Link

Boa parte de nossas vidas está enraizada no mundo digital. O lado positivo é óbvio: a comunicação, o entretenimento e a execução de outras tarefas ganharam aliados poderosos — isso sem contar a capacidade de realizar transações financeiras quase instantâneas. Por outro lado, aumentaram também as oportunidades para golpistas e criminosos — os megavazamentos de informações ocorridos nos últimos meses são uma prova disso.

Levar uma vida digital saudável é cada vez mais complexo. Antes de usar qualquer serviço, é preciso exercitar certos mantras que valem para todo o ambiente online, como ter uma senha forte ou utilizar autenticação em dois fatores. Com isso em mente, o próximo passo é ficar atento aos detalhes de cada tipo de serviço que se planeja usar — afinal, a internet tem diferentes galhos e raízes.

Neste guia, listamos como se proteger nos principais meios mais utilizados na internet: e-mail, redes sociais, apps de mensagem, banco online e compras online. Cada um oferece janelas diferentes para roubo de dados e invasão de privacidade.

Mantras básicos para nunca esquecer

A força da senha

A proteção de senhas de redes sociais, sites e aplicativos pode cair no esquecimento das tarefas do dia a dia, mas é tão importante quanto não publicar dados pessoais na internet — essa é a primeira barreira de proteção no ambiente digital. Por isso, ela deve ser reforçada com o máximo de cuidado possível, e com frequência. Você não deve manter a mesma senha a vida toda.

Segundo Guilherme Wachs, professor do departamento de Ciência da Computação do Centro Universitário FEI, a senha funciona como um grande chaveiro: cada porta deve ter a sua própria chave. A recomendação é que as senhas de diferentes serviços sejam também diferentes entre si.

Então, como criar uma senha forte? Além de possuírem no mínimo oito caracteres, envolvendo letras maiúsculas e minúsculas, números e símbolos, elas devem ser trocadas em um período de seis meses a um ano.

“A troca periódica está relacionada ao tamanho da sua senha. Senhas com menos caracteres podem ser quebradas com mais velocidade por hackers. A troca em um período de seis meses a um ano dificulta a ação de cibercriminosos”, diz. É uma prática bastante importante: ao variar as senhas, você se protege de problemas caso ocorra algum vazamento.

Claro, não é fácil manter senhas diferentes para cada um dos serviços que você acessa a rede — a dificuldade aumenta quando é preciso fazer mudanças constantes. Para isso, um gerador de senhas pode ajudar.

Nesses serviços, é possível encontrar diversas ferramentas que ajudam a compor um conjunto para a proteção de suas redes e sites. Geradores de senhas trazem opções de ajustes como quantidade de caracteres, letras, números, símbolos e ainda apontam se a senha deve ser fácil ou não de ler. A escolha dessas características pode variar conforme a conta e o gosto de cada um, mas a recomendação é que quanto mais caracteres, melhor. Alguns desses serviços são Last Pass, RoboForm e 4Devs.

Wachs conta que não há nenhum problema em utilizar um gerador de senha e que pode ser uma boa maneira de diversificar as senhas conforme o serviço.

É importante lembrar também que combinações sequenciais, como “1234” e “abcd” no início ou no final da senha — até mesmo na senha como um todo — não são recomendadas. Esses padrões são os mais óbvios e são os primeiros a entrarem nas tentativas dos cibercriminosos, por isso não é seguro adicioná-los à sua conta.

Também não repita padrões quando renovar a senha de um serviço. Por exemplo: se a senha antiga for “C@chorro123”, não mude para “123C@chorro”. Isso é uma maneira de evitar que criminosos detectem o seu padrão de criação caso as duas senhas estejam em algum vazamento.

Jéferson Campos Nobre, professor do Instituto de Informática da Universidade Federal do Rio Grande do Sul (UFRGS), explica que é sempre uma má ideia anotar as senhas em blocos de notas no celular ou então em um bloquinho que você leva para rua ou que fica mal guardado —  afinal, o estrago pode ser grande se você for roubado.

“Uma opção hoje são apps seguros em que você pode armazenar senhas e ter controle sobre elas”, afirma. Esses serviços são chamados de gerenciadores de senhas. São exemplos dessas plataformas nomes como 1Password, Dashlane e Keeper.

Caso você não queira usar esses apps, uma dica importante é memorizar com carinho a combinação usada para acessar o e-mail — a partir dele, a maioria das outras senhas podem ser recuperadas.

Autenticação em dois fatores é obrigatória

Todos os especialistas ouvidos pelo Estadão afirmam que a autenticação em dois fatores deixou de ser opcional para ser fundamental como forma de login. Hoje, a maioria dos serviços como WhatsApp, Facebook, Twitter, Instagram e Google oferecem a ferramenta.

Autenticação em dois fatores é uma das formas mais simples e eficazes de adicionar um reforço extra na segurança. O método é uma camada de proteção que pede uma confirmação do login mesmo depois de você colocar sua senha — tudo para garantir que é realmente você que está acessando a conta.

A forma com que esse “segundo login” é feito depende de cada plataforma. Em algumas, é possível configurar para receber um código diferente, via SMS ou e-mail, a cada vez que o usuário entra na conta. Em outras, um código fixo é oferecido e, toda vez que for solicitado, precisa ser inserido no site ou app. Nesse caso, é mais uma senha que você precisa guardar com cuidado e acima de tudo: não fornecer para ninguém.

“A autenticação em dois fatores é o primeiro grande diferencial na segurança. Ela une uma coisa que você sabe (a senha) a uma coisa que você tem (um aparelho que recebe o código)”, explica Frederico Tostes, diretor da Fortinet Brasil.

O sistema sempre deve ser atualizado

A atualização dos sistemas operacionais é uma ação importante e que deve ter atenção — nada de ignorar todas as notificações e os lembretes de “atualizar mais tarde”. Nas novas versões, as empresas conseguem corrigir falhas e “bugs” (pequenos erros do sistema), que abrem brechas para o ataque ou instalação de vírus e outros aplicativos maliciosos."

Ou seja, logo que requeridas, atualizações de sistema devem ser realizadas.

Também é importante lembrar que todas as atualizações oficiais são direcionadas à página de configuração dos sistemas operacionais. Está na dúvida se a solicitação é original ou um possível golpe? Basta entrar nas opções do sistema do computador ou do celular e verificar se há a notificação de atualização.

Para o professor da UFRGS, para evitar dor de cabeça, é interessante configurar as atualizações para serem automáticas — é possível fazer isso na parte de configurações de celulares.

Antivírus são amigos

Os antivírus são agentes úteis para evitar a instalação de programas maliciosos e impedir que dados pessoais sejam expostos na internet.

Wachs explica que o antivírus padrão do sistema operacional (tanto no computador quanto no celular) oferece alguma proteção, mas vale a pena investir em um pacote mais robusto para garantir a segurança do dispositivo.

Smartphones costumam ser um terreno mais protegido se você só baixar aplicativos de lojas oficiais como a Play Store, do Google, e a App Store, da Apple — as plataformas que estão disponíveis nesses espaços já passam por um filtro de segurança. Mas é sempre bom garantir. “O antivírus vai conhecer e associar seu comportamento no celular e no desktop”, afirma o professor da FEI.

Mais do que apenas impedir o download de pragas, os antivírus conseguem informar quais são os dispositivos maliciosos conectados à sua rede, mostrar em quais sites e apps é seguro fornecer informações e proteger os dados bancários acessados na internet.

A maioria dos antivírus possui uma ferramenta de varredura que inspeciona os arquivos do aparelho em busca de possíveis programas maliciosos que possam ter sido instalados na máquina ou no smartphone.

Muitos antivírus são pagos, mas existem boas opções gratuitas, como Avast, AVG Free, Kaspersky Security Cloud Free e Bitdefender. Não deixe de usar.

Diferentes tipos de serviços exigem cuidados específicos

E-mail

A conta pessoal de e-mail é, em unanimidade entre os especialistas, a que mais deve ser protegida. Muitas vezes negligenciado, o e-mail é, além de uma ferramenta de correio eletrônico, a chave de acesso a muitas plataformas e redes sociais — e por isso ter esse tipo de conta vazada significa estar vulnerável em quase todas as suas atividades na internet.

Para o e-mail, a dica é que a senha seja sempre única e diferente de todas as demais — essa é uma das que precisam ser memorizadas com todo o carinho do mundo. Além disso, a autenticação em dois fatores também é um ponto básico de proteção para a conta.

Em relação aos conteúdos que são recebidos no e-mail, a atenção vai além das barreiras de senha: é preciso verificar sempre a procedência de links e endereços.

Segundo Simoni, a plataforma é uma das que mais recebem ataques maliciosos, como phishing, por exemplo, por ser fácil “disfarçar” sinais de falsificação. O phishing é um golpe em que um criminoso envia links maliciosos e se utiliza de sites falsos para recolher dados por meio de formulários, promoções ou lojas falsas.

“Nunca clique em um link, a não ser que você tenha certeza absoluta da origem dele e que você saiba realmente do que se trata. Sempre desconfie”, orienta Tostes, diretor da Fortinet Brasil.

Verificar o domínio do endereço no e-mail (aquilo que vem depois da @) ajuda a entender o que pode ser falso ou verdadeiro. Lembre-se: empresas grandes, como operadoras de telecomunicações ou bancos, possuem domínios próprios e não utilizam a nomenclatura de servidores como Gmail, Outlook e outros. Checar outros sinais visuais do e-mail, como o logotipo da empresa, também pode ajudar.

Ao desconfiar se a mensagem é phishing, procure a companhia em outros canais antes de clicar em qualquer coisa.

Quando o e-mail vem de uma pessoa desconhecida, sempre desconfie. Nunca clique em um endereço sem entender de onde ele vem. Uma dica dada por Simoni e Tostes é posicionar a setinha do mouse (sem clicar!) em cima do link e checar para qual endereço você está sendo direcionado. Se for uma URL cheia de letras e números sem sentido, pule fora. As chances de ser golpe são grandes.

Isso porque, como Simoni aponta, os vazamentos realizados ao longo do tempo, principalmente neste ano de 2021, podem ter facilitado os caminhos para cibercriminosos obterem informações mais completas sobre os usuários.

“Antes, os golpistas enviavam o link de um banco falando apenas, por exemplo, que sua senha estava bloqueada, pedindo para clicar e desbloquear. Agora, eles mandam o golpe falando seu nome completo, CPF e endereço. É um poder muito maior, porque os criminosos sabem todas essas informações. Os usuários acabam pensando: ‘aqui tem meus dados, deve ser o banco mesmo’”. Não caia nisso.

Deve-se ter o mesmo cuidado na hora de baixar anexos de e-mail: esses arquivos podem inserir programas maliciosos nos aparelhos. Verifique a procedência antes de fazer o download.

Redes sociais

Falar de segurança nas redes sociais exige discutir o comportamento do usuário nas plataformas.

A publicação de fotos e comentários pessoais pode muitas vezes dar mais informação para cibercriminosos do que o roubo de dados. Ao mesmo tempo, o cuidado com essas postagens hoje é quase um paradoxo do mundo digital, principalmente em tempos de isolamento, em que a internet é a principal vitrine da vida social.

Informações sutis como uma foto da sua casa, em que apareça o número da residência; um comentário com o bairro onde você mora; ou a hora em que, eventualmente, sai de casa podem se tornar um insumo valioso para criminosos.

“Alguns mecanismos de recuperação de senha envolvem uma pergunta pessoal, como a escola em que você estudou. Sua conta na rede social pode ter essa informação. Até mesmo uma foto, com o número da sua casa. Será que esse número não está dentro da sua senha?”, diz o professor da FEI.

Uma das dicas é trancar o perfil e verificar qual é o alcance de suas publicações, isto é, quem está vendo o que você posta. “Sempre restrinja o máximo possível quem pode ler suas publicações e informações e deixe a permissão somente para amigos. Isso pode ser feito nas configurações das plataformas”, orienta Jéferson Campos Nobre, da UFRGS.

Também é importante lembrar que as redes sociais são portas para outros sites e aplicativos não seguros. Nunca clique em links de procedência duvidosa nem utilize serviços que prometem levantamento de dados ou personalização de informações. Sabe aqueles testes para descobrir qual personagem de Friends você é? Ou então ver como ficaria o seu rosto se você fosse mais velho? Não use.

No Twitter, por exemplo, é comum que sites surjam, de tempos em tempos, oferecendo construir um perfil para aumentar o número de  seguidores ou de amigos na rede. Outros serviços geram algum tipo de personalização com a sua foto. Na verdade, essas plataformas fazem uma troca: para fazer essa personalização, é necessário conceder acesso aos seus dados, que muitas vezes podem envolver telefone, contatos e até a sua senha. É necessário se atentar para quais as permissões o site está requisitando. No fim, o questionamento é sobre se vale a pena fazer a troca.

A segurança com os padrões de login, claro, também devem entrar na jogada. Valem as recomendações mais básicas: senha forte e com caracteres variados e autenticação em dois fatores.

A rede social também tem de ter senha própria e não deve repetir a do e-mail (porém, o e-mail deve estar cadastrado à conta, caso você perca a senha).

App de mensagem

Embora semelhantes às redes sociais, os aplicativos de mensagem merecem um olhar especial. Isso porque, além de todos os cuidados básicos, essas plataformas também carregam muito conteúdo no chat, onde há uma circulação de informações gigantesca.

Então, o WhatsApp é seguro? Primeiro é preciso pensar no seu comportamento em qualquer serviço do tipo: quantas vezes você já pediu e passou para um parente ou amigo alguma informação que jamais publicaria em uma rede social? É por aí que deve começar a preocupação.

Além da senha complexa e da autenticação em dois fatores — os principais apps de mensagem como WhatsApp, Telegram e Signal possuem a ferramenta —, é necessário verificar qual é o nível de privacidade oferecido nas conversas. Ou seja, é preciso checar se o app utiliza criptografia.

A criptografia de ponta a ponta é uma tecnologia que codifica as mensagens de forma que apenas o emissor e o receptor da informação podem ter acesso. Essa tecnologia está presente no aplicativo local de cada pessoa — no celular —, e não em um servidor em nuvem. A tecnologia evita que as mensagens sejam interceptadas por terceiros, incluindo as empresas donas dos serviços. Esse é um dos critérios que ajuda a responder qual é o app de mensagem mais seguro.

Entre os mensageiros, WhatsApp e Signal têm por padrão criptografia de ponta a ponta, sem que seja necessário ativar nenhuma aba para isso.

“Acessar links pelo celular é sempre arriscado”

Frederico Tostes, diretor da Fortinet Brasil

Já no Telegram, as únicas conversas protegidas pela tecnologia são as que acontecem nos “chats secretos”, e a opção precisa ser habilitada manualmente nas configurações. Para habilitar, abra o contato do usuário que deseja enviar a mensagem, clique na foto de perfil e, depois, nos três pontinhos. Selecione a opção “começar chat secreto”. Na tela principal do Telegram, os “chats secretos” são identificados com o símbolo de um cadeado e o nome do contato na cor verde.

Voltando à autenticação em dois fatores: a ferramenta é essencial para evitar golpes e roubo de conta, mas acabou entrando na mira de cibercriminosos. Em 2020, o golpe de clonagem do WhatsApp chegou a aumentar em 90% em determinados meses, usando temas como a pandemia, segundo o dfndr lab, laboratório especializado em segurança digital da startup PSafe. Nessas tentativas, os golpistas comunicam aos usuários que existe um prêmio ou benefício a ser resgatado e que é necessário repassar um código para que isso seja feito. É cilada, Bino.

O código solicitado pelos criminosos é justamente o número enviado pelo WhatsApp para a verificação em duas etapas. A regra é simples: não acredite em prêmios e outros “mimos”. Sempre verifique a linguagem utilizada e se a proposta é factível — afinal, ninguém dá nada de graça, não é mesmo?

Cuidado com o que você clica. “Acessar links pelo celular é sempre arriscado. Alguns links são mais conhecidos como direcionamento de acesso ao Facebook e ao YouTube. Mas evite ao máximo clicar: opte por entrar por fora no site desejado, procurando no Google, por exemplo”, orienta Tostes, da Fortinet Brasil.

Por fim, não use WhatsApp Web em computadores públicos. Você pode acabar deixando a sessão aberta. Nesse caso, as pessoas podem se apropriar da lista de contatos que você tem.

App de banco

Uma das grandes questões do mundo digital é: apps de banco são seguros?

Os aplicativos e sites de bancos e de fintechs talvez despertem a maior preocupação na adaptação ao mundo online. E é bom que se pense assim: além dos dados pessoais, essas instituições têm informações bancárias que são uma mina de ouro para golpistas e criminosos. Em outras palavras, eles são seguros se usados com os devidos cuidados.

Simoni, da PSafe, recomenda o acesso biométrico como proteção. Seja por reconhecimento facial, leitura de digital ou detecção de iris, ele comenta que a informação personalizada de cada usuário é o que garante a proteção — o método, ao contrário de senhas, é mais difícil de  ser violado.

“É mais difícil comprometer algo atrelado ao seu corpo. Mesmo que criminosos roubem fotos, os sistemas possuem uma ferramenta que identifica se a imagem está sendo feita ao vivo”, diz Simoni.

Uma das ferramentas de proteção disponíveis nos apps de banco e de fintechs é a possibilidade de receber uma notificação no celular sempre que uma compra é realizada. O aviso informa a data e o valor da compra e ajuda a identificar caso ocorra um uso indevido dos dados bancários. Ative as notificações e fique sempre atento às transações.

Compras online

Campeãs das desconfianças na internet, as compras online podem ser cômodas (principalmente na pandemia), mas trazem riscos se alguns cuidados forem deixados de lado.

Aqui, o importante é estar bastante atento aos detalhes. Se o acesso ao serviço for feito pelo navegador, o primeiro passo é verificar se o site é verdadeiro e seguro pelo endereço da URL (na barra superior da página): ele deve começar com “https” e ter um pequeno cadeado ao lado do endereço.

O símbolo é um bom começo, mas não é uma garantia completa. “Hoje, quase qualquer site consegue adquirir o certificado digital, que é aquele cadeado. Isso não é mais indicativo de segurança. É mais importante conhecer o site: faça uma busca por ele na internet e desconfie se ele pedir muitos dados”, explica Simoni.

Outra alternativa também são as compras pagas com boleto ou Pix, que não exigem o preenchimento de dados bancários e são pagos diretamente com as instituições financeiras.

Meus dados foram vazados, e agora?

Com os grandes vazamentos recentes, uma grande dúvida é: como saber se os meus dados foram vazados?

Infelizmente, não é possível ter certeza absoluta se seus dados vazaram ou não. Dadas as proporções dos vazamentos passados, há chance de todo mundo ter sido afetado de alguma maneira. Por isso, é importante tomar as medidas certas em relação à privacidade e segurança.

A primeira é: não visite qualquer site que prometa mostrar se você foi afetado por um vazamento — ao ser curioso, você pode acabar confirmando as informações para criminosos. Poucos desses serviços são confiáveis, mas isso não significa que eles não existam.

O Registrato, do Banco Central, permite detectar se empréstimos, chaves de Pix ou contas foram abertas em seu nome. Outro site que permite saber se o seu e-mail e telefone já estiveram envolvidos em algum vazamento é o Have I Been Pwned.

Há a opção de fazer um boletim de ocorrência junto à polícia no caso do vazamento de dados, fotos e outras informações pessoais retiradas de sites e redes sociais ou do uso indevido dessas informações em fraudes e roubos. O B.O. garante a denúncia de um crime e a ação legal para reaver possíveis perdas financeiras, além de documentar a ocorrência para fins de investigação. Alguns especialistas, porém, dizem que a medida é indicada apenas para vazamentos que tenham causado algum dano concreto, como o comprometimento da conta bancária.

No caso de prejuízos financeiros, é necessário avisar o banco ou a administradora de crédito e cancelar todos os cartões que possam estar envolvidos no ataque, assim como a troca de senhas de apps de banco.

O prejuízo pode ser “apenas” virtual, em relação aos dados pessoais. Nesse caso, é fundamental trocar todas as senhas de acesso de todas as plataformas e redes sociais e definir acessos únicos para cada um deles.

Para golpes em redes sociais, é possível entrar em contato com a empresa e bloquear ou desativar a conta. Uma recomendação de especialistas é também avisar os contatos sobre a ocorrência, para que o golpe não se espalhe.

“Se for golpe de WhatsApp, roubo de perfil ou de redes sociais, é importante avisar a sua lista de contatos porque aquele criminoso pode se passar por você simulando situações de emergência, pedindo pagamentos de contas, empréstimos e transferências”, diz Simoni.

Leia também:

Expediente

Editor executivo multimídia Fabio Sales / Editora de infografia multimídia Regina Elisabeth Silva / Editores assistentes multimídia Adriano Araujo, Carlos Marin e William Mariotto / Designer multimídia Lucas Almeida / Edição Bruno Romani / Reportagem Bruna Arimathea, Bruno Romani, Giovanna Wolf e Guilherme Guerra/ Infografista multimídia Mauro Girão / Ilustrações Bruna Barros