Bem-vindos a mais um artigo dominical de nossa newsletter!
Hoje falaremos sobre um assunto fundamental em cripto: segurança. Antes de compreender as oportunidades de investimento do setor, é necessário estar ciente dos riscos existentes neste mercado e ficar atento para não cair em golpes online. Um deles é discutido a anos, tratando-se de cibersegurança: phishing.

Hoje, falaremos sobre:

• Phishing e o risco da auto-custódia
• E-mails Phishing
• Scams no Twitter
• Phishing em sites
• Ataques em cartões SIM

Phishing e o risco da auto-custódia

Na semana passada a comunidade cripto foi surpreendida com a notícia de que usuários do Opensea, o maior marketplace de NFTs do mercado, sofreram um ataque de phishing, uma técnica de engenharia social aplicada por golpistas. Estes, conduziram-nos a assinar mensagens com suas wallets, permitindo explorar uma fragilidade da arquitetura do marketplace e transferir NFTs valiosos de suas carteiras. A perda de todos os usuários foi estimada em $3.4 milhões de dólares.

Todos os criptoativos armazenados em sua wallet, sejam eles fungíveis ou não, poderão estar suscetíveis a este tipo de ataque. Diferentemente de ativos tradicionais, as criptos guardadas em hot wallet ou cold wallets são de responsabilidade completa de seus detentores. Infelizmente, muitos utilizam essa vantagem para explorar o desconhecimento ou desatenção dos usuários, para aplicar golpes e lucrarem com o capital extraviado. A custódia dos ativos surge como uma inovação interessante para a sociedade, mas também traz riscos a saúde financeira das informações pessoais e ativos dos usuários.

Por isso, trouxemos algumas dicas para você manter suas senhas, informações pessoais e criptomoedas a salvo.

E-mails Phishing

Os golpistas não precisam saber muito sobre você para encontrar seu e-mail. Os ataques phishing via e-mail podem ser enganadores, porque muitas vezes parecem ser de uma empresa respeitável ou mesmo de alguém que você conhece. Se olhar atentamente para a sua caixa de entrada, haverá alguns sinais que denunciam a intenção maliciosa de um e-mail de phishing.

Sempre que receber um e-mail de uma empresa ou website que lhe peça para confirmar algo, seja a sua palavra-passe de e-mail, um código de dois fatores, ou outra informação pessoal, há algumas coisas que deve perguntar a si mesmo.

• Existem erros gramaticais ou ortográficos? É improvável que uma empresa tenha lançado uma campanha de marketing ou criado mensagens automáticas sem se ater a este tipo de erro. Isto pode ser um sinal óbvio de uma tentativa de phishing.
• De onde veio o e-mail? O endereço de e-mail do remetente deve verificar e ligar o e-mail à empresa. Por exemplo, um e-mail ShapeShift virá de mail@shapeshift.com e nunca deve ser confundido com um endereço de e-mail que possa assemelhar-se muito a este.
• Eles colocaram links? Para onde eles irão te redirecionar? Ao criar uma hyperlink, os vigaristas podem utilizar o texto que quiserem. Mesmo que um hyperlink pareça legítimo, passe o cursor sobre ele para ver se o texto corresponde ao hyperlink fornecido. Se não corresponder ou se o link parecer suspeito, é provável que o conduzam a um website de phishing.
• Estão requerendo informações pessoais? Os golpistas valorizam as informações pessoais acima de tudo, incluindo, mas não só, informações bancárias, endereços, datas importantes, números de segurança social, e números de cartões de crédito. Podem até fingir que estão a fazer perguntas de segurança para proteger as suas contas pessoais! As respostas a este tipo de perguntas podem ajudá-los a adivinhar palavras-passe ou a ter acesso às suas contas. Se uma empresa pedir suas informações pessoais por e-mail, fique atento.

Scams no Twitter

Infelizmente, também há golpistas nas redes sociais. As plataformas sociais mais visadas pelos golpistas são o Twitter e o Telegram. Existem alguns tipos diferentes de golpes que você pode se deparar no Twitter, mas os tipos mais comuns são os golpes baseados em dinheiro, spam de bots, e mensagens diretas.

Como o Twitter está cheio destes hackers, há algumas coisas que você deve considerar sempre que utiliza-lo:

• Nem todos têm boas intenções, especialmente se estão tentando lhe vender alguma coisa. Os negócios legítimos muito provavelmente não deixarão ofertas de vendas em suas DMs. Se alguém lhe enviar um link para a sua caixa de entrada do Twitter, é melhor não clicar nele. Não vale a pena o risco. Peça mais informações ou faça a pesquisa por conta própria.
• As pessoas não lhe enviarão mensagens para lhe dizer que você está numa fotografia ou num vídeo. Esta é uma das mensagens mais comuns que encontrará quando alguém estiver tentando enganá-lo nas redes sociais. O pior de tudo é que, provavelmente, veio de um dos seus amigos! Isto é porque o seu amigo caiu no esquema e clicou no link, o que desencadeia o DM a ser enviado para outros na sua rede. Lembre-se: se alguém tiver um vídeo ou uma imagem com você, apenas irá te marcar ao invés de enviar uma mensagem.
• Marcas legítimas farão publicidade na sua página verificada, e não nos comentários. As marcas verificas no Twitter ganham uma pequena insignia de verificação azul. Se não tiverem a marca de verificação, não são uma página verificada. Procure o nome correto da empresa e a ortografia no nome de usuário que começa com @ para verificar mais a fundo.
  • Caso pareça bom demais para ser verdade, provavelmente é. Evite qualquer pessoa que tente lhe dar dinheiro, seguidores de graça, ou uma forma de enriquecer rapidamente. Provavelmente, eles estão atrás das suas informações pessoais, chaves privadas de suas criptomoedas ou informações do seu cartão de crédito.

A ShapeShift nunca:

Irá lhe pedir para compartilhar as suas chaves privadas de sua carteira - e ponto final.

Requerer o envio de fundos para as nossas carteiras nas redes sociais.

Te oferecer criptomoedas de graça, caso nos envie uma quantidade menor.

Pedir suas informações pessoais sobre meios de comunicação social, em DMs ou por telefone.

Phishing utilizando websites

Os websites também são utilizados para aplicar golpes em usuários e dão muito mais trabalho do que scams no Twitter, porque o golpista tem de replicar perfeitamente o site de uma empresa legítima. Assim que o fazem, tentam ganhar a sua confiança para poderem recolher as suas informações pessoais. Tratando-se de criptomoedas, isto pode ser particularmente perigoso.

Para manter a sua informação e os seus bens em segurança, não se esqueça de verificar os seguintes itens.

• O URL (endereço). Os golpistas tentarão frequentemente fazer com que o URL pareça semelhante ao URL do site que pretendem replicar. Poderá ver que eles irão acrescentar acentos ou utilizar letras que pareçam semelhantes a outras letras. Por exemplo, se o website tiver um "w", o site malicioso poderá usar "v".
• Os seus favoritos. Se estiver utilizando o Google Chrome, coloque nos favoritos a página inicial de cada site que você usa. Assim, quando visitar a página inicial, a estrela à direita do URL deve ser preenchida a azul. Caso contrário, existe a possibilidade de você ter sido vítima de phishing.
• A aparência da página de Internet. Se a aparência for diferente da que está habituado, fique esperto. Os sites frequentemente mudam suas marcas, mas é melhor ter a certeza! Pode até verificar as suas redes sociais para ver se a nova aparência é consistente em todos os canais e para verificar as recentes discussões sobre uma mudança

Ataques em cartões SIM

Os ataques em cartões SIM acontecem quando o usuário ativa a autenticação de dois fatores utilizando mensagens de texto (SMS) e um golpista explora seus dados pessoais para obter esta informação. Mas como eles fazem isso? Bem, por vezes, é tão fácil como um golpista ligar para sua operadora de celular.

Eles convencem a operadora a transferir os seus dados para um novo cartão SIM - que ele controlam. Feito isto, recebem as suas mensagens de texto, tornando muito fácil o acesso à sua conta bancária, às suas contas de redes sociais, e a quaisquer outras carteiras ou contas que possam permitir-lhe verificar os seus logins via SMS.

Se perder subitamente o acesso ao seu celular, contate imediatamente a sua operadora para tentar bloquear novas tentativas de acesso às suas contas.

Fique vigilante e evite ataques

Há várias maneiras de impedir os golpistas de obterem as suas informações pessoais. Para melhor proteger os seus dados, siga estas poucas regras que, no início, podem parecer um pouco trabalhosas, mas, no longo prazo, podem lhe poupar muitas dores de cabeça.

• Marque os sites que você utiliza. Sempre que entrar em um site, torne-o favorito. Isto irá impedir que, ao cometer erros de digitação, entre em sites com endereços errados, o que o ajuda a evitar cair em golpes de sites maliciosos
• Use um gerenciador de senhas como 1Password. Se um scammer tiver acesso a alguns dos seus dados pessoais, como o nome do seu animal de estimação ou a sua data de nascimento, deverá certificar-se de que sua senha não contém esta informação. As senhas mais difíceis de quebrar são geradas por geradores de senhas, mas estas são impossíveis de lembrar. É por isso que deve guardá-las todas num local seguro: um gerenciador de senhas. Elas serão fortes e você também não terá de se lembrar delas.
• Permita a autenticação de dois fatores (2FA), mas não via SMS. Embora muitos serviços lhe permitam ativar o 2FA via mensagem de texto, não o faça! Esta é a forma como os ataques em cartões SIM começam! Infelizmente, alguns sites irão ativá-lo automaticamente via SMS, mas é possível desativá-lo ou alterá-lo para outro método. O melhor método é usar uma forma de hardware 2FA, que se liga à sua porta USB e gera um número usando um software que se associa a ele. Existem também outras opções, como o Google Authenticator ou o Authy.
• Interaja apenas com páginas verificadas. Como mencionado anteriormente, você pode verificar se uma conta é verificada, procurando uma marca de verificação. Se um perfil não for verificado e representar uma marca ou empresa, não comunique-se com eles, mesmo que eles o façam primeiro.
• Não clique em links desconhecidos. Mesmo que o seu amigo ou colega de trabalho lhe envie um link, verifique com eles para ver se realmente o enviaram. Pode verificar perguntando a eles pessoalmente ou por telefone. Se um estranho lhe enviar um link, deve ficar esperto.
• Evite fazer negócios com estranhos online. Se alguém lhe chamar no Reddit, Telegram, ou outras plataformas de mensagens dos meios de comunicação social, não é provável que seja uma pessoa de negócios ou empresa. Faça negócios com pessoas que conhece ou de confiança, e não com estranhos na Internet.

Reporte qualquer atividade suspeita

Agora que sabe como estar mais seguro no mundo online, lembre-se que nem todos estão cientes de que estes scams existem. Mantenha os seus amigos e familiares seguros, lhes ensinando estes métodos e, em última análise, denunciando qualquer comportamento suspeito.

• Se você deparou com um scam no Twitter, pode denunciá-lo diretamente ao Twitter. Saiba mais sobre isto, clicando aqui.
• Para denunciar sites suspeitos ou golpistas a ShapeShift, contate nosso suporte
• Se tiver a infelicidade de se tornar vítima de um ataque em seu cartão SIM, não se esqueça de denunciar isto a sua operadora imediatamente.

Se tiver alguma dúvida sobre a segurança de um site, contate o suporte ou outras contas oficiais e aguarde por uma resposta. Mantenha-se sempre atento quando se trata da sua segurança online. Como dizemos muitas vezes no mundo cripto: Não confie, verifique.

Este foi nosso artigo dominical da semana, falando sobre auto-custódia e segurança de criptomoedas.

Tem alguma dúvida sobre phishing ou outras temas relacionados a segurança ? Ou ideias para melhora-las?

Traga todas elas para o nosso Discord, Twitter e/ou Telegram!

Autor: guiriba, copywriter no LatAm Labs da ShapeShift, pesquisador e degen. Escreve, a priori, sobre DeFi, NFTs and DAOs.

Esse artigo não é um conselho de investimento , mas apenas um boletim informativo com conteúdo estritamente educacional e não é um ou uma solicitação para comprar ou vender quaisquer ativos.