254 views 13 mins

O WhatsApp sob a ótica da segurança cibernética

em Tecnologia
terça-feira, 02 de março de 2021

O WhatsApp se tornou uma ferramenta presente no dia a dia de todos nós, tanto para uso pessoal quanto comercial. A dinâmica de comunicação proporcionada e o momento de transformação digital que vivemos são os principais motivos. Mas, e a segurança de informações, golpes e etc? O especialista Dean Coclin, Diretor Sênior de Desenvolvimento de Negócios da DigiCert, aborda o tema.

1.Os cidadãos brasileiros têm enfrentado fraudes relacionadas ao WhatsApp. O mais comum é a clonagem. Por que esse ataque está se tornando tão popular? E o que as pessoas podem fazer para se proteger?
Existem vários desafios quando se trata de segurança e uso de dispositivos móveis. Em relação ao WhatsApp, os criminosos realizaram várias ações para clonar contas do aplicativo de bate-papo. Alguns deles nem precisam usar nenhum ataque cibernético. Basta um telefonema e um bom papo para atingir o objetivo. O principal interesse do criminoso no WhatsApp é o alcance da plataforma.

Uma característica desse golpe é que os bandidos fazem seu dever de casa. Para isso, acessam perfis abertos do Instagram e Facebook, anúncios em sites de compra e venda ou mesmo no Linkedin de possíveis vítimas. O objetivo dos criminosos continua o mesmo: pedir dinheiro para contatos em nome da vítima. Para isso, utilizam o famoso golpe da engenharia social, ação que costuma ser bastante eficaz devido à relação de confiança entre as vítimas. Nesse caso, os golpistas convencem o usuário a informar por telefone o código de seis números enviados pelo WhatsApp por mensagem SMS, necessários para concluir a autenticação da conta em outro celular.

A boa notícia é que se proteger de golpes no WhatsApp não é tão difícil. Basta tomar medidas de segurança no próprio aplicativo, como a verificação em duas etapas. Outra dica está relacionada ao WhatsApp Web. Pode acontecer que o usuário se esqueça do sistema conectado no trabalho ou em um computador que não seja o seu, o que permitiria a alguém ler suas mensagens. Para saber se você está tendo esse problema, fique atento às notificações do smartphone.

Além disso, é recomendável que os usuários fiquem atentos com mensagens ou ligações, principalmente aquelas com promessas que parecem imperdíveis. Vale, por exemplo, sempre verificar se a mesma promoção está disponível no site oficial da marca e se o URL do link corresponde ao real – aquele que aparece logo na primeira página de busca do Google.

Uma forma mais radical é pagar para usar números virtuais como uma conta do WhatsApp. Esses números estão disponíveis em plataformas como Skype ou Google Voice. Esses números são de uma empresa de tecnologia, acostumada a lidar com fraudes e que oferece maior proteção. Se um fraudador tentar fazer uma troca de SIM, por exemplo, ele não conseguirá.

2.Recentemente, cerca de 223 milhões de brasileiros tiveram seus dados roubados. Esse número é superior ao da população do país, estimada em 212 milhões, porque inclui dados de pessoas mortas. Como as empresas podem se proteger do vazamento de dados em um mundo de tecnologia em constante mudança?
Temos enfrentado um cenário que ninguém poderia imaginar. Desde o início da pandemia, estamos passando por uma transformação digital e os hábitos das pessoas estão mudando. Empresas e usuários devem se adaptar a ele para manter seus dados seguros. Talvez o Brasil não estivesse preparado em termos de segurança para esta nova situação. Para evitar vazamentos de dados, é necessário estar ciente de algumas soluções.

A proteção de identidades digitais, segurança e privacidade se tornarão essenciais para que as empresas protejam seus dados pessoais, cumpram o LGPD e os movimentos regulatórios crescentes e ganhem a confiança dos usuários. Por causa disso, a PKI e os certificados digitais continuarão a crescer, assim como as plataformas baseadas em automação para ajudar as organizações a gerenciar sua criptografia.

A criptoagilidade será muito importante para as empresas nos próximos anos, ainda mais do que agora. As empresas precisam ter uma maneira inteligente e automatizada de gerenciar todos os certificados digitais em suas redes para garantir a conformidade, evitar interrupções e gerenciar credenciais em escala.

O Heartbleed ensinou pra TI que devemos ter agilidade embutida em nossas implementações criptográficas. Ter uma plataforma para gerenciar centralmente todo o ciclo de vida do certificado (pedido, instalação, renovação, revogação, remediação, etc.) é fundamental nos ambientes digitais de hoje.

Outro ponto importante a se considerar é a segurança das redes domésticas, que se tornou mais comum com a pandemia. Redes hackeadas podem significar acesso ao sistema por usuários não autorizados. Os funcionários que trabalham em casa terão que minimizar os riscos de hackers controlando quem pode acessar a rede. A autenticação multifator (MFA) garante que apenas usuários autorizados possam acessar sistemas controlados, como a plataforma corporativa. Afinal, a rede doméstica, quando comparada a uma rede corporativa, é geralmente menos segura porque geralmente há uma falta de Sistema de Detecção de Intrusão (IDS) e Sistemas de Prevenção de Intrusão (IPS) em um ambiente doméstico.

E também há a assinatura digital de documentos, que permite que trabalhadores remotos assinem documentos com segurança a qualquer hora, de qualquer lugar do mundo e em qualquer dispositivo. Agora é o momento perfeito para incorporar a assinatura digital porque é juridicamente vinculativa, poupa tempo, é segura e nunca expira. Ele também permite que indivíduos e organizações adicionem uma assinatura digital a um documento para demonstrar a identidade e autenticidade do remetente de onde estão localizados e geralmente é mais rápido do que se tivessem que assinar documentos pessoalmente ou em um notário.

Também é importante investir em certificados de cliente para assinatura de e-mail, criptografia de e-mail, autenticação de usuário e autenticação de dispositivo. As empresas geralmente precisam de soluções de certificados digitais especializadas. Isso pode incluir a autenticação de usuários na rede corporativa e dispositivos na rede, autenticação de acesso a aplicativos, proteção da comunicação em redes abertas com certificados (como VPN) e muitos outros usos. Procure certificados projetados para atender a qualquer necessidade, independentemente do sistema operacional do servidor, do número de servidores ou do número de domínios.

3.Golpes relacionados às mídias sociais também estão acontecendo muito no Brasil. Você tem alguma dica de segurança?
É importante ter cuidado ao navegar, seja em sites, redes sociais ou aplicativos. É altamente recomendável não abrir ou baixar arquivos de sites suspeitos ou desconhecidos, nem clicar em links enviados em redes sociais ou aplicativos de mensagens. Outra dica é manter o aparelho com antivírus atualizado.

Certifique-se de visitar sites seguros com certificados confiáveis. TLS (Transport Layer Security) protege todos os dados confidenciais que estão sendo enviados entre dois sistemas, evitando que criminosos leiam e modifiquem qualquer informação transferida, incluindo possíveis detalhes pessoais.

É importante olhar além do bloqueio para verificar a identidade de um site. A CA (Autoridade Certificadora) usa um método de autenticação rigoroso e auditado, e os navegadores controlam a apresentação, tornando difícil para os falsificadores imitar sua marca e imitar seu site online na tentativa de enganar seus clientes.

Veja abaixo como você pode identificar um site verificado em diferentes navegadores:
Apple Safari: Após clicar no cadeado, a última frase indica que este é um certificado EV porque as informações de identidade do site estão lá. O Safari não fornece esse detalhe para outros tipos de certificado.

Google Chrome: o Chrome moveu a tela para trás da fechadura, o que significa que é necessário clicar na fechadura para ver o nome da empresa (em cinza) junto com a jurisdição de incorporação (entre parênteses). Consulte Se “Emitido para: {Nome da Empresa} [Jurisdição]” aparecer em “Certificado (Válido)”, então o site tem um certificado EV.

Microsoft Edge: o Edge agora é construído sobre o Chromium, então a tela EV é muito semelhante à do Chrome.

Mozilla Firefox: Com o lançamento do Firefox 70, um clique no cadeado mostra o nome da empresa para certificados EV. Um clique adicional no Firefox mostra os detalhes estendidos, permitindo que uma parte confiável verifique o nome e o endereço do site.

Para evitar ataques basta usar o software e o navegador com as versões mais recentes do Microsoft Edge, Mozilla Firefox e outros navegadores de provedores de outros provedores que vem equipados com filtros anti-phishing.

4.Os selos do tipo “clique e verifique” são de fato eficientes?
Os selos do site podem ajudar a ganhar a confiança do usuário, permitindo que eles saibam que sua identidade foi validada; e ganhando a confiança do usuário, você tem mais chances de aumentar as conversões. Os usuários podem identificar se o selo do site é real, seguindo as etapas abaixo:

  1. Clique no ícone Selo de Site Seguro
  2. Será aberto um pop-up no qual será possível analisar o nome do site, validade do certificado e nome da empresa
  3. Se você notar alguma não conformidade mesmo após esta verificação, como Certificado expirado, não insira nenhum dado pessoal

Um site validado com o Selo de Site Seguro pela DigiCert, indica que a empresa completa satisfatoriamente todos os procedimentos para determinar se o domínio do site é de propriedade ou registrado por uma empresa ou organização. Portanto, é importante que os usuários sempre confirmem a veracidade do selo.