Esta página tem finalidade somente informativa. Alguns serviços e recursos podem não estar disponíveis em sua região.

Como proteger suas criptomoedas contra ataques de phishing

À medida que o interesse pela tecnologia blockchain e os ativos digitais cresce, também cresce a ameaça de ataques cibernéticos. Entre essas ameaças, os golpes de phishing se tornaram um desafio considerável para os usuários de cripto.

Essas estratégias fraudulentas buscam pegar os usuários desprevenidos e resultam na perda de ativos digitais valiosos. Este artigo explorará a profundidade do phishing de criptomoedas, revelará as táticas empregadas por criminosos e fornecerá os conhecimentos necessários para proteger seus ativos de cripto.

Em poucas palavras

  • O phishing é uma ameaça comum no espaço de cripto, usando a complexidade da blockchain para executar golpes como spear-phishing e sequestro de DNS.

  • O spear-phishing se concentra em indivíduos que recebem mensagens enganosas personalizadas que parecem ter vindo de fontes confiáveis com o objetivo de acessar seus ativos digitais.

  • O sequestro de DNS é uma tática enganosa em que sites legítimos são substituídos por sites fraudulentos para induzir os usuários a revelarem suas informações de acesso às criptomoedas.

  • Extensões de navegador falsas imitam as legítimas para roubar informações de acesso, enfatizando a importância de fazer downloads apenas de fontes autorizadas.

  • Você pode manter-se seguro contra golpes de cripto ao manter-se informado, sendo cético e priorizando medidas de segurança digital. Isso inclui usar senhas fortes e permitir a autenticação de dois fatores.

O que é phishing?

A ameaça de phishing em criptomoedas não é apenas uma pequena inconveniência, mas sim um risco sério para seus ativos digitais. Os golpistas estão constantemente melhorando as suas táticas e aproveitando a natureza complexa da blockchain e das criptomoedas. Eles usam uma variedade de esquemas sofisticados para tentar roubar indivíduos e empresas.

Um tipo de ataque cibernético chamado spear-phishing envolve golpistas que criam mensagens personalizadas para atrair a atenção dos seus alvos e fazê-los revelar dados confidenciais ou clicar em links prejudiciais. Essas mensagens geralmente aparecem de fontes confiáveis, como empresas conhecidas ou amigos, levando as vítimas a comprometer seus ativos on-line.

O sequestro de DNS é uma tática mal-intencionada em que hackers assumem o controle de sites reais e os substituem por sites fraudulentos. Isso pode levar os usuários a inserir os dados de login no site fraudulento, dando acesso involuntariamente às suas criptomoedas.

As extensões de navegador falsas representam um risco extra. Os golpistas projetam extensões que imitam extensões reais para obter informações de login. Essas extensões falsas podem adquirir as credenciais de login da sua carteira, resultando em perda financeira. Para reduzir esta ameaça, é importante obter extensões somente no site oficial dos desenvolvedores ou em outras fontes confiáveis.

Existem várias atividades fraudulentas no mundo das criptomoedas, como ICOs fraudulentos, esquemas de Ponzi envolvendo criptomoedas e métodos avançados como criptojacking, em que os invasores usam seu computador para minerar cripto de forma discreta.

Para manter a segurança, é essencial manter a atenção e seguir as medidas recomendadas, como criar senhas fortes e individuais, ativar a autenticação de dois fatores e ser cauteloso com oportunidades inesperadas que parecem ser boas demais. Atualizar frequentemente seu sistema operacional e software também pode proteger contra possíveis ameaças de segurança de golpistas. Enquanto isso, separar um tempo para se educar sobre novas ameaças e táticas também pode ajudar a proteger você e navegar no espaço de cripto com segurança.

Como os invasores executam golpes de phishing direcionados a cripto?

À medida que a tecnologia avança, os golpistas estão se tornando mais avançados e usando várias táticas para acessar sua cripto. Vamos examinar estas estratégias.

Airdrop falso: a ilusão de tokens gratuitos

Imagine receber uma pequena quantidade de USDT de uma origem misteriosa ou ver transações em seus registros para endereços que parecem incrivelmente semelhantes aos seus. Estas são indicações típicas de um projeto de airdrop fraudulento. Os golpistas geram endereços que imitam endereços autênticos, enganando você para enviar seus ativos involuntariamente. A chave para se proteger? Verifique novamente todos os caracteres do endereço antes de fazer uma transação.

Assinatura induzida: a armadilha do engano

Nesse cenário, os invasores criam páginas da Web que imitam projetos conhecidos ou promovem airdrops atraentes. Quando você vincula sua carteira ao projeto, os golpistas tentam você a confirmar transações que, sem saber, permitem transferir seus ativos para os endereços deles.

O golpe de assinatura induzida tem várias formas, desde transferências diretas e táticas de autorização fraudulentas até abordagens mais sutis. As abordagens mais astutas incluem o golpe de phishing "eth_sign", em que vítimas são levadas a assinar uma transação ou mensagem usando a chave privada, que é então comprometida. O nome "eth_sign" refere-se à chamada de função Ethereum que solicita a assinatura de um usuário para acessar dados. Outro golpe de assinatura sofisticado é direcionado aos usuários do padrão EIP-2612. Aqui, os usuários são levados a assinar uma permissão aparentemente legítima que autoriza uma ação aparentemente inofensiva. Em vez disso, a assinatura concede aos invasores acesso aos tokens da vítima.

Clonagem de site

Os golpistas copiam corretoras de criptomoedas reais ou sites de serviço de carteira, criando cópias quase idênticas para roubar os dados de login. Quando os usuários inserem seus dados nesses sites duplicados, eles fornecem, sem se dar conta, acesso às contas reais aos invasores. Antes de fazer login, confirme o URL do site e verifique se há conexões HTTPS seguras.

Spoofing de e-mail

Uma tática comum é enviar e-mails fingindo ser de entidades confiáveis da comunidade de cripto, como corretoras ou provedores de carteira. Esses e-mails podem incluir links para sites copiados ou exigir detalhes confidenciais. Tenha cuidado com e-mails solicitando chaves privadas ou informações pessoais.

Imitação nas redes sociais

Muitas vezes, pessoas mal-intencionadas fingem ser figuras famosas, influenciadores de redes sociais ou até os perfis legítimos de plataformas de criptomoedas populares. Eles podem oferecer presentes falsos ou airdrops em troca de pequenos depósitos ou detalhes pessoais. Verificar a legitimidade do conteúdo de mídias sociais e evitar a divulgação de suas chaves privadas é crucial.

Smishing and vishing

Smishing e vishing são técnicas que os golpistas usam para obter informações pessoais ou convencer as pessoas a adotar medidas que comprometam a segurança. Esses métodos envolvem enviar mensagens de texto ou fazer chamadas telefônicas que podem levar indivíduos a compartilhar informações confidenciais ou acessar sites maliciosos. Lembre-se: empresas de renome nunca solicitarão detalhes confidenciais por meio desses canais de comunicação.

Ataques man-in-the-middle

Durante os ataques man-in-the-middle (ou “homem no meio”, em tradução literal), os golpistas comprometem a correspondência entre um indivíduo e um serviço autorizado, geralmente em redes Wi-Fi públicas ou não seguras. Eles podem tomar as informações enviadas, como informações de login e códigos confidenciais. Recomendamos usar uma VPN para proteger suas conexões on-line.

Exemplo de golpe de phishing

Veja um exemplo de um golpe de phishing típico. Aqui, o golpista usa o app de mensagens do Telegram para levar um usuário a revelar o seu endereço de e-mail, levando a ainda mais manipulação por meio do Telegram por alguém que se representa como um funcionário da OKX.

Como o golpe funciona

A mensagem inicial de phishing O golpe normalmente começa em uma plataforma P2P, onde a vítima é abordada por um golpista que se apresenta como um comprador ou vendedor legítimo. O golpista solicita o endereço de e-mail do usuário, alegando poder facilitar a transação. Confiando na solicitação, o usuário compartilha seu e-mail.

Phishing scam initial message
Be cautious of unsolicited messages received on platforms such as Telegram

Contato por e-mail ou Telegram Logo após compartilhar o e-mail, o usuário é contatado pelo golpista, que agora usa o e-mail para continuar a conversa. O golpista sugere mover a conversa para o Telegram, alegando que é mais conveniente. Essa mudança para um método de comunicação off-site é um sinal de alerta significativo. No Telegram, o golpista se representa como um funcionário da OKX, adicionando uma camada de credibilidade às alegações fraudulentas.

Sinais de verificação enganosos No Telegram, o perfil do golpista pode aparecer verificado, marcado com um tick azul. No entanto, é importante observar que esse tick azul pode ser um emoji exclusivo usado pelo golpista para criar uma ilusão de legitimidade. Os usuários devem compreender que um tick azul no Telegram não indica necessariamente uma conta oficial ou verificada. O golpista assume a identidade de um funcionário da OKX usando uma foto oficial do Telegram, um nome ou um selo de verificação falso.

O comprovante de transferência falso O falso funcionário da OKX envia uma captura de tela para o usuário, alegando que o comprador P2P já depositou moeda fiduciária na OKX Wallet. Essas imagens são muitas vezes capturas de tela alteradas ou recibos de pagamento falsos, com o objetivo de aumentar credibilidade, convencendo o vendedor de enviar criptomoedas para o comprador.

Phishing scam fake transfer proof
Scammers often use fake documents and doctored screenshots to create the illusion of legitimacy

Solicitação de depósito de cripto Depois de apresentar o comprovante de pagamento falso, o funcionário falso da OKX solicita à vítima que deposite criptomoeda no endereço da carteira fornecido. Acreditando que a transferência de fiat foi feita, a vítima envia a cripto, somente para depois perceber que a transferência de fiat nunca foi real.

Como identificar e evitar tentativas de phishing

Para identificar as tentativas de phishing relacionadas a criptomoedas, é essencial se manter alerta, cético e bem informado. Leia mais para obter orientações específicas sobre como identificar os ataques de phishing mencionados acima.

Airdrops ou depósitos inesperados

Tenha cuidado com depósitos ou airdrops não solicitados na sua carteira de criptomoedas. Isso pode ser o exemplo de um ataque de phishing, destinado a interessar você e diminuir sua segurança.

Ao participar, você corre o risco de ser direcionado a um site malicioso ou de ser solicitado a divulgar chaves privadas ou dados pessoais em troca de supostos ativos adicionais. Esta estratégia aproveita a atração e o desejo por dinheiro ou tokens gratuitos. No entanto, os airdrops legítimos de projetos confiáveis normalmente incluem avisos formais e diretrizes explícitas compartilhadas por meio de fontes oficiais.

Solicitações de assinatura suspeitas

É essencial considerar cuidadosamente qualquer solicitação de assinatura digital, especialmente se for inesperada ou de um remetente não confiável. Os ataques de phishing podem enganar você solicitando sua assinatura para fins aparentemente inofensivos.

Isso pode permitir que os golpistas acessem seus fundos ou carteiras intencionalmente. Confirme a origem da solicitação e compreenda totalmente o que você está autorizando antes de comprometer. Se não tiver certeza, recuse a solicitação e consulte especialistas ou comunidades associadas à criptomoeda específica.

Ofertas que parecem muito boas para ser verdade

Os golpistas usam técnicas de phishing para atrair indivíduos com promessas tentadoras de grandes recompensas e pouco ou nenhum risco. Esses esquemas, brindes ou prêmios de loteria podem envolver uma solicitação de uma pequena quantia de criptomoeda ou a divulgação de suas chaves privadas com antecedência.

Empresas e projetos de renome normalmente não funcionam desta forma. Antes de tomar qualquer medida, é importante pesquisar a proposta, buscar declarações oficiais e confirmar as informações de contato.

Proteção dos seus ativos: práticas recomendadas

Seja qual for a ameaça, as instruções de práticas recomendadas a seguir podem ajudar a proteger seus ativos digitais.

  • Examine a fonte: verifique a legitimidade do endereço de e-mail, URL do site ou conta de mensagens. Fique atento a erros de ortografia básicos ou ao uso de caracteres especiais sutis para imitar fontes legítimas.

  • Tenha cuidado com a urgência ou a pressão: os golpistas frequentemente usam a urgência para manipular as vítimas a tomar decisões apressadas sem verificar informações, levando-as a cair em uma fraude.

  • Verifique se há erros de ortografia e gramática: empresas e projetos legítimos geralmente garantem que as suas comunicações sejam sem erros, enquanto as golpes de phishing geralmente contêm erros.

  • Favoritos: para evitar a armadilha de clicar em links mal-intencionados disfarçados como legítimos, marque sites confiáveis como favoritos. Essa etapa rápida garante que você acesse sempre o site correto.

  • Verifique antes de clicar nos links: evite clicar em links e passe o cursor sobre eles para determinar o destino. Use fontes confiáveis e sites oficiais para verificar informações em vez de se basear em links de e-mails ou mensagens não solicitadas.

  • Tenha cuidado com as marcas de verificação: esteja ciente de que um tick azul no Telegram pode ser enganoso e não garante a autenticidade do usuário. Ele pode ser um emoji usado para enganar você.

  • Verifique o comprovante de pagamento: nunca confie somente em capturas de tela ou imagens como prova de pagamento. Verifique a transação com sua própria carteira de cripto ou banco. Verifique sempre se o dinheiro foi transferido para a forma de pagamento desejada por meio de aplicativos oficiais e não confie em capturas de tela fornecidas.

  • Use recursos de segurança: para melhorar sua proteção contra phishing, use recursos de segurança como autenticação de dois fatores, carteiras de hardware e senhas fortes.

  • Autenticação multifator (MFA): ative a MFA para todas as carteiras e ferramentas que oferecem esse recurso. Isso adiciona uma camada adicional de segurança, garantindo que, mesmo que sua senha seja comprometida, o acesso não autorizado ainda seja impedido.

  • Use uma carteira confiável: a escolha da sua carteira é como escolher um cofre para seus itens valiosos. Não se esqueça de escolher carteiras com reputação confiável e histórico seguro. Lembre-se que priorizar a conveniência sobre a segurança não é uma decisão inteligente.

  • Armazenamento frio: uma opção para proteger grandes quantidades de cripto é usar métodos de armazenamento frio como carteiras em hardware. Essas ferramentas mantêm as chaves privadas off-line, protegendo contra hacking on-line.

  • Atualizações de software regulares: é fundamental manter seu software atualizado, incluindo carteiras, ferramentas e até mesmo seu navegador. Os desenvolvedores liberam atualizações regularmente para reparar vulnerabilidades de segurança. Ao manter-se atualizado, você minimiza o risco de ser explorado por fraquezas conhecidas.

  • Aprendizado contínuo: os ataques de phishing são ininterruptos, com invasores constantemente inventando novas técnicas. É sensato se educar regularmente sobre as últimas ameaças à segurança e como se proteger contra elas. Para isso, siga fontes confiáveis de notícias de segurança cibernética e entre em comunidades de criptomoedas para trocar informações com outros usuários.

Conclusão

À medida que a tecnologia blockchain continua avançando, os golpistas estão encontrando novas maneiras de explorar ou enganar usuários inocentes e obter acesso aos seus ativos digitais. Esteja ciente dos diferentes tipos de golpes é a primeira etapa para se proteger. Enquanto isso, ter cautela e ser cético, verificar a legitimidade das mensagens e usar ferramentas de segurança como MFA pode ajudar você a aproveitar os benefícios da cripto enquanto protege a si mesmo e seus ativos.

Lembre-se que na batalha contra phishing, o conhecimento não é apenas força, mas proteção. Ao reservar o tempo para se familiarizar regularmente com novas táticas de golpes enquanto pesquisa novos tokens, projetos e protocolos, você estará em um lugar melhor para identificar e evitar novos golpes.

Aviso legal
Este conteúdo é fornecido apenas para fins informativos e pode abordar produtos não disponíveis em sua região. O conteúdo não se destina a fornecer (i) consultoria de investimento ou recomendação de investimento; (ii) uma oferta ou solicitação para comprar, vender ou manter ativos digitais, ou (iii) consultoria financeira, contábil, jurídica ou fiscal. Os holdings de ativos digitais, incluindo stablecoins e NFTs, envolvem um alto grau de risco e podem flutuar muito. Você deve considerar cuidadosamente se negociar ou manter ativos digitais é adequado para você, tendo em conta sua condição financeira. Consulte um profissional jurídico/fiscal/de investimentos para tirar dúvidas sobre suas circunstâncias específicas. As informações (incluindo dados de mercado e informações estatísticas, se houver) que aparecem nesta postagem são apenas para informação geral. Embora todo o cuidado razoável tenha sido tomado na preparação destes dados e gráficos, nenhuma responsabilidade ou obrigação será assumida por quaisquer erros de fatos ou omissões aqui expressos. Tanto a OKX Web3 Wallet quanto a OKX NFT Marketplace estão sujeitas a termos de serviço específicos disponíveis em www.okx.com.
© 2024 OKX. Este artigo pode ser reproduzido ou distribuído em sua totalidade, ou trechos de 100 palavras ou menos deste artigo podem ser usados, desde que tal uso não seja comercial. Qualquer reprodução ou distribuição do artigo inteiro também deve indicar em destaque: "Este artigo está sob os termos de © 2024 OKX e é usado com permissão". Os trechos permitidos devem citar o nome do artigo e incluir atribuição, por exemplo "Nome do artigo, [nome do autor é aplicável], © 2024 OKX". Não são permitidos trabalhos derivados nem outros usos deste artigo.
Artigos relacionados
Ver mais
Ver mais