Com a crescente adesão ao *internet banking*, é compreensível que cibercriminosos busquem incessantemente meios de invadir contas bancárias. No entanto, o que pode causar surpresa são os extremos a que esses indivíduos chegam para acessar as finanças alheias. Sabia que *hackers* podem, inclusive, invadir contas bancárias usando apenas números de celular?
A seguir, examinaremos como alguém pode comprometer sua conta bancária e as medidas que você pode adotar para se manter seguro.
1. *Trojan*s Bancários para Dispositivos Móveis
Atualmente, é possível administrar todas as suas finanças por meio do seu *smartphone*. Geralmente, um banco disponibiliza um aplicativo oficial para que você possa acessar e verificar sua conta. Apesar da conveniência, isso se tornou um importante vetor de ataque para *malware*.
É possível que alguém invada minha conta bancária? Infelizmente, a resposta é sim.
Enganando Usuários com Aplicativos Bancários Falsos
Aplicativos bancários falsos se tornaram uma via fácil para facilitar a invasão de uma conta bancária. A forma mais simples de ataque é a falsificação de um aplicativo bancário já existente. Um criador de *malware* desenvolve uma réplica perfeita do aplicativo de um banco e o disponibiliza em sites de terceiros.
Após baixar o aplicativo, você insere seu nome de usuário e senha, os quais são enviados diretamente para o *hacker*.
Substituindo um Aplicativo Bancário Real por um Falso
A versão mais sorrateira é o *trojan* bancário para dispositivos móveis. Embora existam vários tipos, a versão bancária é uma das mais comuns e que você deve conhecer.
*Trojan*s para invasão de contas bancárias não se disfarçam como aplicativos oficiais do banco; em vez disso, geralmente se apresentam como aplicativos não relacionados, mas com um *trojan* embutido. Ao instalar esse aplicativo, o *cavalo de Troia* verifica seu telefone em busca de aplicativos bancários.
Essa variedade de *malware* desempenha um papel fundamental em todo o processo de invasão de contas bancárias. Quando detecta que o usuário está abrindo um aplicativo bancário, o *malware* rapidamente cria uma janela idêntica ao aplicativo que você iniciou.
Se a troca for feita de forma perfeita, o usuário não percebe a diferença e insere seus dados na página de *login* falsa. Essas informações são então enviadas para o criador do *malware*.
Geralmente, *trojan*s bancários necessitam de um código de verificação via SMS para acessar a conta. Para isso, solicitam permissões de leitura de SMS durante a instalação para roubar os códigos assim que chegam.
Como se Defender de *Trojan*s Bancários Móveis
Ao baixar aplicativos de lojas de aplicativos, observe o total de *downloads*. Se o número de *downloads* for muito baixo e houver poucas ou nenhuma avaliação, é prematuro afirmar que ele está livre de *malware*.
Isso é ainda mais importante se você encontrar um “aplicativo oficial” de um banco popular com um número baixo de *downloads*. É bem provável que seja um impostor! Aplicativos oficiais devem ter um alto volume de *downloads*, dada a popularidade do banco.
Da mesma forma, seja cauteloso com as permissões que você concede a seus aplicativos. Se um jogo para celular solicita permissões sem explicar o motivo, não permita a instalação do aplicativo por segurança. Até serviços “inocentes”, como os Serviços de Acessibilidade do Android, podem ser usados para *hackear* você.
Finalmente, nunca instale aplicativos bancários de sites de terceiros, pois eles são mais propensos a conter *malware*. Embora as lojas de aplicativos oficiais não sejam perfeitas, elas são muito mais seguras do que um site aleatório na internet.
2. *Phishing*
À medida que o público se torna mais consciente sobre as táticas de *phishing*, os *hackers* intensificaram seus esforços para induzir as pessoas a clicar em seus *links*. Um de seus truques mais desagradáveis é invadir contas de e-mail de advogados e enviar e-mails de *phishing* a partir de um endereço que antes era confiável.
O que torna esse *hack* tão devastador é a dificuldade de detectar o golpe. O endereço de e-mail seria legítimo, e o *hacker* poderia até se dirigir a você pelo primeiro nome. Foi exatamente assim que um comprador de casa infeliz perdeu £67.000, conforme relatado pelo The Guardian, apesar de ter respondido a um endereço de e-mail que anteriormente era legítimo.
Como se Defender de *Phishing*
Obviamente, se um endereço de e-mail parecer suspeito, trate seu conteúdo com muito ceticismo. Se o endereço parecer legítimo, mas algo parecer estranho, tente validar o e-mail com a pessoa que o enviou. De preferência, não por e-mail, caso os *hackers* tenham comprometido a conta!
Os *hackers* também podem usar *phishing*, entre outros métodos, para roubar sua identidade nas redes sociais. É essencial que você se mantenha informado sobre como se proteger de golpes de *phishing*.
3. *Keyloggers*
Esse método de ataque é uma das formas mais silenciosas para um *hacker* realizar uma invasão de conta bancária. Os *hackers* aprendem como invadir contas bancárias, e até mesmo o *hacker* mais inexperiente sabe como obter seus dados pessoais. Para evitar tal situação, esteja atento aos diferentes métodos de *hacking* utilizados. Uma das formas mais notáveis é por meio de *keyloggers*, um tipo de *malware* que registra tudo o que você digita e envia as informações de volta ao *hacker*.
Isso pode parecer discreto no início. Mas imagine o que aconteceria se você digitasse o endereço da web do seu banco, seguido de seu nome de usuário e senha. O *hacker* teria todas as informações necessárias para invadir sua conta!
Como se Defender de *Keyloggers*
Instale um antivírus de qualidade e certifique-se de verificar seu sistema regularmente. Um bom antivírus detectará um *keylogger* e o removerá antes que possa causar danos.
Se o seu banco oferece suporte à autenticação de dois fatores, certifique-se de habilitá-la. Isso torna o *keylogger* muito menos eficaz, pois o *hacker* não conseguirá replicar o código de autenticação, mesmo que obtenha seus dados de *login*.
4. Ataques Homem-no-Meio (*Man-in-the-Middle*)
Às vezes, um *hacker* visa as comunicações entre você e o site do seu banco para obter seus dados. Esses são chamados de ataques Homem-no-Meio (MitM), e o nome diz tudo: ocorre quando um *hacker* intercepta as comunicações entre você e um serviço legítimo.
Normalmente, um ataque MitM envolve o monitoramento de um servidor inseguro e a análise dos dados que passam. Quando você envia seus dados de *login* por essa rede, os *hackers* “farejam” seus dados e os roubam.
Em alguns casos, no entanto, um *hacker* utilizará envenenamento de *cache* de DNS para alterar o site que você visita ao digitar um URL. Um *cache* de DNS envenenado significa que `www.sitedoseubanco[ponto]com` direcionará você para um site clone pertencente ao *hacker*. Este site clone parecerá idêntico ao original; se você não tomar cuidado, acabará fornecendo ao site falso seus dados de *login*.
Como se Defender de Ataques MitM
Nunca realize atividades confidenciais em uma rede pública ou não segura. Seja cauteloso e utilize algo mais seguro, como sua rede *Wi-Fi* doméstica. Além disso, ao fazer *login* em um site confidencial, verifique sempre se há HTTPS na barra de endereços. Se não houver, é muito provável que você esteja acessando um site falso…
Caso deseje realizar atividades confidenciais em uma rede *Wi-Fi* pública, assuma o controle de sua própria privacidade. Um serviço VPN criptografa seus dados antes que seu computador os envie pela rede. Se alguém estiver monitorando sua conexão, verá apenas pacotes criptografados ilegíveis.
Escolher uma VPN pode ser complicado, portanto, certifique-se de pesquisar as VPNs gratuitas que protegem sua privacidade.
5. Troca de SIM
Códigos de autenticação por SMS são um grande obstáculo para *hackers*. Infelizmente, eles descobriram uma forma de contornar essas verificações e nem sequer precisam do seu telefone para isso!
Para realizar uma troca de SIM, um *hacker* entra em contato com sua operadora de rede, alegando ser você. Ele informa que perdeu o telefone e que gostaria de transferir o número antigo (que é o seu número atual) para outro cartão SIM. Este é um dos métodos mais usados para *hackear* uma conta bancária por meio de um número de telefone.
Se obtiver sucesso, a operadora de rede remove seu número de telefone do SIM e o instala no SIM do *hacker*. Isso é possível com um número de segurança social.
Assim que tiverem seu número no cartão SIM, eles podem contornar facilmente os códigos SMS. Ao acessar sua conta bancária, o banco enviará um código de verificação por SMS para o telefone deles, e não para o seu. Assim, eles podem acessar sua conta sem obstáculos e transferir o dinheiro.
Como se Defender da Troca de SIM
Obviamente, as operadoras de telefonia móvel costumam fazer perguntas para verificar se a pessoa que solicita a transferência é quem diz ser. Assim, para realizar uma troca de SIM, golpistas geralmente coletam suas informações pessoais para passar nas verificações.
Mesmo assim, algumas operadoras de rede têm verificações negligentes para transferências de SIM, o que permitiu que *hackers* realizassem esse golpe facilmente.
Mantenha seus dados pessoais sempre privados para evitar que alguém roube sua identidade. Além disso, vale a pena verificar se sua operadora de celular está fazendo sua parte para protegê-lo contra a troca de SIM.
Se você mantiver seus dados seguros e sua operadora de rede for diligente, um *hacker* falhará na verificação de identificação ao tentar trocar o SIM.
Mantendo Suas Finanças Seguras Online
O *internet banking* é conveniente tanto para clientes quanto para *hackers*. Felizmente, você pode fazer sua parte para garantir que não seja vítima desses ataques. Ao manter seus dados seguros, você dificultará a ação dos *hackers* quando eles tiverem como alvo suas economias.
Agora que você conhece as táticas complexas que os *hackers* utilizam para invadir sua conta bancária, eleve a segurança de suas informações financeiras a outro nível. Desde alterar sua senha com frequência até simplesmente verificar seu extrato mensalmente, há diversas maneiras de proteger suas finanças contra *hackers*.