Os smartphones se tornaram computadores de mão, o poder computacional deles é maior do que o que a NASA utilizou para levar o homem à lua. Apesar disso, os smartphones são um caminhão de vulnerabilidades porque todos os nossos acessos migraram do computador para ele.

Proteção em celulares

Configurações básicas de segurança do celular:

• Atualização de sistema e dos aplicativos – sempre atualize o sistema operacional com no máximo 1 semana após a atualização ficar disponível.

Você recebe as últimas atualizações de segurança contra as vulnerabilidades que os cibercriminosos encontram no sistema. A mesma coisa para os Apps da loja que recebem as atualizações para serem instaladas.

• Senhas e Biometria – sempre tenha habilitadas no smartphone.
• Bloqueio de Tela Seguro – deixe as notificações de tela bloqueada desabilitadas para suas redes sociais.
• Gerenciadores de Senhas – aplicativo LastPass para celular.

Como os celulares viraram uma extensão do nosso corpo e estamos com eles em todos os lugares por onde passamos: evite acessar bancos em local público como transporte de massa ou locais abertos que sempre tem gente olhando para ver suas informações sem você perceber.

Segurança contra ataques e golpes

Phishing via SMS e WhatsApp – tentativa de enganar o usuário para que forneça informações sensíveis como senhas, códigos de verificação e dados bancários. Chamamos isso de engenharia social que é um método que os criminosos usam para te ludibriar.

Entre os exemplos estão os SMS falsos de bancos solicitando atualização de dados – faça isso somente no aplicativo do banco.

Também mensagens no WhatsApp de falsos atendentes de empresas pedindo códigos de verificação que é o duplo fator de autenticação – fazem até ligação para você para conseguir essas informações.

As vulnerabilidades do SMS, Bluetooth e WI-FI

Não utilize a dupla autenticação por SMS. O SMS não é criptografado e facilmente você pode ser interceptado em redes móveis. Os criminosos simplesmente podem clonar o número de usuário e receber todos os seus SMS.

Os criminosos também enviam golpes de Smishing solicitando códigos de verificação enviados por SMS, comprometendo contas bancárias e redes sociais.

Eles enviam um link pedindo atualização de dados do banco que te direciona para um site falso onde ao preencher as informações elas vão para um banco de dados do cibercriminoso e fazem um estrago na sua conta bancária.

Golpe da troca de chip (Sim Swap)

Criminosos podem entrar em contato com a operadora da vítima, fingindo ser o dono da linha e solicitar um novo chip. Quando o golpe é bem sucedido, o invasor passa a receber todos os SMSs da vítima, incluindo códigos de autenticação.

Esse golpe tem sido amplamente usado para sequestrar contas bancárias e de redes sociais. Às vezes tem funcionários da própria operadora que facilitam essa prática de acontecer. Um chip virtual cai no mesmo problema de poder sofrer Sim Swap.

Como evitar o Sim Swap: ligar para a operadora e dizer – eu sei que vocês tem um método de segurança e eu quero adicionar um código para qualquer alteração que seja feita na minha conta tem que dizer esse código. Eles vão criar esse código com você.

Códigos de autenticação roubados por Malware

Existem tantas pragas digitais que existe até um alfabeto para classificar os tipos de vírus. Alguns aplicativos maliciosos instalados no celular podem ler mensagens SMS e capturar códigos de autenticação.

Isso facilita o acesso não autorizado à contas protegidas apenas por autenticação via SMS sendo a mais importante os apps de bancos e logo em seguida os apps de redes sociais.

Não existe barreiras para evitar de alguém interceptar as mensagem de SMS que você recebe, se apps autênticos e seguros do seu celular já conseguem pegar o código de validação que chega no seu SMS sem você precisar fazer nada imagine então um app malicioso que você instalou. Ele vai fazer a mesma coisa de roubar o código de autenticação.

Não coloque seus autenticadores por SMS jamais.

Falsos alertas e links maliciosos por SMS

Mensagens falsas de SMS tentam enganar você com frases do tipo:

• “Detectamos um acesso suspeito à sua conta! Clique no link para recuperar seu acesso.”
• “Seu banco precisa da sua confirmação para evitar o bloqueio da conta!“

Esses links vão te direcionar para uma página phishing que vão capturar seus dados para fazer sabe-se lá o que;

Entenda que se tem duas coisas que os bancos sabem fazer é primeiro ganhar dinheiro e segundo investir e aplicar pesado em cibersegurança. Eles não vão mandar mensagens de notificação assim por SMS, vão fazer pelo app. Também não vão te pedir para ligar no 0800 de uma central eletrônica falsa. Os golpistas para roubar seus dados por telefone usando engenharia social que explora os instintos humanos como curiosidade, medo, angústia, adrenalina.

A Solução: Configurar Autenticadores e VPN no Smartphone

Para ser o seu duplo fator de autenticação sempre use apps como Google Authenticator, Microsoft Authenticator e Authy. Tudo o que você puder colocar de duplo fator de autenticação deve passar por esses aplicativos.

Esses apps usam criptografia para gerar códigos aleatórios de uma sequência geralmente de 6 números que expiram em segundos (também chamado de token) e não dependem de SMS, reduzindo muito o risco de ataques como Sim Swap e interceptação de mensagens.

São mais seguros porque os códigos são gerados localmente no dispositivo, sem depender de mensagens externas e não podem ser interceptados por crackers diferente dos SMS.

Eles acabam sendo mais confiáveis porque funcionam offline e sem necessidade de conexão com a operadora. Também são uma proteção extra contra invasores que sabem o seu login e senha porque sem o código do autenticador ele não conseguirá acessar a conta e muito menos conseguir configurar um novo autenticador na sua conta.

Dificultamos a vida dos crackers o máximo possível com o autenticador que é seu grande amigo na defesa das suas contas online (não passe esse código para ninguém).

Dica Extra: Salve em local seguro o código de recuperação do autenticador para evitar o bloqueio de contas em caso de troca de celular.

Revisar Permissões de Aplicativos

Existem vários Apps que tem permissões excessivas acessando mais dados do que deveriam.

Aplicativos falsos imitando bancos ou serviços populares. Por que dar permissão de câmera, microfone, localização, com quem namora, nome do filho. Não dê permissões aos aplicativos!

Como se proteger?

Para evitar os Aplicativos Maliciosos você deve Baixar apps apenas de lojas oficiais (Play Store e App Store) e revisar permissões concedidas aos Apps.

• Como revisar e revogar as permissões desnecessárias de Apps?

Vá nas configurações do seu celular e procure por privacidade e verifique os apps que tem permissões a sua câmera, microfone etc e vá tirando as permissões dos que não fazem sentido ter acesso aquela função.

Golpe do falso suporte técnico e engenharia social

Hackers fingem ser suporte técnico para obter informações sensíveis.

Para evitar nunca compartilhe informações pessoais por telefone ou e-mail sem confirmação oficial e sempre desconfie de chamadas e mensagens que exigem ações urgentes.

E-mail Phishing

Email recebido em inglês, primeiro olhe o remetente principalmente o que vem depois do @ porque geralmente são E-mail gigantes. Pedem para atualizar sua conta clicando num link. Verifique essa URL pelo site Virus Total: https://www.virustotal.com/gui/home/upload

O correto mesmo é você nunca clicar em nenhum link e bloquear e denunciar esse e-mail como spam na hora.

Bluetooth é seguro?

O Bluetooth é uma tecnologia sem fio usada para conectar dispositivos próximos, como fones, smartwhatches e carros.

Acontece que ele abre várias portas para invasões no seu dispositivo podendo ser um risco por tornar seu dispositivo vulnerável. Isso acontece caso ele não seja usado corretamente.

Principais ameaças do Bluetooth

1 – Bluebugging – Hackers exploram vulnerabilidades no Bluetooth para acessar chamadas e mensagens.

2 – Bluesnarfing – Roubo de arquivos e contatos do celular por meio de uma conexão Bluetooth ativa.

3 – Bluejacking – Envio de mensagens não solicitadas via Bluetooth para enganar.

O Bluetooth está o tempo todo buscando dispositivos próximos que possam se conectar a ele. Para se proteger você deve:

• Desativar o Bluetooth quando não estiver em uso.
• Evitar conexões desconhecidas e rejeitar pareamento suspeitos.
• Configurar o Bluetooth no modo “não detectável” sempre que possível.
• Não aceitar arquivos enviados por desconhecidos via Bluetooth.
• Usar fones de ouvido e dispositivos confiáveis e com autenticação.

Rede sem fio – Wi-Fi é um mar de vulnerabilidades.

O Wi-Fi quando está sempre ativo oferece riscos e o ataque de Pineapple. O que acontece quando você mantém o Wi-Fi ativado?

• Seu celular está sempre buscando redes conhecidas. Enviando nomes de redes Wi-Fi já conectadas no passado.
• Hackers podem criar um ponto de acesso falso com um nome familiar para enganar o dispositivo e conectá-lo automaticamente.
• Redes Wi-Fi abertas, públicas e gratuitas são alvos fáceis para interceptação de dados e você nem sabe que se conectou a ela.

O ataque Pineapple (abacaxi)

Acontece quando um dispositivo chamado Wi-Fi Pineapple cria redes falsas e intercepta o tráfego de usuários próximos.

Vamos supor que você tem várias redes sem fio conhecidas salvas no seu celular da sua casa e do trabalho. Esse aparelho tem acesso a internet como um roteador e simula essas redes se passando por elas e o seu celular acaba se conectando – imita uma rede já conhecida como “Wi-Fi Café”, “Rede da Faculdade, “Airport Free Wi-Fi”.

Ele usa a sua conexão automaticamente e enquanto você passa por ele o hacker atacante vai ter acesso a todo o tráfego de internet podendo capturar senhas, logins, dados bancários e mensagens sem que a vítima perceba.

Como se proteger?

• Desativar o Wi-Fi quando não estiver em uso.
• Excluir Redes Wi-Fi antigas e desconhecidas do celular.
• Nunca acessar contas bancárias ou inserir senhas em redes públicas.
• Se precisar redes públicas Wi-Fi como no transporte público no ônibus ou metrô faça por VPN para criptografar a conexão.

Exemplo de como se conectar numa VPN:

Use VPNs conhecidas porque a VPN nada mais é que um túnel onde você se conecta de uma ponta a outra e dentro dele passa informações que são criptografadas e ninguém consegue interceptar a conexão de internet e oculta o endereço IP do usuário dos sites visitados.

Existem VPNs que roubam os seus dados por isso que você tem que saber onde você está fechando a VPN – VPN é para usar quando quiser mas você não pode usar qualquer uma.

VPN do Antivírus Kaspersky – você usa o serviço gratuito mas pode também ter o serviço pago para poder escolher qual país quer acessar pela VPN. Então os servidores vão achar que você está com a localização em outro país quando na verdade está aqui no Brasil.

Tem a opção de “escolher o servidor mais rápido”. Fazendo isso aí sim você pode se conectar numa rede Wi-Fi pública como a do Hospital. O iPhone já está vindo com VPN por padrão disponível desde a última atualização do sistema e você pode fechar a conexão sem problemas.

Vários bancos não permitem acessar a conta enquanto o dispositivo estiver usando VPN por questões de segurança o que é bom dado que o certo é você nem entrar numa conta de banco enquanto estiver conectado numa rede pública Wi-Fi.

Geralmente a VPN gratuita vai ter várias limitações de velocidade na rede e limite de uso diário muito baixo de 200MB/dia o que só dá para você fazer pesquisas no Google e mais nada. Uma outra opção que recomendo é a Proton VPN que não tem limite de dados e respeita a sua privacidade.

Conclusão

A melhor segurança que existe hoje em dia é você mudar o seu comportamento perante a tecnologia. Podemos chamar isso de disciplina tecnológica:

• Mantenha sempre os sistemas operacionais do computador e smartphones atualizados.
• Cuidado quando for entrar em sites.
• Cuidado onde você clicar. O certo é nunca clicar em link algum.
• Cuidado com os SMS que você recebe, não clicar em links de forma alguma.
• Cuidado com as informações que chegam para você, desconfie sempre. Seja cético por natureza.

Pesquisar

Pesquisar