Crimes criptográficos: aplicativos falsos e golpes de software
A fraude é um problema que a sociedade sempre teve que aturar. De escribas lamentando materiais de construção de baixa qualidade a estrelas do Vale do Silício levantando investimentos para tecnologias inexistentes, os golpistas constantemente criam novas maneiras de implantar engenharia social e desorientação para enganar indivíduos de suas economias. Com a criptomoeda, os mesmos métodos antigos são reembalados para tirar proveito de transações digitais, sem permissão e irreversíveis, permitindo que os golpistas escapem da justiça com mais eficiência.
Este artigo inicia uma nova série de blogs focados em proteger a comunidade criptográfica de golpistas. Cada um detalhará uma tática diferente usada por fraudadores para enganar usuários desavisados e destacará os sinais de alerta que sinalizam quando se deve recuar de um possível golpe. A Trezor está comprometida em proteger seus usuários por meio da educação, bem como de nossos produtos. Como a criptografia é para autocustódia, isso significa que a segurança começa com cada hodler individual. Continue lendo e saiba como se manter seguro.
Aplicativos falsos estão em toda parte
Como operadoras dos dois maiores sistemas operacionais de smartphones, Google e Apple aparecem como guardiões rígidos quando se trata dos aplicativos que permitem que os editores listem em suas plataformas de aplicativos. Isso provou ser falso, pois aplicativos maliciosos de todos os tipos continuam a proliferar em ambas as lojas.
Os aplicativos nunca devem ser confiáveis apenas porque foram aprovados e listados em uma das lojas oficiais de aplicativos. Esses mercados estão cheios de aplicativos perigosos, mas a segurança percebida de estar em um 'jardim murado' - um lugar onde apenas aplicativos supostamente seguros e aprovados podem ser listados - é uma ilusão prejudicial que leva os usuários a baixar a guarda em vez de reconhecer o sinais de aviso.
Seja qual for o aplicativo que você baixar, sempre há a chance de que ele seja comprometido de alguma forma. Embora tendemos a ignorar o fato de que mesmo os aplicativos oficiais coletam pouco mais de dados do usuário, os aplicativos realmente maliciosos discutidos aqui vão um passo além e buscam coletar fundos do usuário diretamente de sua conta bancária ou carteira criptográfica. Vamos ver como eles fazem isso e quais sinais de alerta devem ser observados.
Como aplicativos de criptografia falsos roubam de você
Existem diferentes tipos de golpes de criptografia que vêm embalados como aplicativos falsos. Abordaremos os mais comuns, que são aplicativos de phishing: aqueles que tentam extrair informações confidenciais, geralmente apenas solicitando a um usuário inexperiente que as insira manualmente. Em criptografia, a informação mais sensível é sua semente de recuperação. Outros golpes mais elaborados também existem, onde eles vendem serviços de empréstimo ou imitam uma troca – abordaremos essas táticas em um blog posterior.
O tipo de aplicativo falso mais comumente relatado relacionado ao Trezor é um aplicativo móvel que afirma operar com sua carteira de hardware Trezor. Atualmente, não existem aplicativos móveis para carteiras de hardware Trezor. Uma vez baixado, o aplicativo alega encontrar um erro e instrui os usuários a digitar sua semente de recuperação no aplicativo usando o teclado móvel. Nunca insira sua semente diretamente em um celular ou computador e só use sua semente quando sua carteira de hardware Trezor pedir.
Assim que a vítima entra em sua semente, o conteúdo de sua carteira pode ser levado pelo atacante com pouca esperança de recuperá-lo. A eficácia deste golpe é explicada por duas coisas: a vítima é obrigada a agir com urgência e ignorar os sinais de alerta; e leva apenas alguns momentos para cometer um erro irreversível, então mesmo usuários experientes podem cair em um lapso de concentração.
O phishing destaca uma lacuna educacional e uma oportunidade de melhorar a experiência do usuário em todo o setor de criptomoedas. As coisas precisam ser simplificadas para que os usuários não precisem temer constantemente cometer erros catastróficos. O Trezor Suite foi feito como um aplicativo de desktop autônomo, um ecossistema independente com uma interface fácil que oferece controle total de criptografia em um só lugar. Ao reforçar as boas práticas de segurança e projetar um ambiente mais resiliente para usuários de criptografia, todos podemos ajudar a minimizar o impacto dos golpes de aplicativos.
Por que os golpes de aplicativos são tão comuns
Qualquer um pode baixar acidentalmente um aplicativo de criptografia falso. Da maneira como os mercados de aplicativos se apresentam, parece haver várias salvaguardas, portanto, um aplicativo falso geralmente está a apenas uma pesquisa de distância. A suposta segurança dos mercados de aplicativos é enganosa, pois seus dados e processos podem ser facilmente manipulados. Por mais cuidadoso que seja, você ainda pode baixar acidentalmente um aplicativo suspeito.
Quando aplicativos maliciosos entram em um mercado como a App Store, o aplicativo passa por certas verificações de segurança e é considerado seguro. Mas as verificações da Apple não são abrangentes, nem podem ser, e o app pode ser modificado após aprovação. É por isso que qualquer software instalado em um dispositivo usado para criptografia deve sempre ser tratado com cautela até que você possa verificar se é legítimo.
“Os desenvolvedores de aplicativos criminosos podem quebrar as regras da Apple enviando aplicativos aparentemente inócuos para aprovação e, em seguida, transformando-os em aplicativos de phishing que induzem as pessoas a fornecer suas informações, de acordo com a Apple.” — Washington Post
Infelizmente, isso é difícil, pois as principais maneiras de verificar um aplicativo - observando as classificações, downloads e comentários da App Store - são fáceis de falsificar usando hordas de contas de bots que fornecem avaliações artificiais e garantem a segurança do aplicativo. Isso torna muito difícil distinguir um aplicativo real de um falso.
“Quando Christodoulou abriu as críticas escritas, ele leu reclamações de outras pessoas que foram enganadas da mesma maneira. As classificações de cinco estrelas que ajudaram a fazer o aplicativo parecer legítimo devem ter sido falsas, concluiu ele.” — Washington Post
Em março de 2021, o Washington Post percebeu a falta de moderação da equipe da loja de aplicativos da Apple, fazendo com que um usuário perdesse 17 bitcoins. Embora tenha atraído muita atenção e até mesmo uma resposta da Apple, nada parece ter mudado sobre como os mercados verificam os aplicativos que listam. Seis meses depois, continuamos a encontrar novos aplicativos falsos quase semanalmente.
Sinais de alerta de aplicativos falsos
Como em qualquer golpe, há vários sinais de alerta a serem observados, que podem ajudar a identificar golpes muito antes de enfrentar qualquer risco real. Com a devida diligência, não há motivo para ser vítima de um golpe de aplicativo falso.
Seja crítico com as avaliações e classificações.
Embora já tenhamos estabelecido que os próprios mercados não são confiáveis para moderar os aplicativos oferecidos, ou mesmo garantir que os comentários e a classificação sejam legítimos, é importante fazer uma referência cruzada de todos os dados disponíveis para obter uma primeira impressão.
“A listagem da Play Store teve uma classificação de quase cinco estrelas, algumas críticas principalmente falsas e cerca de 500 downloads. Parecia um pouco crível para o usuário casual.” — Kamil Vavra
Frequentemente, avaliações e avaliações falsas serão criadas para acompanhar um aplicativo falso, por isso é importante investigar isso e procurar críticas negativas e avisos de usuários reais, que geralmente ficam enterrados além da primeira página.
Seja conservador com as permissões do aplicativo.
A indústria de aplicativos coloca a coleta de dados à frente dos melhores interesses dos usuários. Existe uma tendência perigosa para os aplicativos exigirem permissões de acesso não relacionadas à função que eles fornecem. Mesmo com aplicativos legítimos, você nunca deve dar acesso a partes do seu dispositivo que não sejam essenciais para o funcionamento do aplicativo. Para evitar cair em um aplicativo malicioso, aprenda a ser crítico com todos os aplicativos que você usa, para não prejudicar ainda mais sua privacidade.
Confirme se um aplicativo oficial realmente existe.
Aplicativos oficiais legítimos são desenvolvidos e mantidos por equipes de pessoas reais, trabalhando para empresas reais. Antes de baixar qualquer aplicativo ou software de qualquer tipo, reserve alguns segundos para confirmar que o projeto realmente existe. No caso da criptografia, esse esforço minúsculo pode ser a diferença entre proteger suas economias de vida ou perdê-las todas.
A Trezor ainda não lançou nenhum aplicativo móvel para uso com sua carteira de hardware. Não baixe nenhum aplicativo Trezor de nenhum mercado de aplicativos: todos são falsos e projetados para roubar seu dinheiro.
Não use sua semente a menos que seja orientado pelo seu Trezor.
A instalação de um aplicativo falso pode implantar spyware ou ferramentas sofisticadas de hackers em seu telefone. Isso é um problema, mas não importará para os fundos dos usuários da carteira de hardware. Se você proteger sua criptografia com um Trezor, o risco não é de spyware, mas de phishing simples. Aplicativos falsos geralmente são construídos de maneira muito barata e simples, servindo apenas a uma função: pedir aos usuários que insiram suas palavras iniciais e as transmitam ao criador do aplicativo.
“Encontrei um aplicativo falso da Trezor Mobile Wallet na Google Play Store. Quando o abri, ele pediu minhas palavras-semente. Eu desinstalei imediatamente.” — Usuário do Reddit Aidfarh
Como afirmamos em muitos lugares, sua semente é usada apenas ao recuperar seu dispositivo e sempre será iniciada pelo próprio dispositivo Trezor. Não insira sua semente em um aplicativo ou site, a menos que você inicie o processo de recuperação usando seu dispositivo e, em seguida, siga o processo seguro descrito no wiki da Trezor.
“o aplicativo Android era apenas um WebView para o site de phishing. A única funcionalidade era inserir a frase da palavra de backup 12/24 para conectar o Trezor. Qualquer um que usa o Trezor deve saber que você nunca deve entrar em nenhum lugar, mas, infelizmente, as pessoas ainda estão se apaixonando por ele.” — Kamil Vavra
Como se proteger de golpes de aplicativos falsos
A criptomoeda é construída sobre custódia independente, portanto, a segurança também deve começar com o indivíduo. É culpa das lojas de aplicativos que eles não conseguem manter os golpes, especialmente porque cobram comissões para garantir um serviço seguro e protegido, mas mesmo que isso seja reconhecido, é melhor supor que sempre haverá aplicativos de criptografia falsos à espreita online .
Educar a si mesmo e aos outros sobre quais sinais de alerta devem ser observados é essencial. Muitas vezes é fácil identificar um aplicativo falso com um pouco de pesquisa diligente. Mais importante, no entanto, é entender que sua semente é tudo o que um invasor precisa para acessar sua criptografia. Sua semente deve ser sempre mantida privada e segura.
Use uma carteira de hardware.
Para manter sua semente segura, certifique-se de usar uma carteira de hardware para gerar e armazenar sua semente offline. Isso impede que aplicativos maliciosos procurem sua semente em dispositivos ou redes que você usa e até protege sua semente nas raras ocasiões em que você precisa recuperar suas moedas.
Com uma carteira de hardware, você nunca precisará digitar sua semente completa em um computador. Se em algum momento você for solicitado a fazer isso, alguém está tentando enganá-lo. As sementes devem ser inseridas diretamente nas carteiras de hardware Trezor, e o processo é sempre guiado pelo seu Trezor, para que você possa ter certeza de que qualquer outro método solicitado a usar é uma fraude.
Atenha-se aos aplicativos verificados.
Sempre seja cauteloso com qualquer coisa que você baixar para criptografia. Interfaces transparentes de carteira de código aberto, como o Trezor Suite, permitem verificar se o software não está ocultando nenhum código malicioso. O Trezor Suite também simplifica a realização de operações diárias de criptografia em um só lugar, sem a necessidade de depender de muitos aplicativos e sites diferentes.
Lembre-se, não há aplicativo móvel oficial da Trezor em mercados móveis. O Trezor Suite pode ser conectado em suite.trezor.io a partir de um navegador móvel para desfrutar da mesma experiência em qualquer lugar.
O que fazer se você for enganado por um aplicativo falso
Se você perdeu fundos devido a um golpe falso de aplicativo de criptografia, provavelmente não há nada que você possa fazer para recuperar seu dinheiro. Infelizmente, as transações de criptomoedas são finais e não podem ser revertidas, portanto, a melhor esperança de recuperação é seguir um processo de denúncia convencional por meio da aplicação da lei. Em alguns casos, é possível rastrear os fundos até que o criminoso tente convertê-los em moeda fiduciária regular, ponto em que são frequentemente pegos.
Aplicativos de criptografia falsos são um problema crescente que as plataformas em que aparecem não estão abordando. Impedir que os usuários baixem os aplicativos em primeiro lugar significa aumentar a conscientização sobre o problema. O mais importante é ensinar aos recém-chegados que proteger a semente é essencial para proteger os ativos digitais e não deve ser encarado de ânimo leve. Se este artigo o ajudou a entender os aplicativos de criptografia falsos, faça sua parte e compartilhe-o com outras pessoas para torná-lo mais seguro para todos.
Caso haja alguma dúvida, nossa equipe está preparada para te atender.
Equipe Cash Fort
A Cash Fort é Revenda Oficial das melhores marcas de ColdWallet e segurança digital do mercado. Todos nossos produtos são novos, lacrados e originais. Nossos clientes contam com garantia e suporte direto conosco.
