O WhatsApp sob a ótica da segurança cibernética

Entrevista com Dean Coclin, diretor de Desenvolvimento de Negócios da Digicert, empresa de segurança cibernética:

Dean Coclin - Senior Director @ CA Security Council - Crunchbase Person  Profile

1.Em 2020, quase 5 milhões de brasileiros caíram em algum tipo de golpe relacionado ao WhatsApp. Por que esse ataque está se tornando tão popular?

Existem vários desafios quando se trata de segurança e uso de dispositivos móveis. Em relação ao WhatsApp, os criminosos realizaram várias ações para clonar contas do aplicativo de bate-papo. Alguns deles nem precisam usar nenhum ataque cibernético. Basta um telefonema e um bom papo para atingir o objetivo. O principal interesse do criminoso no WhatsApp é o alcance da plataforma.

Uma característica desse golpe é que os bandidos fazem seu dever de casa. Para isso, acessam perfis abertos do Instagram e Facebook, anúncios em sites de compra e venda ou mesmo no Linkedin de possíveis vítimas. O objetivo dos criminosos continua o mesmo: pedir dinheiro para contatos em nome da vítima. Para isso, utilizam o famoso golpe da engenharia social, ação que costuma ser bastante eficaz devido à relação de confiança entre as vítimas. Nesse caso, os golpistas convencem o usuário a informar por telefone o código de seis números enviados pelo WhatsApp por mensagem SMS, necessários para concluir a autenticação da conta em outro celular.

2. O que as pessoas podem fazer para se proteger?

A boa notícia é que se proteger de golpes no WhatsApp não é tão difícil. Basta tomar medidas de segurança no próprio aplicativo, como a verificação em duas etapas. Outra dica está relacionada ao WhatsApp Web. Pode acontecer que o usuário se esqueça do sistema conectado no trabalho ou em um computador que não seja o seu, o que permitiria a alguém ler suas mensagens. Para saber se você está tendo esse problema, fique atento às notificações do smartphone.

Além disso, é recomendável que os usuários fiquem atentos com mensagens ou ligações, principalmente aquelas com promessas que parecem imperdíveis. Vale, por exemplo, sempre verificar se a mesma promoção está disponível no site oficial da marca e se o URL do link corresponde ao real – aquele que aparece logo na primeira página de busca do Google.

Uma forma mais radical é pagar para usar números virtuais como uma conta do WhatsApp. Esses números estão disponíveis em plataformas como Skype ou Google Voice. Esses números são de uma empresa de tecnologia, acostumada a lidar com fraudes e que oferece maior proteção. Se um fraudador tentar fazer uma troca de SIM, por exemplo, ele não conseguirá.

3. E as empresas? Como podem se proteger?

Temos enfrentado um cenário que ninguém poderia imaginar. Desde o início da pandemia, estamos passando por uma transformação digital e os hábitos das pessoas estão mudando. Empresas e usuários devem se adaptar a ele para manter seus dados seguros. Talvez o Brasil não estivesse preparado em termos de segurança para esta nova situação. Para evitar vazamentos de dados, é necessário estar ciente de algumas soluções.

A proteção de identidades digitais, segurança e privacidade se tornarão essenciais para que as empresas protejam seus dados pessoais, cumpram o LGPD e os movimentos regulatórios crescentes e ganhem a confiança dos usuários. Por causa disso, a PKI e os certificados digitais continuarão a crescer, assim como as plataformas baseadas em automação para ajudar as organizações a gerenciar sua criptografia.

A criptoagilidade será muito importante para as empresas nos próximos anos, ainda mais do que agora. As empresas precisam ter uma maneira inteligente e automatizada de gerenciar todos os certificados digitais em suas redes para garantir a conformidade, evitar interrupções e gerenciar credenciais em escala.

O Heartbleed ensinou pra TI que devemos ter agilidade embutida em nossas implementações criptográficas. Ter uma plataforma para gerenciar centralmente todo o ciclo de vida do certificado (pedido, instalação, renovação, revogação, remediação, etc.) é fundamental nos ambientes digitais de hoje.

Outro ponto importante a se considerar é a segurança das redes domésticas, que se tornou mais comum com a pandemia. Redes hackeadas podem significar acesso ao sistema por usuários não autorizados. Os funcionários que trabalham em casa terão que minimizar os riscos de hackers controlando quem pode acessar a rede. A autenticação multifator (MFA) garante que apenas usuários autorizados possam acessar sistemas controlados, como a plataforma corporativa. Afinal, a rede doméstica, quando comparada a uma rede corporativa, é geralmente menos segura porque geralmente há uma falta de Sistema de Detecção de Intrusão (IDS) e Sistemas de Prevenção de Intrusão (IPS) em um ambiente doméstico.

E também há a assinatura digital de documentos, que permite que trabalhadores remotos assinem documentos com segurança a qualquer hora, de qualquer lugar do mundo e em qualquer dispositivo. Agora é o momento perfeito para incorporar a assinatura digital porque é juridicamente vinculativa, poupa tempo, é segura e nunca expira. Ele também permite que indivíduos e organizações adicionem uma assinatura digital a um documento para demonstrar a identidade e autenticidade do remetente de onde estão localizados e geralmente é mais rápido do que se tivessem que assinar documentos pessoalmente ou em um notário.

Também é importante investir em certificados de cliente para assinatura de e-mail, criptografia de e-mail, autenticação de usuário e autenticação de dispositivo. As empresas geralmente precisam de soluções de certificados digitais especializadas. Isso pode incluir a autenticação de usuários na rede corporativa e dispositivos na rede, autenticação de acesso a aplicativos, proteção da comunicação em redes abertas com certificados (como VPN) e muitos outros usos. Procure certificados projetados para atender a qualquer necessidade, independentemente do sistema operacional do servidor, do número de servidores ou do número de domínios.

4. Quais são as melhores práticas em relação à segurança nas Redes Sociais?

É importante ter cuidado ao navegar, seja em sites, redes sociais ou aplicativos. É altamente recomendável não abrir ou baixar arquivos de sites suspeitos ou desconhecidos, nem clicar em links enviados em redes sociais ou aplicativos de mensagens. Outra dica é manter o aparelho com antivírus atualizado.

Certifique-se de visitar sites seguros com certificados confiáveis. TLS (Transport Layer Security) protege todos os dados confidenciais que estão sendo enviados entre dois sistemas, evitando que criminosos leiam e modifiquem qualquer informação transferida, incluindo possíveis detalhes pessoais.

É importante olhar além do bloqueio para verificar a identidade de um site. A CA (Autoridade Certificadora) usa um método de autenticação rigoroso e auditado, e os navegadores controlam a apresentação, tornando difícil para os falsificadores imitar sua marca e imitar seu site online na tentativa de enganar seus clientes.

Veja abaixo como você pode identificar um site verificado em diferentes navegadores:

● Apple Safari: Após clicar no cadeado, a última frase indica que este é um certificado EV porque as informações de identidade do site estão lá. O Safari não fornece esse detalhe para outros tipos de certificado.

● Google Chrome: o Chrome moveu a tela para trás da fechadura, o que significa que é necessário clicar na fechadura para ver o nome da empresa (em cinza) junto com a jurisdição de incorporação (entre parênteses). Consulte Se “Emitido para: {Nome da Empresa} [Jurisdição]” aparecer em “Certificado (Válido)”, então o site tem um certificado EV.

● Microsoft Edge: o Edge agora é construído sobre o Chromium, então a tela EV é muito semelhante à do Chrome.

● Mozilla Firefox: Com o lançamento do Firefox 70, um clique no cadeado mostra o nome da empresa para certificados EV. Um clique adicional no Firefox mostra os detalhes estendidos, permitindo que uma parte confiável verifique o nome e o endereço do site.

Para evitar ataques basta usar o software e o navegador com as versões mais recentes do Microsoft Edge, Mozilla Firefox e outros navegadores de provedores de outros provedores que vem equipados com filtros anti-phishing.

Deixe uma resposta