Saiba como funcionam os golpes de aplicativos para que você possa proteger a si mesmo e a sua criptografia. Obtenha uma carteira de hardware Trezor hoje.
A fraude é um problema que a sociedade sempre teve de enfrentar. De escribas lamentando materiais de construção de baixa qualidade a estrelas do Vale do Silício que aumentam os investimentos para tecnologias inexistentes, os golpistas constantemente surgem com novas maneiras de implantar engenharia social e desorientação para roubar pessoas de suas economias. Com a criptografia, os mesmos métodos antigos são reempacotados para tirar vantagem das transações digitais, sem permissão e irreversíveis, permitindo que os golpistas escapem da justiça com mais eficácia.
Este artigo dá início a uma nova série de blogs focada em proteger a comunidade criptográfica de golpistas. Cada um vai quebrar uma tática diferente usada por fraudadores para enganar usuários desavisados e destacar os sinais de alerta que indicam quando recuar de um golpe em potencial. A Trezor tem o compromisso de proteger seus usuários por meio da educação e também de nossos produtos. Uma vez que a criptografia é para autocuidado, isso significa que a segurança começa com cada hodler individual. Leia e aprenda como se manter seguro.
Conteúdo:
Aplicativos falsos de criptografia estão em toda parte
Como falsos aplicativos de criptografia roubam de você?
Por que os golpes de aplicativos falsos são tão comuns?
Sinais de alerta de aplicativos falsos.
Como se proteger de falsos golpes de aplicativos.
O que fazer se você for enganado por um aplicativo falso?
Apps falsos estão por toda parte
Como operadoras dos dois maiores sistemas operacionais de smartphones, tanto o Google quanto a Apple aparecem como guardiões estritos no que diz respeito aos aplicativos que permitem que os editores listem em suas plataformas de aplicativos. Provou-se que isso é falso, pois aplicativos maliciosos de todos os tipos continuam a proliferar em ambas as lojas.
Os aplicativos nunca devem ser confiáveis apenas porque foram aprovados e listados em uma das lojas de aplicativos oficiais. Esses mercados estão cheios de aplicativos perigosos, mas a percepção de segurança de estar em um 'jardim murado' - um lugar onde apenas aplicativos supostamente seguros e aprovados podem ser listados - é uma ilusão prejudicial que leva os usuários a baixar a guarda em vez de reconhecer o sinais de aviso.
Seja qual for o aplicativo que você baixou, sempre há a chance de que ele esteja comprometido de alguma maneira. Embora tendamos a ignorar o fato de que mesmo os aplicativos oficiais fazem pouco mais de coleta de dados do usuário, os aplicativos realmente maliciosos discutidos aqui vão um passo além e procuram coletar os fundos do usuário diretamente de sua conta bancária ou carteira de criptografia. Vamos ver como eles fazem isso e quais sinais de alerta devem ser observados.
Como falsos aplicativos de criptografia roubam de você
Existem diferentes tipos de fraudes criptográficas que vêm empacotadas como aplicativos falsos. Cobriremos os mais comuns, que são aplicativos de phishing: aqueles que tentam extrair informações confidenciais, geralmente apenas pedindo a um usuário inexperiente para inseri-las manualmente. Na criptografia, a informação mais sensível é a sua semente de recuperação. Outros golpes mais elaborados também existem, nos quais vendem serviços de empréstimo ou imitam uma troca - abordaremos essas táticas em um blog posterior.
O tipo de aplicativo falso mais comumente relatado relacionado ao Trezor é um aplicativo móvel que afirma operar com sua carteira de hardware Trezor. Nenhum aplicativo móvel existe atualmente para carteiras de hardware Trezor. Depois de baixado, o aplicativo afirma ter encontrado um erro e instrui os usuários a digitar sua semente de recuperação no aplicativo usando o teclado móvel. Nunca insira sua semente diretamente em um celular ou computador, e somente use-a quando sua carteira de hardware Trezor solicitar.
Assim que a vítima entra em seu seed, o conteúdo de sua carteira pode ser levado pelo invasor, com pouca esperança de algum dia recuperá-lo. A eficácia deste golpe é explicada por duas coisas: a vítima é obrigada a agir com urgência e ignorar os sinais de alerta; e leva apenas alguns minutos para cometer um erro irreversível, então até mesmo usuários experientes podem cair nisso em um lapso de concentração.
O phishing destaca uma lacuna na educação, bem como uma oportunidade de melhorar a experiência do usuário em todo o setor de criptografia. As coisas precisam ser simplificadas para que os usuários não precisem temer constantemente cometer erros catastróficos. Trezor Suite foi feito como um aplicativo de desktop autônomo, um ecossistema autônomo com uma interface fácil que oferece controle total da criptografia em um só lugar. Reforçando as boas práticas de segurança e projetando um ambiente mais resiliente para usuários de criptografia, todos nós podemos ajudar a minimizar o impacto de golpes de aplicativos.
Por que os golpes de aplicativos são tão comuns?
Qualquer um pode baixar acidentalmente um aplicativo de criptografia falso. Da forma como os mercados de aplicativos se apresentam, parece haver várias salvaguardas em vigor, portanto, um aplicativo falso geralmente está apenas a uma pesquisa de distância. A suposta segurança dos mercados de aplicativos é enganosa, pois seus dados e processos podem ser facilmente manipulados. Por mais cuidadoso que seja, você ainda pode baixar acidentalmente um aplicativo suspeito.
Quando aplicativos maliciosos entram em um mercado como a App Store, o aplicativo passa por certas verificações de segurança e é considerado seguro. Mas as verificações da Apple não são abrangentes, nem podem ser, e o aplicativo pode ser modificado após aprovação. É por isso que qualquer software instalado em um dispositivo usado para criptografia deve sempre ser tratado com cuidado até que você possa verificar se é legítimo.
“Os desenvolvedores de aplicativos criminosos podem quebrar as regras da Apple ao enviar aplicativos aparentemente inócuos para aprovação e, em seguida, transformá-los em aplicativos de phishing que enganam as pessoas para que forneçam suas informações, de acordo com a Apple.” - Washington Post.
Infelizmente, isso é difícil, pois as principais maneiras de verificar um aplicativo - olhando as classificações, downloads e comentários da App Store - são fáceis de falsificar usando hordas de contas de bot que fornecem avaliações artificiais que atestam a segurança do aplicativo. Isso torna muito difícil distinguir um aplicativo real de um falso.
“Quando Christodoulou abriu as resenhas escritas, ele leu reclamações de outras pessoas que haviam sido enganadas da mesma maneira. As avaliações de cinco estrelas que ajudaram a fazer o aplicativo parecer legítimo devem ter sido falsas, concluiu ele. ” - Washington Post.
Em março de 2021, o Washington Post percebeu a falta de moderação da equipe da app store da Apple, fazendo com que um usuário perdesse 17 Bitcoins. Embora tenha atraído muita atenção e até mesmo uma resposta da Apple, nada parece ter mudado sobre como os mercados verificam os aplicativos que listam. Seis meses depois, continuamos a encontrar novos aplicativos falsos quase que semanalmente.
Sinais de alerta de aplicativos falsos
Como acontece com qualquer golpe, há uma série de sinais de alerta a serem observados, que podem ajudar a identificar os golpes muito antes de enfrentar qualquer risco real. Com a devida diligência, não há razão para ser vítima de um esquema de aplicativo falso.
Seja crítico com as avaliações e classificações
Embora já tenhamos estabelecido que os próprios mercados não são confiáveis para moderar os aplicativos em oferta, ou mesmo garantir que os comentários e as avaliações sejam legítimas, é importante fazer uma referência cruzada de todos os dados disponíveis para obter uma primeira impressão.
“A lista da Play Store teve uma classificação de quase cinco estrelas, algumas críticas basicamente falsas e cerca de 500 downloads. Parecia algo crível para o usuário casual. ” - Kamil Vavra.
Freqüentemente, avaliações e classificações falsas são criadas para acompanhar um aplicativo falso, por isso é importante investigá-las e procurar críticas e avisos negativos de usuários reais, que muitas vezes ficam escondidos além da primeira página.
Seja conservador com as permissões do aplicativo
A indústria de aplicativos coloca a coleta de dados acima dos melhores interesses dos usuários. Há uma tendência perigosa de os aplicativos exigirem permissões de acesso não relacionadas à função que fornecem. Mesmo com aplicativos legítimos, você nunca deve dar acesso a partes do seu dispositivo que não sejam essenciais para o funcionamento do aplicativo. Para evitar se apaixonar por um aplicativo malicioso, aprenda a ser crítico com todos os aplicativos que você usa, para não prejudicar ainda mais sua privacidade.
Confirme se um aplicativo oficial realmente existe
Aplicativos oficiais legítimos são desenvolvidos e mantidos por equipes de pessoas reais, trabalhando para empresas reais. Antes de baixar qualquer aplicativo ou software de qualquer tipo, reserve alguns segundos para confirmar se o projeto realmente existe. No caso da criptografia, esse esforço minúsculo pode ser a diferença entre proteger as economias de uma vida ou perdê-las todas.
Trezor ainda não lançou nenhum aplicativo móvel para usar com sua carteira de hardware. Não baixe nenhum aplicativo Trezor de nenhum mercado de aplicativos: eles são todos falsos e projetados para roubar seu dinheiro.
Não use sua semente a menos que seja orientado por seu Trezor
A instalação de um aplicativo falso pode implantar spyware ou ferramentas sofisticadas de hacking em seu telefone. Isso é um problema, mas não importa para os fundos dos usuários da carteira de hardware. Se você protege sua criptografia com um Trezor, o risco não é um spyware, mas um simples phishing. Os aplicativos falsos geralmente são construídos de forma simples e barata, servindo apenas a uma função: pedir aos usuários que insiram suas palavras-semente e as transmitam ao criador do aplicativo.
“Encontrei um aplicativo Trezor Mobile Wallet falso na Google Play Store. Quando o abri, ele pediu minhas palavras-semente. Eu desinstalei imediatamente. ” - Usuário do Reddit Aidfarh.
Como afirmamos em muitos lugares, sua semente é usada apenas para recuperar seu dispositivo e sempre será iniciada pelo próprio dispositivo Trezor. Não insira sua semente em um aplicativo ou site, a menos que primeiro inicie o processo de recuperação usando seu dispositivo e, em seguida, faça-o apenas seguindo o processo seguro descrito no wiki Trezor.
“O aplicativo Android era apenas um WebView para o site de phishing. A única funcionalidade era inserir a frase de backup 12/24 para conectar o Trezor. Qualquer pessoa que use o Trezor deve saber que você nunca deve entrar nele, mas, infelizmente, as pessoas ainda estão se apaixonando. ” - Kamil Vavra.
Como se proteger de falsos golpes de aplicativos
A criptomoeda é construída sobre a custódia independente, portanto, a segurança também deve começar com o indivíduo. É culpa das lojas de aplicativos não conseguirem manter os golpes, especialmente porque cobram comissões para garantir um serviço seguro e protegido, mas mesmo que isso seja reconhecido, é melhor presumir que sempre haverá aplicativos criptográficos falsos à espreita online .
Educar a si mesmo e aos outros sobre quais sinais de alerta devem ser observados é essencial. Freqüentemente, é fácil identificar um aplicativo falso com um pouco de pesquisa. Mais importante, entretanto, é entender que sua semente é tudo que um invasor precisa para acessar sua criptografia. Sua semente sempre deve ser mantida privada e segura.
Use uma carteira de hardware
Para manter seu seed seguro, certifique-se de usar uma carteira de hardware para gerar e armazenar seu seed offline. Isso impede que aplicativos maliciosos procurem sua semente em dispositivos ou redes que você usa e até mesmo protege sua semente nas raras ocasiões em que você precisa recuperar suas moedas.
Com uma carteira de hardware, você nunca precisará digitar todo o seu seed em um computador. Se em algum momento você for solicitado a fazer isso, alguém está tentando enganá-lo. As sementes devem ser inseridas diretamente nas carteiras de hardware Trezor e o processo é sempre guiado por seu Trezor, para que você possa ter certeza de que qualquer outro método solicitado é uma fraude.
Atenha-se aos aplicativos verificados
Sempre tome cuidado com qualquer coisa que você baixar para criptografia. Interfaces de carteira de código aberto transparentes, como o Trezor Suite, permitem que você verifique se o software não está ocultando nenhum código malicioso. O Trezor Suite também simplifica a realização de operações criptográficas diárias em um só lugar, sem a necessidade de depender de muitos aplicativos e sites diferentes.
Lembre-se de que não existe um aplicativo móvel oficial da Trezor. O Trezor Suite pode ser conectado em suite.trezor.io a partir de um navegador móvel para desfrutar da mesma experiência em trânsito.
O que fazer se você for enganado por um aplicativo falso?
Se você perdeu fundos devido a um esquema falso de aplicativo de criptografia, provavelmente não há nada que possa fazer para recuperar o seu dinheiro. Infelizmente, as transações de criptomoeda são finais e não podem ser revertidas, então a melhor esperança de recuperação é seguir um processo de relatório convencional por meio da aplicação da lei. Em alguns casos, é possível rastrear os fundos até que o criminoso tente convertê-los em moeda fiduciária normal, momento em que são frequentemente capturados.
Aplicativos de criptografia falsos são um problema crescente que as plataformas em que aparecem não estão resolvendo. Impedir que os usuários baixem os aplicativos, em primeiro lugar, significa aumentar a conscientização sobre o problema. O mais importante é ensinar aos recém-chegados que proteger a semente de alguém é essencial para proteger os ativos digitais e não deve ser considerado levianamente. Se este artigo o ajudou a entender os aplicativos de criptografia falsos, faça sua parte e compartilhe-a com outras pessoas para torná-la mais segura para todos.
...
