Todos nós vimos o que houve com o WhatsApp e outros aplicativos recentemente, e isso fez muitas pessoas se perguntarem, se empresas tão grandes podem sofrer com isso, será que eu posso fazer algo para ficar mais protegido quando estou online?

Imagine só você acordar um dia e descobrir que todas as suas economias sumiram da sua conta. Descobrir que seu nome está negativado e você está incapaz de contratar serviços importantes, ou mesmo contrair empréstimos que podem garantir recursos importantes para a sua família? Pior que isso, seu nome está vinculado a crimes, e você terá que prestar explicações na justiça.

Segundo a Confederação Nacional de Dirigentes Lojistas e do Serviço de Proteção ao Crédito, quase 12 milhões de brasileiros foram vítimas de fraudes em 2020.  Um total de R$ 478 por pessoa. A lista é encabeçada por clonagem de cartões de crédito e recebimento de boletos falsos, mas não para por aí. Os fraudadores estão cada vez mais sofisticados e infelizmente o grau de instrução da população com relação ao uso da tecnologia não vem acompanhando a contento. Mas como podemos reverter esse quadro e melhorar o nível de proteção dos nossos valiosos recursos tão essenciais para a nossa sobrevivência?

Prevenir para não ter que remediar

A prevenção ainda é a melhor forma de evitar ser uma vítima de fraudes na internet. É necessário que uma mentalidade consciente dos riscos e perigos seja desenvolvida, como sugerem os pilares sobrevivencialistas, na qual a pessoa busca se tornar cada vez mais ciente a respeito da quantidade e qualidade dos dados que está fornecendo. Dados como o RG e CPF são livremente fornecidos no dia a dia pela maioria de nós, e muitas vezes desnecessariamente. A Lei Geral de Proteção de Dados (sancionada em 2018) garante em seu artigo 10 que os consumidores deverão fornecer apenas o mínimo necessário para que as obrigações legais daquela empresa ou entidade sejam cumpridas. Portanto, quando for preencher um formulário, questione se realmente precisam do seu nome completo, da sua data de nascimento, do seu RG ou CPF. É o típico caso em que “menos é mais”.

Não existe almoço de graça

Se alguém entra em contato oferecendo alguma vantagem ou produto, ou mesmo oferecendo algum tipo de assistência para resolver um problema em nome de uma empresa ou instituição, desconfie. Atendimento ao cliente gera custo para as empresas, e tipicamente elas adotam uma postura de esperar pelo contato do cliente, e não o contrário. Se alguém está te procurando, pergunte como você poderia ligar de volta e confira no site da empresa se aquele telefone realmente pertence a ela. Outra boa prática é confirmar apenas parte das informações (3 últimos dígitos do CPF, por exemplo) assim diminuindo o dano em caso de fraude.

Deve-se ter um cuidado especial com o PIX, que desde seu advento tem sido explorado em diversas formas de ataques, a maioria com base na obtenção de dados e engenharia social. O mesmo cuidado é recomendado com e-mails e mensagens instantâneas. São vários os métodos utilizados em cada uma das tecnologias, mas a fraude é tipicamente denominada como Phishing – uma alusão ao verbo pescar em inglês (fishing) – e aqui elencamos as mais comuns:

E-mails

Nunca abra qualquer tipo de anexo sem antes ter total certeza quanto a procedência do e-mail. Verifique minunciosamente se o domínio está correto. Muitas vezes os fraudadores conseguem um domínio cuja diferença está em apenas uma letra. Na dúvida, não abra, e entre em contato com a empresa em questão por outro canal, como telefone, WhatsApp e etc. Não responda ao e-mail nem entre em contato com o número telefônico que possa constar na mensagem suspeita.

Mensagens Instantâneas (WhatsApp e afins)

De maneira análoga ao e-mail, não abra qualquer tipo de anexo antes de você ter total certeza de que se trata da pessoa em questão. Não se limite a foto ou os dizeres no nome da pessoa na sua avaliação. Verifique se o número está correto. Veja se o contexto é coerente. Se mandaram uma mensagem pedindo dinheiro, ligue para a pessoa. Verifique se é realmente ela. Caso ela não possa atender no momento, pergunte quando poderá e então ligue. Confirme informações que somente vocês dois sabem, e não utilize informações que possam ter sido adquiridas pelo fraudador (o CPF, por exemplo). O fraudador irá pressionar para que tudo seja feito rapidamente, pois o tempo estará contra ele e na rapidez o grau de atenção tende a diminuir. Ao detectar a fraude, ligue para parentes da vítima, principalmente aqueles com idade mais avançada, pois são as vítimas prediletas.

Sites

Normalmente utilizados complementado as fraudes por e-mail e mensagens, sites inteiros falsos são criados como um passo adicional da fraude, onde as vítimas são induzidas a inserir suas informações sob o pretexto de cumprir o que a atraiu originalmente até ali. Mais uma vez, cheque quantas vezes foram necessárias para garantir que o site está correto. Use a sua ferramenta da busca favorita, e confirme os dados da empresa. O que está escrito no SMS, na mensagem de texto ou no e-mail pode parecer ser legítimo, mas em caso de fraude, será tudo parte da armadilha.

Esteja consciente dos seus arredores

Muitas informações são adquiridas por mero descuido das pessoas. Falar certas informações em público, ao telefone, ou mesmo com outra pessoa pode gerar oportunidades para que fraudadores se aproveitem para realizar um ataque. Esteja ciente dos seus dispositivos, verifique se alguém não está olhando por cima dos seus ombros enquanto você digita. Lembre-se que o mau educado é ele por estar olhando, e não você por não deixa-lo ver. A oportunidade faz o ladrão.

Proteja Seus Dispositivos com Senhas

Muitos pensam que senhas são um grande inconveniente, mas elas ainda são uma das mais eficientes estratégias de segurança digital. Pense no tamanho do vazamento de informações pessoais você terá caso o seu celular caia em mãos erradas. Isso também vale com equipamentos que vão para a manutenção. Tente sempre fazer back-ups constantes para que em caso de manutenção você possa ter a opção de apagar o seu celular totalmente. Muitos vazamentos são perpetrados nestas ocasiões. Caso tudo mais falhe, pelo menos se assegure de remover cartões de memória, caso seja possível. A maioria dos técnicos e profissionais da área são éticos e pessoas de caráter ilibado, mas basta uma maçã podre para contaminar todo o cesto. Considere também habilitar autenticação em dois ou mais fatores, entretanto, se há pessoas que não gostam de senhas, imagine só ter mais de uma. A medida parece radical para muitos, mas aumenta dramaticamente o grau de segurança de um determinado dispositivo. Considere adotar essas medidas, que não à toa são comumente utilizadas em bancos e instituições financeiras.

Use VPN

VPN é uma sigla para rede virtual particular que pode ser usada por meio da Internet. Existem versões gratuitas e pagas, mas todas conseguem fazer com que sua conexão fique mais segura ao criptografar seus dados e disfarçar seu IP, que é como sua identidade virtual, assim prevenindo ataques de terceiros ou coleta de dados privados. Contudo, a máxima “se você não paga pelo produto, então você é o produto” vale aqui também. Há relatos de que VPNs gratuitos vendem dados dos seus usuários. Portanto, considere investir em um serviço VPN pago.

E-mails e Aplicativos de Mensagens mais seguros

Mesmo o Google já se envolveu com polêmicas sobre o uso de dados privados de clientes para fins de direcionamento de propaganda, o que deixa bem claro que seus usuários são nitidamente parte do produto. Opte por serviços de e-mail criptografados e que construam uma reputação com base no cuidado com a privacidade, como o ProtonMail, o Tutanota e o Mailbox.org.

Falando em polêmicas, o Facebook e suas plataformas (Instagram, WhatsApp e etc.) foram envolvidos em uma recente, onde descobriu-se que milhares de empregados do Facebook tem a função de checar conteúdos de mensagens de usuários, que supostamente deveriam ser criptografadas de um ponto a outro. Aplicativos de mensagens como o Signal e o Telegram prometem um grau de criptografia superior e um maior respeito a privacidade, sendo assim, melhores escolhas caso o objetivo seja aumentar a privacidade, além de permitirem o uso sem que seja necessário o fornecimento de vários dados pessoais.

Existem soluções para todos os gostos com graus de criptografia ainda mais altos inclusive utilizando BlockChain, como o Status.

Pesquise sem ser pesquisado

Ainda falando sobre polêmicas com privacidade, o Google foi envolvido em uma grande durante as eleições norte americanas, tendo sido demonstrado que seus resultados de buscas estariam sendo direcionados por interesses comerciais e políticos da companhia, e com base em dados coletados sobre o usuário. Diversas ferramentas de buscas que alegam ter maiores cuidados com a privacidade vêm surgindo nos últimos tempos, como o DuckDuckGo.com, o Qwant.com e o StartPage.com.

Navegue sem deixar rastros

A maioria dos navegadores atuais guarda registros das atividades realizadas pelos seus usuários. Esses registros podem ser explorados de diversas maneiras em uma tentativa de fraude, e uma maneira muito simples de se resolver isso é a navegação em modo privado. Para os que queiram aumentar ainda mais o grau privacidade na navegação, o TOR browser é uma das melhores opções do momento, pois permite que as consultas passem por diversos nós da internet antes de chegar ao seu destino, o que aumenta dramaticamente o grau de privacidade na navegação em detrimento do desempenho.

Bloqueie sua webcam quando não a estiver usando

Caso tudo ainda assim dê errado, e um cracker (hacker malicioso) consiga acessar o seu computador um dos passos mais comuns deles é querer ganhar acesso visual ao ambiente, de modo a possibilitar saber quando a vítima estará em frente ao computador, assim dando-lhe mais liberdade de ação. A esta altura do campeonato, a vítima já estará com um grande problema nas mãos, mas vale mitigar o dano evitando que o cracker aja livremente e que ele tenha acesso a cenas da sua vida íntima.

Armazenamento de Dados

Já dizia o velho ditado que não é sábio depositar todos os ovos em uma só cesta.  Esta é uma regra que vale para armazenar também seus dados. Existem várias técnicas e métodos para garantir que você continue tendo acesso a dados críticos. Do ponto de vista tecnológico foi desenvolvido uma tecnologia chamada RAID (Redundant Array of Inexpensive Disks) ou na tradução literal: Conjunto redundante de discos baratos, ele garante a replicação de seus dados entre discos diferentes para evitar uma perda em caso de falha de um dos discos. Estes discos podem ser magnéticos, mecânicos ou híbridos. Mas quaisquer que sejam os tipos de discos utilizados, ter maneiras de replicar seus dados e garantir que você terá acesso a eles é muitas vezes imprescindível, o que em muitos casos quer dizer que você terá que tê-los em um meio não digital, imprimindo o material para uso em uma situação em que os meios digitais não estejam disponíveis.

Redundância e Criptografia

Em qualquer caso, é imprescindível que você e aqueles de sua confiança tenham total controle quanto ao acesso aos dados. Eles devem estar protegidos tanto física quanto logicamente. Fisicamente por meio de chaves de câmeras de segurança, alarmes, cofres e afins, e logicamente pelo uso de equipamentos Firewalls, configurações corretas em equipamentos de redes e computadores, entre outros. Técnicas de criptografia tanto na transmissão quanto no armazenamento dos dados são altamente recomendadas (ver VPN neste mesmo artigo). Há equipamentos com razoável grau de sofisticação e que oferecem soluções de armazenamento criptografado muito confiáveis hoje em dia, inclusive para residências, como os NAS (Network Atached Storage).

Seja automaticamente ou manualmente, realize back-ups constantes dos seus dados. Preferencialmente, guarde-os o mais independente possível do sistema principal de armazenamento.  A técnica de RAID (explicada anteriormente) permite a automação do processo de back-up, garantindo a recuperação dos dados mesmo com a falha de um ou mais discos, dependendo do nível de proteção desejado.

E dentro da mentalidade sobrevivencialista, mesmo com sistemas redundantes, o seguro morreu de velho, não é mesmo? Afinal, se você tiver sua casa assaltada e levarem seu computador, a crise está instaurada. Portanto, a definição mais simplista de um backup é: Uma cópia completa e independente de todos os seus dados, realizada com uma periodicidade que atenda as suas necessidades. Imprima o que for crucial, pois nem mesmo o acesso aos seus equipamentos em um momento de crise é uma certeza absoluta.

Só quem já passou pelo pesadelo de perder seus dados sabe o quanto este esforço se paga em uma emergência.

Armazenamento em Nuvem

Armazenar dados em nuvem pode vir a ser uma solução, mas em cenário de crise, o acesso a eles pode ser limitado ou inexistente. Recomendamos o uso como soluções de back-up, mas não recomendamos como solução principal justamente por diminuir a sua autonomia em acessar os seus dados quando você bem entender, o que pode ser facilmente observado com a crise com a internet noticiada nesta semana, em que vários serviços estiveram fora do ar ou instáveis. E em uma situação de desastre, você certamente não terá o luxo de ficar esperando que a internet lhe permita acessar dados críticos em qualquer provedor de serviços de armazenamento em nuvem.

Descarte de Equipamentos e Informações

Tão importante quanto o armazenamento é o descarte de informações. Vocês ficariam surpresos com o quão descuidadas as pessoas são com esse processo tão vital, e com a quantidade de informação que fraudadores podem conseguir com o seu lixo, físico e digital, e com descuidos no geral.

No âmbito digital, muitos ainda vendem equipamentos sem a devida sanitização. Quando for vender um equipamento eletrônico, tenha certeza de que sua memória foi devidamente limpa. O mesmo cuidado deverá ser tomado quando se for descartar o equipamento. Caso não tenha certeza da sanitização, destrua o equipamento ou pelo menos sua unidade de memória. Há técnicas avançadas que ainda assim permitirão a recuperação dos dados, mas em muitos cenários nos salvamos não por correr mais que o leão, mas por correr mais que a pessoa ao lado.

O descarte de documentos é ainda mais crítico, pois nenhum conhecimento técnico é necessário. Quantas Notas Fiscais de compra online você já jogou no lixo sem ao menos rasurar os dados? Um fraudador pode usar estes mesmos dados para contrair empréstimos ou mesmo como o início de um golpe mais elaborado. Destrua os documentos que você queira descartar. Um triturador é uma ótima aquisição. Dê preferencia a cortes-cruzados a nível P-5, o que já torna quase impossível a reconstrução do documento. Queimar também é uma excelente opção, mas cuidado com o processo, principalmente dentro de apartamentos.

Esteja no controle. Esteja Preparado.

É claro que nem todo dado merece todos esses cuidados citados aqui. Certos casos como documentos de posse, de identificação e fotos de família possivelmente serão escolhas óbvias, mas a escolha é individual no final das contas. Há soluções para todos os gostos e bolsos, e uma correta classificação dos seus dados possibilitará o melhor dimensionamento para o seu cenário. Quem tudo prioriza, nada prioriza.

Acima de tudo é sobre tomar de volta o controle dos seus dados. É o desenvolvimento de uma mentalidade defensiva, de vigilância constante (que é o preço da liberdade) em todos os aspectos da sua vida. Dados são recursos valiosíssimos, e há inúmeras empresas que lucram com seu processamento e armazenamento. Mais e mais ameaças surgem todos os dias, e quanto antes tomarmos as rédeas deste aspecto tão crucial das nossas vidas, mais seguros estaremos.

Declaração dos Direitos Humanos – Artigo 12º

“Ninguém sofrerá intromissões arbitrárias na sua vida privada, na sua família, no seu domicílio ou na sua correspondência, nem ataques à sua honra e reputação. Contra tais intromissões ou ataques toda a pessoa tem direito à proteção da lei”.

Texto escrito por Afonso Pena – Analista de CyberSegurança e Privacidade e André Novelli – Especialista SAN / Storage.