Desde o início da internet, há um tipo de atividade maliciosa quase imune ao progresso tecnológico na segurança cibernética, engenharia social. Hoje em dia, o alvo dessas práticas pode ser qualquer um, incluindo você e suas moedas.
O tipo de ataque conhecido como phishing depende da falibilidade da percepção e julgamento humano. O phishing, a forma mais comum de ataque, é usado para extrair dados confidenciais, como números de cartão de crédito, números de previdência social, senhas e outras informações confidenciais de usuários desatentos online, permitindo que eles enviem essas informações diretamente ao invasor.
Confie no seu dispositivo
Seu navegador da internet e carteira de software estão sempre expostos a malware, vírus ou vários tipos de ataques. Se você possui uma carteira Trezor, no entanto, você está offline, ou seja, isolado das tentativas maliciosas.
O propósito fundamental das carteiras de hardware segurar, como a Trezor ou Ledger, é manter sua semente de recuperação isolada. Mesmo assim, você deve sempre verificar minuciosamente seu dispositivo para a confirmação de todos os recursos, especialmente ao interagir com o Trezor. Seu computador nunca deve exigir o uso da sua semente, a menos que você queira recuperar a carteira (por exemplo, após perder um dispositivo).
Caso você precise usar a semente de recuperação para acessar suas contas, o dispositivo sempre irá instrui-lo a inserir as palavras fora de ordem. Nós recomendamos que você insira as palavras da sua semente diretamente na carteira de hardware, em vez do computador. Isto o ajudará a maximizar a segurança das suas transações.
Técnica de personificação
A técnica de personificação é uma das mais rápidas de executar e é a mais simples, tecnologicamente, de ser implementada. O agressor geralmente personifica um agente de serviço ao consumidor ou um representante de vendas da fabricante da carteira para conseguir informações de um usuário desatente usando e-mails, telefonemas ou um site falso
Lembre-se, os representantes da Trezor (SatoshiLabs) nunca pedirão sua semente de recuperação (em qualquer formato) ou o número do cartão de crédito.
Se você tiver um problema com seu dispositivo ou deseja perguntar algo sobre problemas relacionados à Trezor, a única maneira segura de entrar em contato com o Satoshi Labs é ao enviar um ticket de suporte para seu centro de Suporte. Alternativamente, você pode escrever seus comentários aqui no nosso site. Nós tentaremos responder todas as suas perguntas.
O SatoshiLabs não fornece suporte técnico via telefone ou ao vivo. Portanto, nunca ligue para números que dizem estar associados ao time de suporte Trezor.
Muitas das técnicas de phishing buscam levá-lo a um site fraudulenta onde toda a informação pode ser coletada e controlada pelo agressor. Assim como as técnicas de personificação, essas são designadas a roubar suas chaves privadas.
Falsificação de DNS (“envenenamento de cache DNS”)
A falsificação de DNS é uma técnica de ataque que tira vantagem da maneira como o DNS funciona, para guiar o visitante em uma direção errada, fazendo com que o site pareça estar offline ou, até mesmo, redirecionando os usuários para um servidor controlado pelo agressor. Por outro lado, o BGP hijacking é uma técnica na qual o hacker toma o controle de vários prefixos de IP designados a uma vitima em potencial. Ambos os métodos podem ser identificados por um certificado SSL inválido, no entanto, os usuários tendem a ignorar o aviso, levando a um site malicioso. É, portanto, crucial que você verifique cuidadosamente todos os sinais, especialmente quando estiver trabalhando com coisas sensitivas, como as criptomoedas.
Phishing do domínio unicode
Outro tipo de ataque potencial é o ataque de phishing do domínio unicode, também conhecido como ataque homográfico. Ele conta com o fato de que navegadores afetados mostram caracteres Unicode usadas nos nomes do domínio como caracteres padrão, tornando impossível de distinguir de domínios legítimos.
Quando seu navegador o endereço como www.bitfinex.com o domínio legítimo pode ter uma pequena diferença, por exemplo, www.bítfínex.com.
Se um hacker registrar um domínio que é visualmente indistinguível do domínio legítimo, ele ou ela pode enganar os usuários para que eles confiem no site.
Phishing de e-mail
Outra técnica bem-conhecida é a distribuição de e-mails spam que buscam descobrir o nome de usuário e senha de qualquer bolsa de criptomoedas ou suas contas de e-mail.
A imagem acima mostra um e-mail que foi enviado para um trader que, então, postou no Facebook para alertar os outros funcionários.
Note que o endereço de e-mail so remetente é [email protected]¸ no entanto, o site oficial da Poloniex é poloniex.com. (Note que o final do endereço de e-mail do remetente deveria ser @poloniex.com!).
Cybersquatting
Cybersquatting ou o squatting de domínio se refere ao registro ou uso ilegal de nomes de domínio. Mesmo com formatos diferentes, o objetivo é o mesmo: roubar ou soletrar incorretamente o nome de um domínio. O cybersquatting pode também incluir “propagandas” que imitam nomes de domínio parecidos com sites famosos.
Algumas recomendações para se proteger contra ataques de phishing:
- Confia no seu dispositivo. Busque por confirmação na tela, especialmente quando se trata e transações ou da sua semente de recuperação
- Certifique-se de que a URL está correta: https://wallet.trezor.io ou https://beta-wallet.trezor.io.
- Salve https://wallet.trezor.io como uma marcação para evitar a soletração incorreta no seu navegador
- Embora o cadeado verde no seu navegador (no lado esquerdo do endereço) possa não ser uma garantia da autenticidade do site, fique atento se ele estiver faltando
- Nunca compartilhe sua semente de recuperação com outra pessoa (incluindo o suporte técnico da Trezor, o CEO ou qualquer outro indivíduo)
- Observe cuidadosamente o endereço do site e busque por qualquer erro de ortografia ou caracteres atípicos
- Use um software de segurança atualizado, instale as correções de segurança e atualize-o sempre que disponível
- Evite clicar em links em um e-mail ou mídia social, a menos que você tenha certeza absoluta de que são autênticos
- Preste atenção a links incompletos ou abreviados, especialmente nas mídias sociais
- Lembre-se, os representantes do SatoshiLabs (fabricante da Trezor) ou Ledger nunca entrarão em contato por Facebook ou e-mail para fornecer qualquer dado