São Paulo, Brasil – Para muitos usuários, o phishing ou o download equivocado de malware são as principais ameaças na Internet contra dados pessoais e profissionais. No entanto, a ESET, empresa líder em detecção proativa de ameaças, alerta que nem sempre o roubo de dados está associado ao uso de tecnologias. Golpistas também utilizam técnicas antigas, como espionar o telefone de uma pessoa por cima do ombro.
"A espionagem de perto é uma modalidade à qual os golpistas costumam recorrer antes mesmo de os smartphones e notebooks chegarem. Basta perguntar a qualquer pessoa que tenha tido o PIN do cartão de crédito ou os dígitos do cartão telefônico roubados. Hoje, as chances de obter dados sigilosos dessa forma são maiores. Nossos estilos de vida, apressados ecom múltiplos dispositivos, são um ímã para golpistas que olham por cima do nosso ombro enquanto inserimos as credenciais de nossa conta bancária ou nosso e-mail", afirma Camilo Gutiérrez Amaya, Chefe do Laboratório de Pesquisa da ESET.
O especialista da ESET, Jake Moore, revelou como conseguiu obter os detalhes de login de contas de serviço on-line de seus amigos, em testes que fez com o consentimento prévio dessas pessoas. Sua pesquisa demonstra como você está exposto a criminosos inteligentes, especialmente em ambientes casuais, como bares, cafés e restaurantes.
1. Snapchat: Em seu primeiro experimento, Jake apostou com um amigo que poderia sequestrar sua conta do Snapchat, mesmo que protegido pela autenticação de dois fatores. Usando o recurso de redefinição de senha, ele inseriu o número de telefone e selecionou a opção para receber uma mensagem com um código de confirmação. Ao simplesmente olhar por cima do ombro de seu amigo, ele conseguiu ler o código na mensagem de confirmação quando ele apareceu na tela inicial, ele foi capaz de assumir o controle total da conta. Até mesmo um segundo código SMS enviado como confirmação foi ignorado pelo titular da conta, mas observado e inserido por Jake assim que a notificação chegou ao seu dispositivo.
Embora um invasor normalmente não saiba o número de telefone de sua vítima, ele provavelmente poderá encontrá-lo on-line a partir de violações de dados divulgados anteriormente ou aproveitando as informações publicamente disponíveis na Internet, incluindo informações postadas nas mídias sociais. Ao ligar para o usuário e fingir ser um funcionário da referida empresa de mídia social, um invasor poderia, teoricamente, enganar o usuário para entregar seu código SMS.
2. PayPal: Em um segundo experimento semelhante, Jake apostou que poderia sequestrar uma das contas bancárias online de seu amigo. Desta vez, ele foi para a página de login do PayPal para solicitar uma redefinição de senha. Conhecendo o e-mail do usuário, ele digitou e selecionou a opção de verificação de segurança via código SMS enviado para seu telefone. Semelhante ao exemplo anterior, Jake foi capaz de observar secretamente no dispositivo de seu parceiro enquanto o código piscava e, dessa forma, ele conseguiu acessar a conta PayPal de seu amigo.
Nesses casos, um invasor precisaria obter o e-mail de uma vítima, seja olhando por cima do ombro ou encontrando essas informações de antemão. Em seguida, ele teria que se aproximar do usuário para entender esse código de confirmação quando ele chegar ao dispositivo da vítima. Em um escritório, na escola, ou um ambiente em que os presentes conhecem algumas informações uns sobre os outros, é o lugar perfeito para esse tipo de golpe. Se um invasor está de olho em uma pessoa que permanece em um lugar público por tempo suficiente, você pode ter certeza de que, em algum momento, ele terá a possibilidade de detectar o seu endereço de e-mail.
De acordo com a ESET, a primeira coisa que deve ficar clara é que as barreiras de segurança, em muitos casos, são muito fáceis para os agentes mal-intencionados pularem. Especialmente se alguém tem os olhos em um laptop ou telefone.
Como evitar ser vítima?
A ESET compartilha recomendações para reduzir o risco de ser vítima dessa modalidade:
1. Nunca reutilizeas mesmassenhas em todas as contas: use um gerenciador de senhas para armazenar credenciais exclusivas e seguras. Ative a autenticação de dois fatores, , mas escolha um aplicativo autenticador (por exemplo, Google Authenticator, Microsoft Authenticator) em vez da opção de código SMS.
2. Mantenha-se sempre alerta ao fazer login em contas em público: isso pode significar parar de trabalhar em aviões, trens, aeroportos, saguões de hotéis ou lugares semelhantes lotados de pessoas.
3. Use umatela de privacidade para o computador: isso reduz consideravelmente a visibilidade da tela para aqueles que não estão na frente do monitor.
4. Desative notificações com exibição de conteúdo na tela para SMS, e-mails e alertas: se alguém acessar uma conta sem consentimento, é importante investigar imediatamente.
5. Nunca deixe nenhum dispositivo sozinho em um espaço público: e certifique-se de que ele esteja bloqueado com senhas fortes.
"Os criminosos que espionam por cima dos ombros continuam sendo uma ameaça amplamente subestimada. Isso não significa que eles provavelmente tentam enganá-lo com mais frequência dessa maneira do que por meio de phishing. Mas, a eles se aplicam as mesmas regras: fique alerta, esteja preparado e realize boas práticas de segurança", conclui o pesquisador da ESET.
Para saber mais sobre segurança da informação, visite o portal de notícias da ESET.
Por outro lado, a ESET convida você a conhecer o Conexão Segura, seu podcast para saber o que está acontecendo no mundo da cibersegurança. Para ouvi-lo, acesse.