No ramo da cibersegurança e da proteção de dados de seus usuários, o Brasil encontra-se em destaque por motivos problemáticos. Conforme revelam diversas pesquisas, o país está sempre entre os maiores alvos de ciberataques no mundo, muitas vezes ficando atrás apenas dos Estados Unidos.
Um vetor dessa estatística que se mostra motivo de preocupação é o setor bancário. O Brasil é um país marcado pela presença de diversos malwares que visam obter credenciais bancárias de usuários desavisados. “Além de estar amparado por soluções de cibersegurança, é fundamental para usuários e empresas terem uma noção de boas práticas de proteção de seus dados”, afirma Leonardo Camata, especialista em cibersegurança da ISH Tecnologia.
“Por mais desagradável que seja admitir isso, enganar um ser humano é muito mais fácil que enganar uma máquina”, comenta Camata. Exatamente por isso, muitos dos golpes corriqueiros não envolvem softwares maliciosos; ao invés disso, buscam enganar a vítima para que ela forneça as informações necessárias para que outros acessam sua conta. E isso recebe o nome de Engenharia Social.
O especialista lista dicas para evitar cair nas armadilhas de atacantes que visam o vazamento de dados bancários por meio destas técnicas:
SMS e outras mensagens de texto – Embora em desuso para comunicação interpessoal, as mensagens de texto ainda são amplamente utilizadas para fins legítimos. Instituições financeiras, por exemplo, encaminham avisos sobre compras suspeitas, saldo e pagamento de contas por este meio. Como o acesso a esse recurso é viável para qualquer aparelho celular, é o vetor mais simples de ataque para criminosos. Eles se valem do conforto de nós, usuários: já estamos acostumados com mensagens legítimas de nosso banco por esse canal, então não estranhamos quando nos deparamos com suas mensagens forjadas.
Aqui, existe uma dica de ouro: NUNCA clique em links enviados para você por instituições bancárias, mesmo em comunicações legítimas. O risco de clicar é sempre maior do que o tempo perdido por adotar um método de checagem alternativo (como conferir manualmente a informação no seu aplicativo, site ou via ligação telefônica, por exemplo).
“Também vale o cuidado redobrado com encurtadores de URL, como bit﹒ly ou t.co”, ressalta Camata. “Elas são utilizadas porque mensagens de texto possuem um limite de caracteres, e também tem a ‘utilidade’ de poderem disfarçar a URL real, que em muitos casos nada tem a ver com o site legítimo de uma instituição.”
E-mails e mensagens de sites – Uma mensagem de e-mail possui diversos campos que podem ser esmiuçados para definir se a correspondência é legítima ou não. Porém essa prática é técnica, logo está além do alcance da população em geral – por esse motivo, mensagens de phishing são tão eficazes em suas tentativas de roubo de dados. “Ao invés de adotar uma abordagem investigativa, o recomendado é adotar uma postura de confiança zero: não acesse conteúdo fornecido por e-mail, não importa o quão legítimo ele pareça”, diz Camata.
E-mails que buscam comprometer as contas bancárias não se apoiam apenas em malware; é comum também o emprego de páginas falsas, geralmente com formulários simples de preenchimento de dados. Aqui, o conteúdo da vítima é enviado por debaixo dos panos para um destino controlado pelo cibercriminoso.
Aplicativos falsos – Devido à adoção em massa de smartphones, o brasileiro costuma interagir com suas atividades financeiras por meio de aplicativos; há um app para acessar seu banco, um app para fazer compras em sua loja digital favorita etc. A abordagem de criminosos para atacar esses canais é similar ao phishing, na medida em que se baseia na arte de enganar o alvo – nesse caso específico, com a criação de aplicativos falsos.
A recomendação geral é sempre tender à desconfiança. Isso também é estendido à fonte dos aplicativos que você instala. Evite side-loading, nome técnico para instalar apps por fora das lojas Play Store e App Store. Se você foi remetido a um site para instalar uma aplicação, busque por ela na loja de aplicativos de seu celular ao invés de baixá-la no domínio em questão.