MAIS SOBRE VIGARICE DIGITAL

PROMESSAS, LEVA-AS O VENTO.

Ciberfraudes são versões “digitais” dos contos do vigário dos tempos de antanho. 

Existe uma miríade de variações dessas maracutaias, mas a maioria se vale da engenharia social para obter vantagens ilícitas (geralmente pecuniárias) explorando a ingenuidade, a boa-fé e/ou a ganância de outrem.

O lançamento do Pix deu aos fraudadores a oportunidade de aplicar velhos golpes travestidos com nova roupagem. A modalidade mais comum consiste em “sequestrar” o WhatsApp da vítima para dinheiro a seus contatos (transferências pelo Pix são instantâneas e podem ser feita 24/7). 

Alguns vigaristas criam uma nova conta no aplicativo usando o nome e a foto de perfil da vítima, enviam mensagens a seus contatos valendo-se de alguma desculpa para a mudança do número da linha e, na sequência, aplicam o golpe nos moldes descritos anteriormente, ou seja, pedindo que lhe transfiram dinheiro pelo Pix a pretexto de um imprevisto qualquer. Outros, ainda, enviam mensagens com links fraudulentos para se apropriar de senhas bancárias e números de cartões de crédito.

Para alertar a população sobre golpes via Pix, diversas instituições financeiras, capitaneadas pelo Banco Central, fizeram uma campanha em suas redes sociais elencando as principais fraudes e dando dicas de como se proteger. Elas esclarecem que os golpes não exploram “falhas de segurança” do Pix, mas a credulidade das vítimas. 

Por exemplo, o vigarista telefona para a vítima passando-se por funcionário de alguma empresa e, a pretexto de atualizar o cadastro ou outra desculpa qualquer, pede a ela que lhe informe a sequência de seis dígitos que ela acabou de receber por SMS para seu celular — que na verdade é a senha de que ele precisa para transferir a conta de WhatsApp para seu próprio aparelho. Há ainda outros tipos de engodo, como tentar convencer a vítima a transferir dinheiro através do Pix em troca de ganhos financeiros.

Os bancos recomendam aos usuários do WhatsApp que mantenham o app atualizado e ativem a autenticação em dois fatores. Carlos Eduardo Brandt, chefe-adjunto do departamento de competição e de estrutura do mercado financeiro do BC, destaque que, caso a pessoa caia no golpe, comunique imediatamente o ocorrido a seu banco e registre um boletim de ocorrência. No Pix, um mecanismo de segurança (marcador antifraude) cria uma base de dados que registra as transações fraudulentas e repassa as informações às instituições financeiras, evitando dificultar a ação dos golpistas.

Por último, mas não menos importante: Depois de um período de testes na Índia, o WhatsApp Pay foi lançado no Brasil. A estreia estava prevista para agosto de 2020, mas foi barrada pelo BC e pelo Cade para a avaliação de riscos concorrenciais e garantir funcionamento adequado do Sistema de Pagamentos Brasileiro (SPB). Recentemente, a entidade garantiu ao Facebook, que é dono do WhatsApp, a autorização para funcionar como “iniciador de pagamentos”.

O WhatsApp Pagamentos — como o serviço também é conhecido — é executado pelo Facebook Pay e intermediado no Brasil pela Cielo. Ele permite ao consumidor que autorize a instituição financeira da qual é correntista a efetuar transferências e pagamentos mediante débito em sua conta corrente sem a necessidade de acessar o aplicativo do banco, e já está disponível para usuários de cartões de débito, pré-pago ou combo do Banco do Brasil, Banco Inter, Bradesco, Itaú Unibanco, Mercado Pago, Next, Nubank, Sicredi e Woop Sicredi com bandeiras Visa ou Mastercard. A vantagem — além da isenção de taxas para pessoas físicas — é que a operação é feita sem sair da tela de conversas.

Observação: Visando evitar vazamentos de dados, vários recursos de segurança foram acrescentados ao WhatsApp Pay, entre os quais a autenticação em dois fatores (já mencionada linhas atrás) e a confirmação das transações por biometria ou PIN de seis dígitos, além de outras camadas de segurança previstas pelo Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI).

Para utilizar o serviço, é preciso configurar o Facebook Pay no WhatsApp e cadastrar uma conta-corrente ou um cartão de crédito ou débito. O valor é limitado a R$ 1 mil por operação, tanto em transferências entre pessoas físicas quanto no pagamento de contas (são permitidas até 20 transações por dia, mas restritas a uma movimentação mensal de até R$ 5 mil). Depois de autorizar a função, é preciso apenas clicar sobre o clipe de anexar, selecionar “Pagamentos”, digitar o valor a ser repassado, selecionar a opção “Pagar” e digitar seu PIN ou validar a transação via biometria. Para receber uma transferência, basta clicar em “Aceitar pagamento” e o valor será transferido de forma automática para a conta cadastrada com o cartão de débito.

Os vigaristas de plantão agradecem a oferta de mais essa “ferramenta de trabalho”.

MAIS SOBRE A NOVELA DA POLÍTICA DE PRIVACIDADE DO WHATSAPP

EM TERRA DE CEGO, QUEM TEM UM OLHO ATÉ PODE SER REI, MAS NÃO DEIXA DE SER CAOLHO. 

No Brasil, nada é o que parece ser e tampouco há certeza de coisa alguma — a não ser de que esta republiqueta de bananas se tornou um circo em que o povo faz dois papeis — o de expectador pagante e o de palhaço involuntário e não remunerado. Mas vamos deixar os detalhes para a postagem de política e cingir nosso foco ao mais recente capítulo da novela da política de privacidade do WhatsApp, que foi objeto do post da última sexta-feira.

A não ser que o imprevisto tenha voto decisivo na assembleia dos acontecimentos, a coisa ficou assim: os usuários que não concordaram expressamente com as novas regras não terão suas contas canceladas, mas receberão mensagens solicitando o aceite e, caso não o deem, perderão “progressivamente” o acesso livre aos recursos do WhatsApp.

A alteração polêmica torna obrigatório o compartilhamento de informações como número de telefone, dados de transações, endereço IP, dados de dispositivo, dados sobre interações com outros contatos, entre outros. Em janeiro, a empresa asseverou que a atualização não muda as práticas de compartilhamento de dados entre o WhatsApp e o Facebook nem impacta a maneira como os usuários se comunicam de forma privada com seus amigos e familiares, além de reafirmar que todas as mensagens trocadas no app têm criptografia ponta-a-ponta, ou seja, somente as pessoas que estão participando de uma conversa podem ter acesso ao que foi enviado. 

Fato é que os usuários não serão afetados em conversas com outras pessoas físicas, mas em mensagens trocadas com contas empresariais a história é outra. Quando usamos o WhatsApp para falar com uma empresa, a conversa não se dá diretamente com a companhia, mas sim com um intermediário que a “retransmite” para a empresa em questão. Assim, a conversa é criptografada do indivíduo ao intermediário e do intermediário à empresa final, e esse intermediário é o Facebook, com quem o WhatsApp vai compartilhar os dados.

Em suma, a nova política de privacidade deixa de garantir a proteção da criptografia em conversas com contas comerciais — ou seja, mantidas com contas do WhatsApp Business —, e não às mensagens de bom dia que sua avó envia para você. E o WhatsApp Pay, por funcionar apenas em contas pessoais, também não deve ser afetado. 

A Autoridade Nacional de Proteção de Dados publicou uma nota na qual afirmou que “o WhatsApp informa que não encerrará nenhuma conta, e que nenhum usuário no Brasil perderá acesso aos recursos do aplicativo nos 90 dias posteriores ao dia 15 de maio como resultado da entrada em vigor da nova política de privacidade e dos novos termos de serviço nesta data”, e que, nesses 90 dias, os órgãos responsáveis devem analisar novamente o aplicativo para encontrar quaisquer desacordos. 

Ainda segundo a ANPD  “a política de privacidade e as práticas de tratamento de dados apresentadas pelo WhatsApp podem, em princípio, representar violações aos direitos dos titulares de dados pessoais. As instituições ainda demonstraram preocupação com os potenciais efeitos sobre a concorrência e sob a ótica da proteção e defesa do consumidor”. 

Volto a lembrar que o WhatsApp não é a última nem a única bolacha do pacote. Se você não se sentir seguro para aceitar o contrato imposta pela empresa de Zuckerberg, perderá o acesso aos recursos do app, mas talvez saia ganhando, no fim das contas, se migrar para o Signal, por exemplo, que teve um aumento de 1.192% em downloads em relação a 2020, sendo baixado cerca de 64,6 milhões de vezes. 

Observação: O Telegram também cresceu no começo deste ano, passando por um aumento de 98% em downloads, enquanto o WhatsApp caiu 43% no mesmo período. Todos aplicativos oferecem basicamente as mesmas funcionalidades, mas o Signal é o que menos coleta dados dos usuários, seguido pelo Telegram, ao passo que o WhatsApp e Messenger (ambos regidos pelo Facebook) são os que mais coletam informações.

A segurança do Signal é melhor do que a do WhatsApp. Em ambos os apps as mensagens são criptografadas ponto-a-ponto, mas, enquanto o Signal tem o código totalmente aberto — podendo ser examinado quanto a vulnerabilidades por pesquisadores de segurança —, o WhatsApp usa sua própria implantação. Além disso, a opção de backup em nuvem, que armazena o histórico das mensagens, sem criptografia, nos servidores do Google ou da Apple, é uma fragilidade que o Signal não possui (até porque, por razões de segurança, não existe a opção de backup em nuvem; as mensagens ficam armazenadas no aparelho do próprio usuário). 

RECORDAR É VIVER (FINAL)

FAÇA AS COISAS O MAIS SIMPLES QUE VOCÊ PUDER, MAS NÃO SE RESTRINJA ÀS COISAS MAIS SIMPLES.

O WhatsApp foi criado em 2009 para ser uma alternativa ao SMS — sigla em inglês para Short Message Service, ou serviço de mensagens curtas, em tradução direta —, que é disponibilizado pelas operadoras de telefonia móvel. O app foi comprado pelo Facebook em 2014, mas continua operando de forma independente e conta com mais de um bilhão de usuários em mais de 180 países. Sua relevância é tamanha que Mark Zuckerberg, CEO do Facebook, perdeu US$ 5,9 bilhões com a queda de quase 5% nas ações de sua empresa na Nasdaq em outubro do ano passado, após uma interrupção do Zap, do Face e do Insta, que durou algumas horas. 

 
Observação: Existem alternativas ao WhatsApp — como o Telegram e o Signal — que funcionam mais ou menos da mesma maneira e oferecem alguns recursos que não estão presentes no queridinho dos internautas (e vice-versa), mas isso é conversa para uma outra vez. 
 
As redes sociais se multiplicaram e evoluíram ao longo dos últimos anos. Além do Zap, o Twitter, o Facebook, o LinkedIn, o Instagram e o TikTok caíram no gosto das pessoas, mas veteranos ICQ, MSN, o Orkut, que foram muito populares durante algum tempo, respiram por aparelhos (isso quando ainda respiram), e outros, como o Google+, sequer chegaram a empolgar a galera. Vejamos isso melhor.
 
No início da década passada, o grande destaque foi o surgimento do Instagram, que mudou o foco do texto para a imagem e, consequentemente, a maneira de compartilhar informações e fazer negócios nas redes sociais. Ele foi lançado inicialmente para o iPhone (leia-se iOS), mas se tornou compatível com o Android em 2012 e, mais recentemente, ganhou uma versão para desktop.
 
Outro destaque do início da década passada foi o Snapchat, lançado em 2011 com o nome Pictaboo e baseado no conceito de “postagens efêmeras” (que desaparecem após 24 horas). Suas ferramentas serviram de inspiração para a implementação de recursos semelhantes no Face, no Zap e no Insta, que também se tornaram ferramentas poderosas de marketing digital. 
 
O Facebook Messenger, que veio à luz em 2011, se notabilizou por permitir a troca de mensagens entre usuários da plataforma. Atualizações posteriores incluíram o envio de mensagens de voz, vídeo, imagens e stickers. O Tinder — app de paquera que aproxima usuários de acordo com a localização geográfica, gostos e preferência — chegou um ano depois, e russo Telegram, no ano seguinte. Nesse entretempo, o Pheed — que permitia compartilhar textos, fotos e vídeos — nasceu e morreu.
 
Em 2013, a Microsoft incorporou o MSN ao Skype — e com isso matou o programinha. No ano seguinte, Zuckerberg comprou o WhatsApp (por US$ 16 bi). O Twitter apresentou o Periscope em 2016 (mesma época em que o Orkut encerrou suas atividades e o TikTok virou febre mundial, com seus vídeos curtos e bons recursos de edição). No rastro do Snapchat, o Instagram lançou os Stories, que permitem postar fotos e vídeos que desaparecem após 24 horas, e o turco Orkut Büyükkökten, criador do Orkut, lançou a rede social exclusiva para smartphones que atende por Hello. 
 
Em 2017, o Twitter aumentou de 140 para 280 o limite de caracteres por mensagem. No ano seguinte, o Instagram anunciou a plataforma de vídeos IGTV — concorrente direta do popular YouTube —, que permite criar e compartilhar vídeos mais longos, oferecendo mais espaço para os criadores de conteúdo veicularem as suas produções. No mesmo ano, o Facebook revelou a chegada da função MarketPlace no Brasil, que facilitou a comercialização de mercadorias pela plataforma permitindo pesquisar produtos e serviços nas regiões próximas por meio da geolocalização e de filtros por categorias.
 
O veterano Yahoo Messenger, criado em 2008, encerrou suas atividades no final da década passada. O episódio marcou o fim de uma era, já que o serviço foi pioneiro em conversas em grupo e compartilhamento de arquivos em tempo real. Em 2019, após 10 anos de existência, o Google+ também se despediu dos usuários (após um vazamento de dados de meio milhões de contas).
 
Em um ano de isolamento social devido à pandemia, o Telegram atingiu a marca de 400 milhões de usuários. A incorporação de recursos de vídeos, emojis animados, marcação de usuários na conversa e stickers — que foram implementados mais adiante no WhatsApp — também contribuiu para sua popularização. Além disso, o ano de 2020 marcou o crescimento do uso de Chatbots e recursos de inteligência artificial. 

Ao soprar sua décima velinha, o Instagram anunciou atualizações como o mapa de Stories, recursos para reduzir assédio, opção de mudar o ícone e de exibir anúncios no IGTV. Já o LinkedIn lançou seu recurso de Stories, que permite compartilhar imagens, textos e vídeos de até 20 segundos. Outra novidade que marcou aquele ano foi a possibilidade de efetuar pagamentos via WhatsApp Pay, que permite realizar transferências, enviar e receber dinheiro pelo app. 

O Facebook, que permanece líder em termos de usuários ativos, com mais de 2 bilhões de usuários mundo afora, deu mais um passo na área de negócios ao anunciar o FacebookShops, com ferramentas para aumentar as vendas e incentivar o empreendedorismo.
 

Haveria muito mais a relembrar, mas outros assuntos requerem atenção, razão pela qual encerramos por aqui. 

Com informações de Tecmundo

VELHAS DICAS PARA NÃO CAIR EM NOVOS GOLPES

VOCÊ QUE ESTÁ CHEGANDO AGORA, CRITICANDO O QUE ESTÁ FEITO, DEVERIA ESTAR AQUI NA HORA DE FAZER. ASSINADO: AQUELE QUE FEZ QUANDO NINGUÉM SABIA COMO FAZER.

Influenciadas pela tradição, as pessoas, ou a maioria delas, acham que a melhor estratégia para memorizar informações é a simples repetição. Para decorar um poema, por exemplo, é preciso ler e reler o texto diversas vezes.

Não se pretende, aqui, negar a eficácia desse método. Afinal, foi assim que aprendemos tabuada nos bancos escolares. Ou decoramos, melhor dizendo, pois aprender e decorar são coisas intrínsecas, mas diferentes.

Para resumir a história em poucas palavras, o aprendizado é a aquisição de novos conhecimentos e a memorização, a retenção desses conhecimentos. Portanto, o aprendizado não se dá necessariamente pela repetição.

Benedictus de Spinoza (1632-1677) ensinou que a lembrança que temos de uma coisa é uma imagem dessa coisa. É bom frisar, por oportuno, que essa “imagem” não é  necessariamente visual, como evidencia o slogan de um antigo comercial de lingerie. Ou seja: a lembrança — e, por extensão, o aprendizado — é fruto da impressão que determinados eventos produzem em nós.

A meu ver, a repetição aqui no Blog se justifica pela relevância de determinados assuntos. É o caso, por exemplo, da segurança digital — que foi o mote destas postagens até eu passar a publicar, em paralelo, minas impressões sobre o (deplorável) cenário político nacional.

Nunca é demais lembrar os cibercriminosos (estelionatários que se locupletam aplicando versões 2.0 de velhos contos do vigário) estão sempre um passo à frente. Isso se explica pelo fato de a segurança, no âmbito digital, ser mais reativa do que proativa.

Na verdade, essa característica não se limita ao campo virtual. Tomemos como exemplo o caso da Covid: só se começou a desenvolver imunizantes contra o Sars-CoV-2 quando se soube de sua existência. Na esteira desse raciocínio, temos que os desenvolvedores de ferramentas de segurança só criam mecanismos para combater pragas digitais depois que elas aparecem em seus radares, e o mesmo se aplica aos engenheiros de software, que só fecham brechas em sistemas e programas depois que alguém descobre como explorá-las (aqui caberiam algumas linhas às ameaças “zero day”, mas isso vai ficar para uma próxima vez).   

Alguns golpes — como o do famoso “bilhete premiado” —, de tão “batidos”, nem deveriam mais fazer vítimas. A questão é que a engenharia social é um campo extremamente fértil, e a criatividade dos vigaristas não fica atrás. Demais disso,  não dá para saber como, onde ou de que forma um novo ataque acontecerá. As empresas de cibersegurança tentam “prever” futuros ataques, visando, com isso, frustrar a ação dos criminosos, mas o modus operandi da bandidagem está em constante evolução.

Cada computador está sujeito à ação de milhares de “hackers” — de invasores de elite, apoiados por governos, a integrantes do assim chamado crime organizado, passando por newbies, wannabies e outros “aprendizes de feiticeiro”, que se valem de ferramentas prontas, como scripts (“roteiros” que o sistema interpreta e transforma em ações, automatizando a execução de tarefas que de outra forma o usuário teria de realizar individualmente) exploits (sequências de comandos que tomam vantagem de um defeito, falha ou vulnerabilidade a fim de causar um comportamento acidental ou imprevisto a ocorrer no software ou no hardware do computador) e outras ferramentas criadas por crackers (os “hackers do mal”) para aplicar seus golpes. Nesse cenário, os “defensores” precisam neutralizar uma malta de atacantes, ao passo que basta um único atacante atravessar as barreiras defensivas para pôr tudo a perder.

Dicas elementares de prevenção — como as que eu venho publicando desde 2006, quando inaugurei este Blog — continuam surtindo efeito, mesmo que não sejam um remédio para todos os males. Mas as chances de ser pego no contrapé diminuem sensivelmente quando e se o internauta evita navegar por sites suspeitos, clicar em links mal-intencionados e abrir anexos maliciosos que recebem por email ou via redes sociais, p.ex. Convém também desconfiar de ofertas com preços muito abaixo dos praticados no mercado e jamais transferir dinheiro para alguém que lhe peça ajuda pelo WhatsApp sem primeiro checar a veracidade da solicitação. Vale lembrar que instituições bancárias, administradoras de cartões de crédito, órgãos públicos e que tais não enviam emails solicitando dados cadastrais, números de documentos, senhas etc.

Pessoas mal educadas e/ou mal-intencionadas fazem “o diabo” no meio virtual, achando-se protegidas pelo “anonimato” da Internet, mas a coisa não é bem assim. Pelo endereço IP (sigla de Internet Protocol) do computador usado no malfeito é possível chegar facilmente ao malfeitor. Para contornar esse empecilho, a bandidagem mais “escolada” recorre à Deep Web e ao IP dinâmico (que muda frequentemente e pode levar a crer que o internauta está em praticamente qualquer lugar do planeta) para não deixar rastros de suas atividades espúrias.

Outro equívoco comum é achar que somente empresas e pessoas ricas ou famosas estão na mira de invasores digitais e cibercriminosos, já que golpes são aplicados diuturnamente em vítimas de todas as faixas de renda, inclusive em cidadãos que não tem conta bancária, mas são beneficiários do INSS e de programas assistenciais como “bolsa família”, “auxílio emergencial” e assemelhados. Por essas e outras, tome muito cuidado quando e se abrir anexos ou seguir links recebidos por email, redes sociais, programas mensageiros etc. Use senhas fortes e, na impossibilidade de memorizá-las, recorra a um gerenciador — como o RoboForm, o LastPass e o 1Password, por exemplo. Evite armazenar as senhas em modo texto no computador ou smartphone — lembre-se de que o aparelho pode ser perdido, roubado ou invadido.

Evite postar fotos de viagens, veículos, casas etc. em suas redes sociais. Sua ostentação, mesmo inocente, pode chamar para si a atenção dos amigos do alheio (pela placa do veículo, por exemplo, não é nada difícil descobrir o endereço do proprietário). Vale também habilitar a autenticação em duas etapas no WhatsApp, Facebook, Instagram e onde mais for possível. Uma miríade de serviços baseados na Web suporta esse recurso, mas quase nunca o habilita por padrão. Como o procedimento varia caso a caso, recorra ao site Two Factor Auth, que ensina a configurar o 2FA na maioria dos webservices que lhe oferecem suporte.

Efetuar pagamentos via boleto bancário é mais trabalhoso (e não o livra 100% das fraudes), mas é menos inseguro que o cartão de crédito (jamais utilize cartões de débito em compras virtuais e transações do gênero). Hoje em dia, a maioria dos bancos oferece a opção de pagamento com cartões válidos para uma única transação — trata-se, basicamente de um “espelho” do seu cartão de crédito que é gerado pelo aplicativo ou o serviço de internet banking do seu banco. Na prática, isso significa que os dados só valem para uma ou um conjunto de transações preestabelecido.

Lançado no ano passado, o PIX se tornou uma alternativa interessante para transferência de dinheiro e pagamentos instantâneos, pois, além de ser isento de taxas ou tarifas, permite realizar transações 24 horas por dia, inclusive nos fins de semana e feriados. Para surpresa de ninguém,  esse novo meio de pagamento eletrônico entrou no radar dos cibervigaristas, mas a maioria dos golpes depende diretamente de desconhecimento ou desatenção dos usuários.

Jamais faça cadastro no PIX por contato telefônico (nenhuma instituição bancária oferece essa alternativa) e tampouco clique em links recebidos via WhatsApp, SMS ou email supostamente enviado p para efeito de cadastro e/ou confirmação de PIX. E quando for transferir dinheiro para conhecidos, assegure-se de que os favorecidos não foram  “clonados”.

Lançado ainda mais recentemente, o WhatsApp Pay — função que permite transferir dinheiro através do Facebook Pay e conta com a proteção de PIN, biometria e token — não tarda a ser alvo dos cibercriminosos. Mantenha seu WhatsApp atualizado e ponha as barbichas de molho. Cautela e canja de galinha não fazem mal a ninguém.