Roubo de criptomoedas: como se defender?

Os ciberataques envolvendo roubo de criptomoedas – como as bitcoins, a mais famosa delas – se tornaram mais recorrentes durante a pandemia de Covid-19 e devem estar no foco das atenções de corporações de segurança cibernética, governos e sociedade em 2021. O primeiro passo é compreender o modus operandi desse tipo de investida, para saber como se prevenir e se defender.

Com mais de 25 anos de experiência em cibersegurança, Sandro Süffert ressalta que o problema ocorre em escala global, e o Brasil não está imune. Süffert é fundador e CEO da Apura, empresa brasileira especializada em prevenção, monitoramento e combate a ciberataques. A equipe de especialistas da Apura elaborou uma lista com as formas mais comuns de ocorrências envolvendo as criptomoedas:

1. Phishing, a forma preferida

A forma mais comum continua sendo o phishing, ataque em que o criminoso envia um e-mail, SMS ou mensagem em rede social contendo um link malicioso que, quando clicado, leva a vítima para um site falso. Assim, toda negociação de criptomoedas que essa pessoa realizar no site será enviada para a carteira do criminoso. Portanto, muito cuidado com mensagens que receber. Antes de clicar em qualquer link, certifique-se da veracidade.

2. Perfis falsos

Outra modalidade que tem se tornado bastante comum é a de perfis falsos em redes sociais, se passando por pessoas de destaque no mundo da negociação de criptomoeda. Esses perfis oferecem falsas oportunidades. Um exemplo recorrente: se a vítima depositar certa quantia em criptomoedas na carteira do suposto negociador, receberá o valor dobrado em determinados dias. A pessoa que fizer o depósito, obviamente, jamais receberá a quantia e ainda terá perdido o valor depositado. Caso seja contactado por ofertas assim, não efetue depósito algum.

3. Aplicativos falsos

Há também aplicativos falsos, para dispositivos móveis, que remetem a lojas alternativas de aplicativos. Esses aplicativos falsos se passam pelos legítimos de empresas respeitáveis no ramo das criptomoedas. Porém, quando a vítima instala um deles em seu dispositivo, todas as negociações realizadas por meio do aplicativo falso serão desviadas para o criminoso responsável. Às vezes, até mesmo um aplicativo com todos os requisitos de legitimidade é usado para desviar recursos. Em março, um aplicativo encontrado na App Store da Apple, que supostamente deveria ser utilizado para checar o saldo de contas em Bitcoins em dispositivos da empresa Trezor, foi utilizado para desviar mais de 600 mil dólares de um investidor que baixou o aplicativo acreditando estar seguro. A orientação é baixar aplicativos sempre a partir de lojas oficiais, ou dos sites da própria fornecedora do aplicativo. E mesmo aplicativos de procedência certa só devem ser baixados quando se tiver a certeza da idoneidade dos desenvolvedores, pois muitas vezes eles fazem uso de brechas para enviar aplicativos maliciosos para as lojas oficiais.

4. Uso de malwares

Existem ainda ataques mais sofisticados que envolvem o uso de malwares para realizar o roubo das criptomoedas. Estes malwares são desenvolvidos exclusivamente com esse objetivo. Eles podem atuar de diversas formas: substituindo páginas legítimas que a vítima acessa por versões falsas controladas pelos criminosos; podem trocar endereços para transação copiados de alguma página para a área de transferência por endereços definidos pelos atores; roubar as chaves de acesso das vítimas às carteiras de criptomoedas; podem, inclusive, desviar recursos computacionais do sistema da vítima para minerar criptomoedas sem que ela tenha conhecimento disso.

Um malware recém-descoberto pela empresa Avast foi o HackBoss, que acredita-se já ter faturado mais de 600 mil dólares com o roubo de criptomoedas. Quando o HackBoss é executado, ele busca por endereços de carteiras digitais com criptomoedas. O endereço dessas carteiras é copiado para a área de transferência e quando o malware detecta o endereço de uma outra carteira, substitui, desviando estes recursos para os criminosos. Para evitar cair nessa armadilha, confirme a veracidade de sites e e-mails, desconfiando de mensagens propondo vantagens ou supostamente amigáveis. Em casos suspeitos, nunca forneça senhas e nem outros dados. Ferramentas de proteção em seu dispositivo também ajudam na prevenção.

5. Sequestro de dados

Além do roubo de criptomoedas, outra frente de ataques envolvendo moedas digitais ocorre quando o criminoso exige o pagamento de dados sequestrados por meio de criptomoedas propriamente ditas. Segundo a equipe da Apura, a exigência de pagamento de resgate de dados sequestrados por meio de criptomoedas é uma estratégia para evitar a rastreabilidade e, por consequência, dificultar a identificação dos promotores dos ciberataques.

Sandro Süffert ressalva que o fato de as criptomoedas figurarem como ferramenta ou alvo cada vez mais preferidos por cibercriminosos não significa que as moedas digitais sejam, por natureza, vulneráveis. O que ocorre é o constante movimento de sofisticação dos ciberataques – os criminosos regularmente procuram alternativas para pôr em prática suas investidas.

O especialista cita o exemplo do Pix, sistema adotado pelo Banco Central do Brasil, de reconhecida segurança e eficiência. Justamente pela confiabilidade, atrai usuários e, por tabela, faz os cibercriminosos identificarem um nicho potencial para suas ações.

Por isso, reforça Süffert, a segurança cibernética deve envolver participação, cooperação e envolvimento de vários atores sociais – governos, empresas e sociedade de uma forma geral. “Precisamos desenvolver uma cultura de cibersegurança”, assinala.

MAIS INFORMAÇÕES

Gostou de “Roubo de criptomoedas: como se defender?“?

Roubo de criptomoedas: como se defender?
Sandro Suffert, da Apura S/A. Foto: Divulgação

Assine nossa Newsletter e receba nossas publicações em seu email, fique ligado nas notícias e matérias do jornal assim que estiverem online. Então, aproveite e leia as Últimas Notícias. Conheça nosso parceiro Dica App do Dia.

Junte-se a 3.111 outros assinantes

Golpes antigos que voltaram a crescer com o PIX

William Ribeiro, CEO do Dinheiro Com Você, alerta sobre golpes antigos que voltaram a crescer com o PIX. Educador financeiro afirma que a possibilidade da transferência instantânea, que acaba de ganhar um limite ainda maior aprovado pelo Banco Central, fez crescer as tentativas de golpes. Ele explica como as pessoas mal-intencionadas agem e dá dicas de como se proteger

Não importa se você se considera uma pessoa muito bem-informada e blindada contra qualquer tentativa de golpes. Na verdade, o efeito é justamente o contrário: isso pode lhe deixar ainda mais vulnerável, devido a uma falsa sensação segurança.

É o que alerta William Ribeiro, educador financeiro e CEO do Dinheiro Com Você, que ensina algumas maneiras de evitar quatro golpes que têm crescido proporcionalmente ao aumento da popularidade do Pix.

“Ao mesmo tempo em que o Pix tem se tornado extremamente comum nas transações e pagamentos dos brasileiros, é uma tecnologia ainda nova. Isso significa que nem todo mundo entende e domina o seu funcionamento.

Eis então a grande janela de oportunidade para os bandidos e o motivo de tanta gente estar caindo em golpes antigos. São histórias que parecem impossíveis de acreditar, mas que a falta de atenção, a correria do cotidiano ou mesmo a ganância, acabam colaborando para que a gente forneça nossas informações pessoais e financeiras a quem não deveríamos”, revela Ribeiro.

Golpe 1: Whatsapp clonado

O educador financeiro tem alertado em seu canal no YouTube que escolher o número do telefone celular como chave para o Pix não é uma boa ideia. “Qualquer pessoa que tenha acesso ao seu número de celular (capturado em um grupo de Whatsapp, por exemplo) pode simular uma transferência via Pix. E pronto: passa a ter acesso ao seu nome completo e o banco no qual você tem conta”.

E ele explica qual é o risco do acesso a essas informações. “Sabendo que você é correntista de um determinado banco, o trabalho do golpista é facilitado. Ele pode fazer o contato, já informando previamente algumas informações bancárias suas. Em alguns casos, pode ligar inclusive de um número clonado do próprio banco em que você tem conta, dizendo que foram identificadas transações suspeitas no seu extrato”.

E é nessa hora, quando ele conquista sua atenção e a sua confiança, que vai dar a cartada final. “O falso funcionário do banco dirá que, por motivos de segurança, você receberá um código por SMS no seu celular. Na maioria dos casos, se trata do código do Whatsapp, com o qual o golpista poderá “sequestrar” a sua conta no aplicativo, podendo se passar por você para aplicar golpes em seus amigos e familiares”, explica.

– Como se proteger

Para evitar esse tipo de problema, Ribeiro lembra que você deve habilitar a autenticação em duas etapas criando um “pin”, como se fosse uma segunda camada de segurança, uma senha com seis números. “Se alguém tentar clonar seu Whatsapp, mesmo que tenha acesso ao código que recebeu pelo SMS, sem o pin, ele não vai conseguir”.

Golpe 2: Whatsapp falso

Já que muitas vezes o golpista não consegue roubar o acesso ao seu Whatsapp, eles foram além: que tal criar uma nova conta, também se passando por você? Neste caso, é criada uma conta com um número diferente, porém, utilizando uma foto sua (que ele consegue facilmente em qualquer rede social).

A partir de então, ele segue o mesmo script para aplicar golpes: entra em contato com amigos e familiares, pedindo dinheiro por meio de transferências pelo Pix, informando uma chave ou enviando um QR Code.

– Como se proteger:

“Se algum conhecido entrar em contato de um jeito estranho, contando uma história qualquer, dizendo estar precisando de dinheiro, fique atento! O melhor é entrar em contato com a pessoa por uma linha de telefone que não seja via Whatsapp para confirmar se o contato foi feito por ela mesma.”

Ribeiro ainda explica porque apenas confirmar que o número do celular está correto não é uma forma segura de proteção. “Se você confirmou que o telefone que entrou em contato com você é realmente da pessoa, lembre-se, ela pode estar sendo vítima do golpe 1, com seu Whatsapp sendo clonado. Por isso, em todos os casos, procure sempre fazer contato com a pessoa por telefone”.

Golpe 3: Falso funcionário do banco

Nessa modalidade, o golpista também entra em contato com você, fingindo ser um funcionário do banco. No entanto, ao contrário do primeiro golpe que Ribeiro comentou, neste caso ele não está interessado em clonar o seu Whatsapp.

“Dessa vez, ele vai te dizer que entrou em contato para lhe ajudar a cadastrar ou a confirmar a sua chave Pix na instituição em que você tem conta. E eles podem ser tão convincentes a ponto de até colocar uma gravação ao fundo, como se fosse a movimentação de uma operação de telemarketing, com pessoas falando e digitando. Mais uma vez, ele conquistou sua atenção e sua confiança e vai pedir para fazerem um teste que envolve o envio de dinheiro. E se isso acontecer com você, saiba que esse valor você nunca mais verá de volta”, reforça o educador financeiro.

– Como se proteger:

Este é um procedimento que não existe em nenhuma instituição bancária. “Pode ter certeza, funcionário de banco nenhum liga para você para resolver qualquer problema de Pix. Nessa situação, é só ficar atento em caso de um contato como esse que solicite suas informações pessoais. Desconfie e nunca faça qualquer transferência para quem não conhece”.

Golpe 4: Bug no Pix

Dessa vez, o golpista consegue enganar principalmente as pessoas mais gananciosas. “Ao serem apresentadas a uma possível chance de dinheiro fácil, pessoas nesse perfil se tornam uma isca fácil, afinal a atenção é direcionada apenas ao objetivo final, o dinheiro, sem prestar atenção que o caminho até lá é um tanto quanto suspeito”.

Ribeiro explica como funciona. “Você recebe um contato, uma mensagem por Whatsapp ou um e-mail, dizendo que naquele momento ocorreu um bug no Pix. Alguém teria percebido que, ao fazer uma transferência, o dinheiro voltaria em dobro para a sua conta. Essa pessoa fictícia, muito “gentilmente”, resolve passar a dica para frente para que todo mundo, assim como ele, tenha a oportunidade de lucrar com esse problema técnico”.

– Como se proteger:

A solução para este problema é muito simples: “não existe dinheiro fácil e nem mágica, desconfie sempre”.

Engenharia social

Essa metodologia que os golpistas usam para nos convencer já tem até um nome, chama-se “engenharia social”. “Trata-se da habilidade de conseguir informações confidenciais por meio de técnicas de persuasão. Eles usam isso para conseguir que você forneça os seus dados ou para pedir que seus contatos enviem dinheiro”.

E o educador financeiro destaca que, pelo jeito, “eles ficam cada vez melhores nisso, afinal, o número de golpes só cresce porque eles encontram quem dá oportunidade de ser enganado.  Além disso, uma outra forma de não ser passado para trás é sempre estar atento ao nome completo e dados bancários da pessoa para quem está fazendo a transferência. Ao colocar a chave no aplicativo ou site do banco, todas essas informações são apresentadas na tela”.

Sobre William Ribeiro

William Ribeiro é CEO do Dinheiro Com Você, empresa de consultoria, treinamento e Educação Financeira, focada em finanças pessoais e investimentos, além de uma produtora de conteúdo multiplataforma da qual faz parte um dos maiores e mais importantes canais de educação financeira do pais: www.youtube.com/dinheirocomvoce.

Possui título de MBA em Gestão Empresarial pela Fundação Getúlio Vargas (FGV) e é graduado em Engenharia da Computação pelo Instituto Nacional de Telecomunicações (Inatel). Sua experiência de mais de 20 anos no empreendedorismo lhe trouxe a independência financeira e o consequente maior propósito da sua vida: levar seu conhecimento adiante, ajudando milhares de pessoas a terem uma vida financeira mais próspera.

Além de especialista no mercado financeiro, William também é autor e prepara o lançamento de seu primeiro livro (pela Alta Books) sobre o tema, uma publicação alinhada com o propósito de todo o seu trabalho que é desmistificar os investimentos no Brasil.

Gostou da nossa matéria “Golpes antigos que voltaram a crescer com o PIX“?

Golpes antigos que voltaram a crescer com o PIX
William Ribeiro, educador financeiro e CEO do Dinheiro Com Você
Foto: Divulgação

Assine nossa Newsletter e receba nossas publicações em seu email, fique ligado nas notícias e matérias do jornal assim que estiverem online. Então, aproveite e leia Notícias. Conheça nosso parceiro Dica App do Dia.

Junte-se a 3.111 outros assinantes

PF investiga venda de moedas falsas em redes sociais

Operação Zero Lastro prende um homem em flagrante

Nesta terça-feira, 10/11, a Polícia Federal deflagrou a Operação Zero Lastro, visando desarticular uma organização criminosa que anunciava a venda de notas falsas em redes sociais.

As investigações, que tiveram início em fevereiro de 2020, identificaram que os criminosos se aproveitaram da pandemia COVID-19 para ampliar o rol de crimes cometidos. Entre as fraudes cometidas estão: falsificação e venda de moeda falsa, fraudes no auxílio emergencial, fraudes no FGTS, além da falsificação de documentos, diplomas e cartões de crédito.

Os mandados de busca e apreensão, no bairro da Penha, Zona Norte do Rio. Durante as buscas, os policiais federais encontraram armazenados em computador uma lista contendo nomes e demais dados pessoais das vítimas (como CPF e RG), que eram vendidos pela internet para a prática das diversas fraudes.

O alvo da operação foi preso em flagrante e conduzido à Superintendência da PF no Rio de Janeiro, para a lavratura do auto de prisão. O material apreendido, dentre eles, um computador, dois celulares, dinheiro, documentos e cartões de crédito falsos, além de máquinas de cartões, serão encaminhados à perícia técnica.

O preso foi indiciado e responderá pelos crimes de estelionato qualificado, moeda falsa e associação criminosa, previstos respectivamente nos art. 171, parág. 3º, art. 289 e art. 288 do Código Penal. As penas previstas podem chegar até 12 anos de reclusão.

O nome da operação – Zero Lastro – faz alusão à ausência de valor das notas e documentos fraudados.

PF investiga atuação de falsos policiais federais em Campinas

Polícia Federal cumpre mandados de busca e apreensão para investigar pessoas que se apresentavam como policiais.

A Polícia Federal cumpre na manhã desta sexta-feira (6/11) três mandados de busca e apreensão, para colher provas em duas investigações sobre fatos envolvendo pessoas que, de acordo com o que já foi apurado, têm se apresentado na região de Campinas falsamente como policiais federais.

Policiais deram cumprimento a três mandados de busca e apreensão: dois, na cidade de Cabreúva; e um, na cidade de Socorro, ambas no estado de São Paulo.

Uma das investigações foi iniciada em setembro a partir do registro, por parte de servidores públicos federais, de que uma pessoa se apresentou como policial federal dentro da repartição. A outra investigação começou em junho a partir da identificação de fotos publicadas em redes sociais por pessoa utilizando indevidamente uniforme da Polícia Federal.

Em maio deste ano, outra investigação identificou uma mulher que também passou a identificar-se falsamente como policial federal, para obter vantagens indevidas, chegando a publicar fotos (selfies) em redes sociais tendo uma delegacia da Polícia Federal como cenário, além de outras usando vestimentas com símbolos da Polícia Federal. Também foi constatado o uso de adesivo da Polícia Federal em seu veículo.

Os investigados responderão pelo crime de uso indevido de imagem pública, cuja pena pode chegar a seis anos de prisão, sem prejuízo das penas previstas para os crimes relacionados às vantagens indevidas recebidas que venham a ser comprovadas.