Informagno | Gestão em TI

Vazamento de dados: o que você deve fazer hoje mesmo

Com dezenas de vazamentos de dados todos os anos, suas informações privadas já podem ser consideradas “quase” públicas. Além disso, muitas vezes, dados antigos são reagrupados e novamente vendidos na dark web e as pessoas ficam com a impressão que vazamentos de dados são  “notícias antigas” e que não há mais o que fazer.

A perda de números de telefone associados a e-mails é particularmente preocupante. Há grande chance de que muitas pessoas tenham as mesmas combinações de e-mail e números de telefone para receber códigos baseados em SMS e efetuar login nessas mesmas contas de e-mail.

Isso significa que o risco de que cibercriminosos tentem aplicar golpes de “troca de chip”, redirecionar os códigos SMS para dispositivos sob seu controle e obter acesso aos e-mails das vítimas é ainda maior. Como todos os e-mails com solicitações “esqueci minha senha” vão para essas contas, essa é a maneira mais fácil, mais eficiente e eficaz para que os cibercriminosos assumam o controle da sua vida digital, sequestrando primeiro sua conta de e-mail e depois a usando para assumir o controle de todas as outras.

A frequência dos ataques “troca de chip” está aumentando. Sua realização também está se tornando mais fácil. Em princípio, você deve partir do pressuposto que seus dados já são públicos e deve tomar medidas para se proteger melhor.

A melhor coisa que você pode fazer para se proteger é parar imediatamente de usar apenas senha, ou senha e códigos SMS para proteger suas contas e começar a usar um app autenticador gratuito como os oferecidos pela Microsoft,  GoogleAuthy ou KeePassXC. Começar a usar um app autenticador pode mitigar o risco de troca de chip,  pois o número de SMS não entram mais na equação. Você pode usar o autenticador para o seu e-mail, bem como para a maioria dos outros apps e serviços compatíveis com apps de autenticação, portanto, na maioria dos casos, você só precisa ter um app autenticador para todas as suas contas (não apenas para e-mail).

Existem também outros riscos decorrentes disso – principalmente, as tentativas de golpes de phishing por meio de SMS, às vezes chamados “SMishing”. Mais uma vez, com seu nome,  endereço de e-mail e com o seu número de telefone, será mais fácil para os invasores e eles podem saber como direcionar esses tipos de mensagens de phishing. Além disso, é mais difícil diferenciar as mensagens SMS falsas das legítimas, porque elas contêm pouquíssimas informações.

Se você pode ser um alvo mais valioso, por exemplo, se você é político, funcionário público, policial ou militar, e continua a usar o mesmo número de telefone nos últimos anos, essas medidas são ainda mais recomendadas. As pessoas que são alvos devem alterar os números de celular regularmente (mas não de maneira previsível). Vale a pena lembrar que o Serviço Secreto dos Estados Unidos fazia isso para o então presidente Donald Trump, como uma tática de segurança, já que ele usava regularmente celulares comerciais.

Passar a usar um app autenticador é considerado a melhor prática recomendada na comunidade de segurança, considerando que os invasores descobriram maneiras de efetivamente combater códigos SMS, está ficando cada vez mais fácil e barato para eles executar ataques. Neste ponto, a pergunta é “quando” e não “se” as pessoas vão parar de usar os códigos SMS e começar a usar apps autenticadores.