Golpes envolvendo cripto: falsos aplicativos e golpes de software

A fraude é um problema que a sociedade sempre teve que aturar. De escribas lamentando materiais de construção de baixa qualidade a estrelas do Vale do Silício levantando investimentos para tecnologias inexistentes, os golpistas constantemente criam novas maneiras de implantar engenharia social e desorientação para enganar indivíduos. Com a criptomoeda, os mesmos métodos antigos são remodelados para tirar proveito de transações digitais, sem permissão e irreversíveis, permitindo que os golpistas escapem da justiça com mais eficiência.

A Trezor está comprometida em proteger seus usuários por meio da disseminação do conhecimento, bem como de nossos produtos. Como a criptomoeda é para autocustódia, isso significa que a segurança começa com cada hodler individual. Continue lendo e saiba como se manter seguro.

Aplicativos falsos estão em toda parte

Como operadoras dos dois maiores sistemas operacionais de smartphones, Google e Apple aparecem como guardiões rígidos quando se trata dos aplicativos que permitem que os editores listem em suas plataformas de aplicativos. Isso provou ser falso, pois aplicativos maliciosos de todos os tipos continuam a proliferar em ambas as lojas.

Os aplicativos nunca devem ser confiáveis ​​apenas porque foram aprovados e listados em uma das lojas oficiais de aplicativos. Esses mercados estão cheios de aplicativos perigosos, mas a segurança percebida de estar em um ‘jardim murado’ – um lugar onde apenas aplicativos supostamente seguros e aprovados podem ser listados – é uma ilusão prejudicial que leva os usuários a baixar a guarda em vez de reconhecer o sinais de alerta.

Seja qual for o aplicativo que você baixar, sempre há a chance de que ele seja comprometido de alguma forma. Embora tendemos a ignorar o fato de que mesmo os aplicativos oficiais coletam pouco mais de dados do usuário, os aplicativos realmente maliciosos discutidos aqui vão um passo além e buscam coletar fundos do usuário diretamente de sua conta bancária ou carteira de criptomoedas. Vamos ver como eles fazem isso e quais sinais de alerta devem ser observados.

Como falsos aplicativos de cripto podem roubar você

Existem diferentes tipos de golpes de criptomoedas que vêm embalados como aplicativos falsos. Abordaremos os mais comuns, que são aplicativos de phishing: aqueles que tentam extrair informações confidenciais, geralmente apenas pedindo a um usuário inexperiente que as insira manualmente. Em criptomoeda, a informação mais sensível é sua semente de recuperação. Também existem outros golpes mais elaborados, onde eles vendem serviços de empréstimo ou imitam uma exchange.

O tipo de aplicativo falso mais comumente relatado relacionado a Trezor é um aplicativo móvel que afirma operar com sua Trezor. Atualmente, não existem aplicativos móveis oficiais para operarem na Trezor. Uma vez baixado, o aplicativo alega encontrar um erro e instrui os usuários a digitar a sua frase de recuperação no aplicativo usando o teclado móvel. Nunca insira a sua frase de recuperação que é o seu backup diretamente em um celular ou computador e só use o seu backup quando sua a carteira Trezor pedir.

Assim que a vítima digita o seu backup da carteira, o conteúdo de sua carteira pode ser levado pelo invasor com pouca esperança de recuperá-lo. A eficácia deste golpe é explicada por duas coisas: a vítima é obrigada a agir com urgência e ignorar os sinais de alerta; e leva apenas alguns momentos para cometer um erro irreversível, então mesmo usuários experientes podem cair em um lapso de concentração.

O phishing destaca uma lacuna educacional e uma oportunidade de melhorar a experiência de usuário em todo o setor de criptomoedas. As coisas precisam ser simplificadas para que os usuários não precisem temer constantemente cometer erros catastróficos. O Trezor Suite foi feito como um aplicativo desktop autônomo, um ecossistema independente com uma interface fácil que oferece controle total de suas moedas em um só lugar. Ao reforçar as boas práticas de segurança e projetar um ambiente mais resiliente para usuários de criptomoedas, todos podemos ajudar a minimizar o impacto dos golpes de aplicativos.

Por que os golpes de aplicativos são tão comuns

Qualquer um pode baixar acidentalmente um aplicativo falso de criptomoeda. Da maneira como os marketplaces de aplicativos se apresentam, parece haver várias salvaguardas, portanto, um aplicativo falso geralmente está a apenas uma pesquisa de distância. A suposta segurança dos mercados de aplicativos é enganosa, pois seus dados e processos podem ser facilmente manipulados. Por mais cuidadoso que seja, você ainda pode baixar acidentalmente um aplicativo suspeito.

Quando aplicativos maliciosos entram em um mercado como a App Store, o aplicativo passa por certas verificações de segurança e é considerado seguro. Mas as verificações da Apple não são abrangentes, nem podem ser, e o aplicativo pode ser modificado após a aprovação. É por isso que qualquer software instalado em um dispositivo usado para criptomoedas deve sempre ser tratado com cautela até que você possa verificar se é legítimo.

“Os desenvolvedores de aplicativos criminosos podem quebrar as regras da Apple enviando aplicativos aparentemente inócuos para aprovação e, em seguida, transformando-os em aplicativos de phishing que enganam as pessoas para que forneçam suas informações, de acordo com a Apple.” — Washington Post

Infelizmente, isso é difícil, pois as principais maneiras de verificar um aplicativo – observando as classificações, downloads e comentários da App Store – são fáceis de falsificar usando hordas de contas de bots que fornecem avaliações artificiais e garantem a segurança do aplicativo. Isso torna muito difícil distinguir um aplicativo real de um falso.

“Quando Christodoulou abriu as críticas escritas, ele leu reclamações de outras pessoas que foram enganadas da mesma maneira. As classificações de cinco estrelas que ajudaram a fazer o aplicativo parecer legítimo devem ter sido falsas, concluiu ele.” — Washington Post

Em março de 2021, o Washington Post percebeu a falta de moderação da equipe da loja de aplicativos da Apple, fazendo com que um usuário perdesse 17 bitcoins. Embora tenha atraído muita atenção e até mesmo uma resposta da Apple, nada parece ter mudado sobre como os mercados verificam os aplicativos que listam. Seis meses depois, continuamos a encontrar novos aplicativos falsos quase semanalmente.

Sinais de alerta de aplicativos falsos

Como em qualquer golpe, há vários sinais de alerta a serem observados, que podem ajudar a identificar golpes muito antes de enfrentar qualquer risco real. Com a devida diligência, não há motivo para ser vítima de um golpe de aplicativo falso.

Seja crítico com as avaliações e classificações.

Embora já tenhamos estabelecido que as próprias lojas de apps não são confiáveis ​​para moderar os aplicativos oferecidos, ou mesmo garantir que os comentários e a classificação sejam legítimos, é importante fazer uma referência cruzada de todos os dados disponíveis para obter uma primeira impressão.

“A listagem da Play Store teve uma classificação de quase cinco estrelas, algumas críticas principalmente falsas e cerca de 500 downloads. Parecia um pouco crível para o usuário casual.” — Kamil Vavra

Frequentemente, avaliações falsas serão criadas para acompanhar um aplicativo falso, por isso é importante investigar isso e procurar críticas negativas e avisos de usuários reais, que geralmente ficam enterrados além da primeira página.

Seja conservador com as permissões do aplicativo.

A indústria de aplicativos coloca a coleta de dados à frente dos interesses dos usuários. Existe uma tendência perigosa para os aplicativos exigirem permissões de acesso não relacionadas à função que eles fornecem. Mesmo com aplicativos legítimos, você nunca deve dar acesso a partes do seu dispositivo que não sejam essenciais para o funcionamento do aplicativo. Para evitar cair em um aplicativo malicioso, aprenda a ser crítico com todos os aplicativos que você usa, para não prejudicar ainda mais sua privacidade.

Confirme se um aplicativo oficial realmente existe.

Aplicativos oficiais legítimos são desenvolvidos e mantidos por equipes de pessoas reais, trabalhando para empresas reais. Antes de baixar qualquer aplicativo ou software de qualquer tipo, reserve alguns segundos para confirmar que o projeto realmente existe. No caso da criptografia, esse esforço minúsculo pode ser a diferença entre proteger suas economias de vida ou perdê-las todas.

A Trezor ainda não lançou nenhum aplicativo móvel para uso com sua hardware wallet na data que este artigo foi publicado. Não baixe nenhum aplicativo Trezor de nenhuma loja de aplicativos: todos são falsos e projetados para roubar seu dinheiro.

não informe a sua frase de recuperação a menos que seja orientado pela sua trezor

A instalação de um aplicativo falso pode implantar spyware ou ferramentas sofisticadas de hackers em seu telefone. Isso é um problema, mas não importará para os fundos dos usuários de hardwallets. Se você proteger as suas moedas com uma Trezor, o risco não é de spyware, mas de phishing simples. Aplicativos falsos geralmente são construídos de forma muito barata e simples, servindo apenas a uma função: pedir aos usuários que digitem as suas palavras iniciais e as transmitam ao criador do golpe.

“Encontrei um aplicativo falso da Trezor Mobile Wallet na Google Play Store. Quando o abri, ele pediu minhas palavras-semente. Eu desinstalei imediatamente.” — Usuário do Reddit Aidfarh

Como afirmamos em muitos lugares, sua frase de recuperação é usada apenas ao recuperar seu dispositivo e sempre será iniciada pelo próprio dispositivo Trezor. Não insira sua frase de recuperação em um aplicativo ou site, a menos que você inicie o processo de recuperação usando seu dispositivo e, em seguida, siga o processo seguro descrito em nosso guia.

“o aplicativo Android era apenas um WebView para o site de phishing. A única funcionalidade era inserir a frase das palavras de backup 12/24 para conectar a Trezor. Qualquer um que usa a Trezor deve saber que você nunca deve entrar em nenhum lugar, mas, infelizmente, as pessoas ainda estão se apaixonando por ele.” — Kamil Vavra

Como se proteger de golpes de aplicativos falsos

A criptomoeda é construída sobre custódia independente, portanto, a segurança também deve começar com o indivíduo. É culpa das lojas de aplicativos que eles não conseguem manter os golpes, especialmente porque cobram comissões para garantir um serviço seguro e protegido, mas mesmo que isso seja reconhecido, é melhor supor que sempre haverá aplicativos falsos de criptomoedas à espreita online.

Educar a si mesmo e aos outros sobre quais sinais de alerta devem ser observados é essencial. Muitas vezes é fácil identificar um aplicativo falso com um pouco de pesquisa diligente. Mais importante, no entanto, é entender que sua frase de recuperação é tudo o que um invasor precisa para acessar as suas moedas. Sua frase de recuperação deve ser sempre mantida privada e segura.

Use uma carteira física

Para manter sua frase de recuperação segura, certifique-se de usar uma carteira física para gerar e armazenar sua frase de recuperação. Isso impede que aplicativos maliciosos procurem esta frase em dispositivos ou redes que você usa e até protege a sua carteira nas raras ocasiões em que você precisa recuperar suas moedas.

Com uma carteira física, você nunca precisará digitar sua frase de recuperação completa em um computador. Se em algum momento você for solicitado a fazer isso, alguém está tentando enganá-lo. As palavras de backup devem ser inseridas diretamente nas carteiras Trezor, e o processo é sempre guiado pela sua Trezor, para que você possa ter certeza de que qualquer outro método solicitado a usar é uma fraude.

Atenha-se aos aplicativos verificados.

Sempre seja cauteloso com qualquer coisa que você baixa para criptomoedas. Interfaces transparentes de carteira de código aberto, como o Trezor Suite, permitem verificar se o software não está ocultando nenhum código malicioso. O Trezor Suite também simplifica a realização de operações diárias de suas moedas em um só lugar, sem a necessidade de depender de muitos aplicativos e sites diferentes.

Lembre-se, pelo menos no momento em que este artigo foi publicado, não há nenhum aplicativo oficial da Trezor para smartfones. O Trezor Suite pode ser conectado em suite.trezor.io a partir de um navegador móvel para desfrutar da mesma experiência em qualquer lugar.

O que fazer se você for enganado por um aplicativo falso

Se você perdeu fundos devido a um phishing seja por site ou aplicativo, provavelmente não há nada que você possa fazer para recuperar seu dinheiro. Infelizmente, as transações de criptomoedas são finais e não podem ser revertidas, portanto, a melhor esperança de recuperação é seguir um processo de denúncia convencional por meio da aplicação da lei. Em alguns casos, é possível rastrear os fundos até que o criminoso tente convertê-los em moeda fiduciária regular, ponto em que são frequentemente pegos.

Aplicativos falsos de criptomoedas é um problema crescente que as plataformas em que aparecem não estão abordando. Impedir que os usuários baixem os aplicativos em primeiro lugar significa aumentar a conscientização sobre o problema. O mais importante é ensinar aos recém-chegados que proteger o mnemônico é essencial para proteger os ativos digitais e não deve ser informado em nenhum ambiente online. Se este artigo lhe ajudou a entender os aplicativos de phishings, faça sua parte e compartilhe com outras pessoas para torná-lo mais seguro para todos.

fonte: blog.trezor.io