ser mais “forte” do que sua senha de login no Twitter, também por exemplo — isso em tese; na prática, a maioria das instituições financeiras trabalham com dupla camada de autenticação.

A maioria dos smartphones (a exemplo de alguns modelos de notebook) dispõe de leitor de impressão digital — que você pode usar também para acessar sua conta Microsoft mais facilmente, bastando para tanto baixar e instalar o app  Microsoft Authenticator, que está disponível para Android e iOS. Se precisar de mais segurança, você pode combinar uma senha alfanumérica com sua impressão digital, reconhecimento facial ou PIN (basicamente, é nisso que consiste a dupla camada de autenticação).

O Microsoft Authenticator, que já dava suporte a senhas de uso único por tempo limitado (também conhecidas como TOTP ou OTP), e permitia ativar ou desativar a verificação em duas etapas e redefinir sua senha (para contas pessoais) tornou-se capaz de importar cadastros e senhas de navegadores e apps. A versão 6.21 do app introduziu diversos aprimoramentos na ferramenta, que agora pode receber senhas cadastradas de outras plataformas ou a partir de arquivos “.CSV”, além de poder ser usado para proteção pessoal, incluindo mecanismos para autenticação de dois fatores, backup de dados em nuvem, trava de segurança de aplicativos e captura de telas limitadas.

Na prática, o Microsoft Authenticator é um “canivete suíço” para gerenciamento de contas. Embora sua atuação em produtos e serviços da própria empresa, como OneDrive e Microsoft 365, seja mais ampla, a importação de senhas e integração com softwares para desktop — que funciona com Google Chrome e Edge — o tornam ainda mais poderoso.

Levar as senhas do Chrome para o Microsoft Authenticator não é difícil, mas o procedimento varia de acordo com o app utilizado. Pelo navegador, entre em “Configurações”, “Senhas” e clique no botão de três pontos do canto superior direito, que invocará a opção “Exportar senhas”. De lá, o Chrome solicitará que você insira novamente suas credenciais de acesso ao celular — algo que pode ser fornecido através da biometria — e informará que os dados exportados serão enviados em formato de texto. Aí é só dar sequência ao processo e selecionar o Microsoft Authenticator como destino.

Observação: Se o Microsoft Authenticator não aparecer como opção, é porque sua versão ainda não é compatível com os novos recursos. Vale lembrar que é necessário ser participante do programa Beta do autenticador e estar com a atualização mais recente.

BLACK FRIDAY OU BLACK FRAUDE?

A VIDA É MELHOR PARA AQUELES QUE FAZEM O POSSÍVEL PARA TER O MELHOR.

A “Black Friday” (sexta-feira negra) surgiu nos Estados Unidos, onde acontece no dia seguinte ao feriado de Ação de Graças. Ainda que essa data não seja comemorada no Brasil, a mega oferta foi incorporada no calendário comercial do país em 2010, quando os comerciantes se deram conta de seu formidável potencial. Desde então, lojas físicas e online passaram a oferecer, na última sexta-feira de novembro, uma vasta gama de produtos com descontos de até 80%.

Em geral, os lojistas promovem liquidações (ou “queimações”, como se diz na maioria dos estados das regiões norte e nordeste) para reduzir os estoques, quando, por exemplo, precisam expor a coleção de verão e as vitrines estão tomadas por roupas de inverno. Assim, eles reduzem o preço dos produtos como forma de agilizar as vendas.

As promoções independem da época e servem tanto para movimentar o comércio quanto para “promover” a loja. Isso não passa necessariamente pela redução de preços. Em muitos casos, o comerciante oferece 3 produtos pelo preço de 2, ou associa a compra de determinado artigo ao sorteio de um prêmio qualquer. Já as “ofertas”, como o próprio nome sugere, consistem em baixar, literalmente, os preços dos produtos visando alavancar as vendas.

Questões semânticas à parte, o fato é que maus comerciantes inflam os preços antes de reduzi-los, daí a Black Friday ser chamada jocosamente de "Black Fraude" e ganhar bordão "tudo pela metade do dobro". Ainda assim, a despeito da pandemia viral (ou quiçá devido a ela), o e-commerce está apostando alto na Black Friday 2020. Segundo a Associação Brasileira de Comércio Eletrônico (ABComm), a estimativa de crescimento das vendas em relação a 2019 é de 77% — e a de golpes virtuais, de 70%.

Para fugir das Black Fraudes, o jeito é pesquisar. Mas pesquisar não significa necessariamente bater pernas e gastar sola de sapato atrás dos melhores preços. Até porque a Internet nos poupa tempo trabalho (e dinheiro).

O Zoom é um comparador de preços que permite pesquisar produtos com maiores descontos e menores preços, bem como conferir o valor histórico médio de cada produto nos últimos seis meses, para avaliar se os descontos realmente compensam.

Outra boa ferramenta é o Buscapé, que pode ser usado tanto como comparador de preços e buscador de promoções como intermediador de compras, já que o consumidor pode adquirir produtos de diversas varejistas por meio do próprio site.

A exemplo do Buscapé, o Bondfaro foi um dos primeiros sites brasileiros de comparação de produtos e preços. Ele foi comprado pelo Zoom em 2019, mas mantém suas operações ativas de forma independente, apresentando os itens mais buscados na plataforma e as melhores ofertas em diversas categorias.

Visando uma atuação mais presente na Black Friday 2020, o Google anunciou uma leva de novidades para sua ferramenta “Shopping”. Para comparar preços, basta digitar o produto desejado no campo de buscas e selecionar a opção “Shopping” na barra que aparece logo abaixo. No caso de eletroeletrônicos, é possível consultar a ficha técnica do aparelho e visualizar suas diversas versões através do banco de imagens do Google.

Para não ir buscar lã e sair tosquiado — ou levar gato por lebre —, fuja de sites de compras que não informem CGC, endereço físico ou telefone para contato. Se a loja realmente estiver cadastrada e fazendo a promoção, ela recebe o selo Black Friday Legal. Este selo é o comprometimento do estabelecimento com a legislação do consumidor. Mas tenha em mente que selos de confiança podem ser reproduzidos pela bandidagem em suas páginas maliciosas. Portanto, passe um pente fino no site antes de fornecer dados pessoais e o número do cartão de crédito.

Certificados de segurança — como  os que aparecem em forma de cadeado na barra de endereço ou no canto inferior do navegador — indicam que o servidor realmente corresponde à loja virtual (para garantir isso, o browser verifica se o certificado corresponde ao URL do site, se é válido e se foi assinado por uma autoridade confiável).

Jamais repasse códigos fornecidos por SMS ou qualquer outra informação sem antes confirmar, através dos canais de atendimento empresa, a legitimidade da solicitação. Via de regra, sites de e-commerce não mantêm contato com os clientes por meio de aplicativos de mensagens.

Certifique-se de usar uma senha diferente e segura para cada loja online — e troque suas senhas periodicamente ou sempre que houver suspeita de vazamento (acesse Have I Been Pwned e faça uma pesquisa pelo endereço de e-mail ou nome de usuário que você costuma usar nos serviços; o site retornará uma lista dos vazamentos que possam ter envolvido suas informações).

Crie senhas fortes, mas fáceis de memorizar, e evite usar a mesma senha para mais de um serviço. Jamais compartilhe esses dados com que quem quer que seja — namoros terminam, casamentos se desfazem, irmãos brigam, pais e filhos se desentendem, e por vai.

Se for anotar suas senhas em cadernos, arquivos ou no celular, jamais as escreva ipsis litteris. No mínimo, utilize um artifício como acrescentar três ou quatro caracteres antes e outros tantos no final da senha, por exemplo. Mas a melhor maneira de não se atrapalhar com essa monumental sopa de letras, números e caracteres é recorrer a um gerenciador de senhas. Assim, você só precisará decorar a senha do gerenciador, que se encarregará de preencher as demais.

A verificação em duas etapas adiciona uma segunda camada de autenticação para garantir maior segurança no acesso a webservices, redes sociais, aplicativos etc. O site Two Factor Auth ensina a configurar esta função em cada página Web — seja ela bancária ou de redes sociais, praticamente tudo pode ser configurado.

Em ofertas recebidas por email, pouse o ponteiro do mouse sobre os links e analise os endereços que eles apontam. Veja se o nome no endereço "De:" corresponde ao endereço do suposto remetente da mensagem, se o texto contém erros ortográficos e gramaticais, se o logotipo está desfocado ou deformado, se a mensagem solicita informações pessoais ou confidenciais, e redobre os cuidados se os preços que constam da mensagem estiverem muito abaixo do valor médio praticado pelo mercado. Se alguma coisa lhe parecer estranha, descarte sem clicar ou abrir e digite a URL do site no seu navegador de internet para conferir se a promoção/oferta realmente existe no site oficial da loja.

Não faça compras online ou transações bancárias a partir de computadores públicos (de lanhouse, cybercafés etc.). Evite também redes Wi-Fi de lojas, hipermercados, consultórios médicos, salões de beleza etc. Mesmo numa conexão confiável (como a rede Wi-Fi que você tem em casa), assegure-se de que o sistema operacional de seu computador (doméstico ou ultraportátil) ou ultraportátil (smartphone/tablet) esteja atualizado e as ferramentas de segurança (antivírus, antispyware, firewall etc.), ativas e operantes.  

Com a chegada do Pix, cibercriminosos têm se aproveitado da pouca familiaridade dos usuários com a nova tecnologia, especialmente por meio de ofertas relâmpago com pagamento feito através dessa ferramenta. De acordo com o presidente da Febraban, o Pix é um meio de transferência de recursos tão seguro quanto qualquer outro, como TED e DOC. No entanto, os golpistas podem aproveitar a temporada mais intensa de compras para se passar por lojas e marcas e levar os clientes a fazer pagamentos em favor das quadrilhas.

Só realize pagamentos pelo Pix para empresas conhecidas e confira todos os dados do beneficiário antes de concluir as transações. Diante de alguma divergência ou dado estranho, não conclua a operação sem antes entrar em contato com um canal oficial de atendimento ao consumidor para esclarecer a situação.

Observação: Em tempos de pandemia, tome cuidado ao participar de ações solidárias transmitidas nas redes, mesmo que recebidas de pessoas conhecidas (existem sites e mensagens para captura de dados pessoais que induzem pessoas a compartilhar o phishing para ganhar produtos ou ter acesso gratuito a serviços, por exemplo).

Por último, mas não menos importante: no caso de compras online, Código de Defesa do Consumidor assegura ao cliente a prerrogativa de se arrepender da compra e devolver o produto em até sete dias corridos (ou trocá-lo em até 30 dias). Além disso, a loja não pode estipular um valor mínimo para o pagamento das compras com cartão. Segundo o Idec e o Procon, se o comerciante aceita cartão como meio de pagamento, deve aceitá-lo para qualquer valor nas compras à vista. A compra com cartão de crédito, se não for parcelada, é considerada pagamento à vista. Cobrar mais de quem paga com cartão de crédito fere o inciso V do artigo 39 do CDC, que classifica como prática abusiva exigir do consumidor vantagem manifestamente excessiva.

Boas compras.

VULNERABILIDADE CRÍTICA NO INSTAGRAM

TODAS AS VERDADES SÃO FÁCEIS DE PERCEBER DEPOIS DE TEREM SIDO DESCOBERTAS; O PROBLEMAS É DESCOBRI-LAS.

Os pesquisadores da Check Point Research, braço de Inteligência em Ameaças da Check Point® Software Technologies Ltd, detectaram uma vulnerabilidade crítica de Remote Code Execution no Instagram — rede social que conta com mais de 1 bilhão de usuários em todo o mundo. 

Após analisar a segurança do aplicativo nos sistemas operacionais Android e iOS, a CPR constatou que a brecha possibilitaria realizar qualquer ação que envolvesse a lista de permissões, inclusive assumir o controle da conta do usuário no Instagram e executar, a sua revelia, ações como ler conversas, excluir ou postar fotos e manipular as informações do perfil. 

O cibercriminoso poderia ainda transformar o dispositivo em uma ferramenta para espionar a vítima, uma vez que teria total acesso aos contatos, dados de localização, câmera e arquivos armazenados no dispositivo móvel, entre outros. Seria possível, inclusive, bloquear o acesso à conta, o que poderia acarretar diversos problemas ao usuário, da perda de dados ao roubo de identidade.

Os pesquisadores descobriram a vulnerabilidade no Mozjpeg, um decodificador JPEG de código aberto que é utilizado pelo Instagram no upload de imagens no perfil do usuário, e  vêm alertando os desenvolvedores de aplicativos sobre os riscos potenciais do uso de bibliotecas de código de terceiros em seus aplicativos sem a prévia verificação de possíveis falhas de segurança.

Observação: Atualmente, em vez de escrever o aplicativo do zero, a maioria dos desenvolvedores utiliza bibliotecas de terceiros para lidar com tarefas comuns (e muitas vezes complicadas), como processamento de imagem e/ou de som, conectividade de rede e assim por diante, podendo, assim dedicar-se apenas a tarefas e codificação que representam a lógica de negócios principal do aplicativo.

No caso da vulnerabilidade detectada pela Check Point no Instagram, os especialistas inferiram que bastaria uma única imagem maliciosa para o cibercriminoso atingir seu objetivo em três etapas, a saber: 

1) Enviar uma imagem para o email da vítima, WhatsApp ou outra plataforma de troca de mídia social; 

2) Salvar a imagem no smartphone do usuário de forma automática ou manual, dependendo do método de envio, tipo de celular e configurações (uma imagem enviada via WhatsApp, por exemplo, pode ser salva no dispositivo automaticamente por padrão); 

3) Aguardar a vítima acessar o Instagram e abrir a imagem maliciosa, que dispararia a falha de segurança no app, ativando-a automaticamente, o que daria ao criminoso total acesso ao dispositivo móvel.

Os resultados da pesquisa levaram a duas conclusões importantes: 1) bibliotecas de código de terceiros podem ser uma ameaça séria; 2) os usuários precisam verificar as permissões que os apps solicitam durante sua instalação no dispositivo.

A CPR recomenda enfaticamente aos desenvolvedores que examinem as bibliotecas de código de terceiros utilizadas na construção de suas infraestruturas de aplicativos e garantam que sua integração seja feita de maneira adequada. Aos usuários, os pesquisares recomendam evitar simplesmente clicar em “SIM” na mensagem em que o aplicativo pede permissão para acessar isso ou aquilo, até porque essa é a linha de defesa mais eficaz contra ciberataques móveis.

Ao instalar um app e deparar com a mensagem em questão, pare e pense se faz realmente sentido conceder ao programa acesso a sua câmera, seu microfone, sua lista de contatos, e assim por diante.  

Observação: O Febook resolveu o problema, que descreveu como Integer Overflow leading to Heap Buffer Overflow CVE-2020-1895 (estouro de número inteiro que leva a estouro de buffer...), através de um patch que fecha a brecha de segurança em versões mais recentes do Instagram em todas as plataformas. 

Nunca é demais enfatizar a importância de atualizar regularmente os aplicativos móveis e os sistemas operacionais. Dezenas de patches de segurança são lançados nessas atualizações semanalmente, e a falha na instalação pode ter um impacto grave na privacidade do usuário.

Igualmente importante é monitorar as permissões. É muito conveniente para os desenvolvedores de aplicativos solicitarem permissões excessivas aos usuários, e é muito cômodo para os usuários clicarem em "SIM" sem ler ou sem parar para pensar por alguns instantes se deve ou não conceder esta a permissão. 

Observação: Na dúvida, o melhor é não autorizar. Se o app não funcionar, você sempre pode rever essa ação. Já se autorizar de pronto e depois se arrepender, você pode até reverter a configuração, mas aí pode ser tarde demais. Nesse cenário, só o tempo dirá se houve consequências e quais foram as consequência de uma autorização desnecessária/indevida. Como dizia o Conselheiro Acácio (personagem do romance O PRIMO BASÍLIO, de EÇA DE QUEIROZ). "o problema com as consequências é que elas sempre vêm depois".

A ERA DA (IN)SEGURANÇA — FINAL

O QUE TODAS AS PESSOAIS TÊM EM COMUM É O FATO DE SEREM DIFERENTES ENTRE SI.

 Segundo a Kaspersky, 56% dos brasileiros compartilham senhas, como se namoros não terminassem, irmãos não brigassem, casamentos não desaguassem em separações litigiosas, e por aí vai...

Jamais compartilhe senhas com outras pessoas, sejam elas quem forem. Lembre-se: segredo entre três, só matando dois.

Uma das principais dicas para não ter sua conta invadida é evitar senhas comuns ou óbvias, conforme vimos no post anterior, com algumas sugestões para criar senhas robustas e fáceis de memorizar. Mas cabe aqui abrir um parêntese:

A sugestão de criar senhas a partir da mistura de letras maiúsculas e minúsculas com algarismos e caracteres especiais vem dos idos de 2003. Atualmente, a recomendação é tornar as senhas tão longas quanto possível, já que que o brut force attack (ou ataque de força bruta — método de quebrar senhas por tentativa e erro, que consiste em experimentar todas as combinações alfanuméricas possíveis) pode ser mitigado limitando-se a quantidade de tentativas de login permitidas.

Parece coisa do presidente Bolsonaro, que diz uma coisa pela manhã e outra totalmente diferente no meio da tarde, mas é isso mesmo: usar palavras inteiras, sem conexão entre si, é mais seguro do que as misturebas recomendadas até pouco tempo atrás.

Uma senha como “acerto cavalo bateria grampo” é mais difícil de quebrar que “Br0ub7d$r&3” — e mais fácil de memorizar. A primeira poderia levar mais de 500 anos para ser adivinhada por um computador, enquanto a segunda, supostamente mais forte, poderia ser descoberta em apenas três dias.

Portanto, a conclusão a que chegaram esses luminares é que senha forte é senha longa. Fecho aqui o parêntese.

Outras recomendações que você certamente conhece (mas talvez ainda não tenha posto em prática) são jamais usar a mesma senha em diferentes serviços e não deixar a conta logada em computadores públicos.

A primeira evita que alguém que descubra a senha tenha acesso a todos os serviços que você utiliza (inclusive de netbanking), o que seria catastrófico; a segunda é óbvia, mas vale frisar que, a despeito de o uso de máquinas de lanhouses e cybercafés não ser mais comum devido à versatilidade dos smartphones, há casos em que você pode precisar de um computador convencional que não seja o seu. Nesse caso, seguir a dica evita que o próximo cliente que usar a máquina, movido pela curiosidade ou por má-intenção, se aproveite da situação para acessar seus emails ou seja lá qual for o serviço que você encerrou sem fazer o logoff.

Voltando ao exemplo do Google e do Gmail (vide postagens anteriores), convém adicionar opções de recuperação de conta (pode ser outro endereço eletrônico ou seu número de telefone celular, por exemplo) e consultar o Verificador de Segurança para conferir a quantas anda a segurança da sua conta.

Aproveite o embalo e clique em Check-up de senha para verificar se há problemas com suas senhas salvas, e ative a verificação em duas etapas. Na maioria dos serviços, essa proteção adicional funciona por meio de um código numérico (token) registrado em aplicativos específicos. 

Para ativar a autenticação no Google (e em seus serviços, como Gmail e YouTube), clique aqui, faça login na sua conta do Google, clique em Primeiros passos e siga o guia do Google para concluir a configuração. Para adicionar suporte ao Authy, é só seguir os passos aqui. Basicamente, você precisa seguir os códigos como se fosse adicionar a autenticação pelo aplicativo do Google Authenticator. É só configurar com o Authy no lugar da alternativa do Google.

Boa Páscoa a todos, em que pese o distanciamento social e todas as consequências que ele acarreta.