Siga o @canaltech no instagram
Matérias Especiais 99 / 105 vídeos

WhatsApp, redes sociais e propagandas falsas ajudam cibercriminosos

08:42 | Por Wellington Arruda | 23 de Janeiro de 2019

2018 foi um ano com eventos, o que de certa forma gerou uma massividade de interações em redes sociais, aplicativos de mensagens e afins. Mas, claro, os últimos 12 meses também nos revelaram várias intrigas, como grandes vazamentos de dados e novas leis para tentar regular o que acontece no mundo digital.

O mundo das ameaças digitais também seguiu firme, e forte. No país, os exemplos da C&A, Banco Inter, Sky e outros revelam que ainda há fragilidade na maneira como os dados dos clientes são armazenados/criptografados. Ainda pensando em escala global, nomes como Facebook e Google+ (que fecha as portas em 2019) foram citados, mas não com tanta positividade em relação a situação atual.

No ano passado, nós chegamos a comentar como o WhatsApp é usado como ferramenta primária para espalhar o popular phishing. O phishing, no caso, que tenta se apropriar de informações sigilosas dos usuários, tem sido um grande problema de ser contornado no Brasil. Para 2019, a previsão dos especialistas consultados pelo Canaltech é de que as coisas sejam tão ruim quanto nos outros anos.

Esse tipo de ameaça nos faz perceber que é preciso conscientização. O phishing, aliado aos dados vazados e compilados na internet, pode levar a ataques de engenharia social mais pesados.

Segundo dados (de julho a setembro/2018) da dfndr lab, foram identificados 43,8 milhões de ataques de phishing apenas no terceiro trimestre de 2018. Para efeito de comparação, entretanto, isso é menos do que nos primeiro e segundo trimestres do mesmo ano, onde foram registrados 56,9 milhões e 63,8 milhões de ataques, respectivamente.

“Quando a gente fala do Brasil, principalmente, a gente tem a questão do cibercriminoso ser muito contextual e principalmente se aproveitar de grandes eventos. Então a gente teve muito ataque envolvendo a Copa do Mundo, que é uma temática muito atrativa para o cibercriminoso”, diz Emilio Simioni, diretor do dfndr lab, acrescentando também que, em novembro, a Black Friday também impulsionou golpes do tipo.

Ainda com dados do instituto, que realizou pesquisa com 35 mil brasileiros, 85% afirmaram ter recebido “correntes por WhatsApp ou Facebook Messenger” de supostas tentativas de golpes, e destes 64,6% “foram impactados por informações falsas”.

No terceiro trimestre de 2018, o laboratório relata que o phishing por apps de mensagens foi responsável por 38,2%, via publicidade suspeita com 29,5%, e 11% via notícias falsas. Sobre o último, foi identificado um aumento de 7% (4,4 milhões para 4,8 milhões) entre o segundo e terceiro trimestre nas notícias falsas.

Os três assuntos mais adorados pelas chamadas fake news são política, saúde e “dinheiro fácil”, enquanto que os três principais meios para disseminá-las são o WhatsApp, os próprios navegadores e o Facebook.

Ok, ataques de phishing estão longe de acabar, e os vazamentos de dados recentes só estimulam a propagação desse tipo de ataque. Os dados das vítimas, nestes casos, podem ser comercializados de cibercriminoso para cibercriminoso, inclusive na deep web. Essa coletânea de informações pessoais também pode fazer com que os criminosos possam pedir empréstimos, abrir contas digitais e mais usando os seus dados.

Como explicado pelo analista Sênior da Kaspersky Fabio Assolini, golpes assim são mais simples porque necessitam de pouco investimento para levantar uma página falsa, mas que também são imediatistas, ou seja, funcionam por pouco tempo, embora seja o suficiente para coletar credenciais de pessoas e empresas.

Ele também faz o alerta de que os atacantes podem registrar domínios com caracteres Unicode, o que pode fazer com que as páginas tenha aparência autêntica. Neste caso, é extremamente recomendado ter atenção na URL e na página acessada.

Como exemplo, o analista explica que os ataques de phishing podem se camuflar em um e-mail falso pedindo para “cadastrar a sua conta”, ou um SMS com um link, ou numa propaganda falsa no Facebook, Instagram, Twitter ou outras redes sociais. “O intuito do ataque de phishing é roubar credenciais. Só isso. Ele não quer instalar instalar um vírus no seu computador, no seu smartphone, nada. Ele quer roubar suas senhas”, explica.

E aí, o ataque vai aumentando de dificuldade quando, por exemplo, quando o criminoso redireciona a vítima para um 'site de phishing' sem necessariamente ter que mandar um e-mail ou SMS à esta pessoa. Ele faz o ataque ao roteador.

Aqui vão alguns exemplos de golpes na internet que divulgamos nos últimos meses:

Casos recentes também envolvem o WhatsApp. O mensageiro já é usado por empresas reais, mas ele também é usado para disseminar golpes. Aqui no Brasil, cerca de 120 milhões de pessoas usam o aplicativo, o que explica, em partes, a massividade de golpes que acontecem na plataforma. A gente, inclusive, publicou um vídeo sobre isso no ano passado, e o próprio WhatsApp já criou um infográfico para alertar seus usuários a não cair em golpes na plataforma.

O André Munhoz, Country Manager da Avast Brasil, nos falou um pouco sobre as preocupações que as pessoas precisam ter em atualizar seus sistemas, mas também aplicativos e programas. Essa é uma prática mais negligenciada em computadores, mas que é importante para fechar brechas. No caso da proteção dos dados, o André foi direto:

Sempre verifique quem está pedindo aquela informação para você em caso de dúvida tem que ligar para empresa que está pedindo os seus dados e verifique se aquilo lá é real mesmo. Uma última dica é evitar abrir e-mails desconhecidos e principalmente responder os seus dados pessoais. Tome cuidado com isso.

O futuro não parece ser um dos mais brilhantes

Todas as três fontes consultadas para este material citaram o mesmo ponto: 2019 pode ser um ano ainda pior, considerando os vazamentos de dados e ataques de phishing. Com tantos dados pessoais em mãos, os cibercriminosos podem utilizar técnicas direcionadas para aplicar os golpes, ou mesmo usar os dados para outras práticas.

Um dos problemas citados por Emilio Simioni, por exemplo, é quando “as recebem um e-mail ou contato direto por telefone já com seus dados sendo informados”, o que acaba dando veracidade ao golpe. “E, no ano que vem, a gente pode ainda ver piorar muito mais essa situação. [...] Esse foi o ano dos vazamentos de dados. E a partir do momento que eles caem nas mãos do cibercriminoso, seja na web ou na deep web, dificilmente eles ‘somem’ do ar”.

Outro ponto importante citado pela Avast é que, em 2018, uma das grandes ameaças foram os trojans bancários. “Eles cresceram cerca de 150% em comparação ao ano de 2017”, disse o executivo, reafirmando que este tipo de ameaça é desenvolvida para “conseguir, de alguma forma, o acesso às contas bancárias de cidadãos comuns.”

Já sobre notícias falsas, André Munhoz relatou: “Verifique a autenticidade daquela notícia. Verifique qual é a fonte por trás do que você está compartilhando e se as informações são de algum site desconhecido [...] não custa nada, e hoje em dia você faz buscas no Google que não demoram 5 segundos, né”.

A propósito, um ponto em que todos (entrevistados e entrevistador) concordam, é que a massividade de dados vazados em 2018 podem contribuir para ataques de engenharia social e muitos outros em 2019 e nos anos seguintes. E, como se já não fosse o suficiente, logo no início do ano tivemos o vazamento de mais de 700 milhões de contas de e-mail.

Na tentativa de manter a integridade de seus dados, faça uma verificação (se já não fez) de senhas e tente sempre usar combinações diferentes para logins diferentes. Se você já é do tipo que se atrapalha, existem recursos em navegadores (no Android e iOS também) e/ou aplicativos que gerenciam as suas senhas. É claramente mais seguro do que o velho ‘12345’.

Criar contas em páginas duvidosas, com informações pessoais, também pode não ser uma boa escolha. Mas, se por acaso, você já o fez, tente ir pelo caminho mais simples: se criou alguma conta usando redes sociais (Twitter, Facebook), tente revogar o acesso e alterar as senhas. É chato, eu sei, mas é um caminho.

O mundo digital não é um espaço onde você pode a qualquer momento ser hackeado e ter suas informações vazadas. É, então, um espaço em que há riscos e a possibilidade de ter a integridade de suas contas de informações jogada no limbo. Tecnologia aliada à conscientização e educação pode dar uma boa reduzida nesses problemas, ainda que as previsões não sejam as melhores.

Gostou desse vídeo?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.