Nunca compartilhe códigos de verificação

Como cibercriminosos tentam obter seus códigos de verificação – e o que pode ocorrer se conseguirem.

“Não compartilhe esse código com ninguém!” Quando se trata de senhas e credencias para autenticação de uso único, esse conselho parece óbvio ao ponto de não precisar ser repetido. Entretanto, o faremos de novo e de novo…

Um pedido educado por ajuda

Recentemente nos deparamos com esse esquema de phishing. Uma pessoa recebe um SMS que diz mais ou menos o seguinte:

“Olá, você não me conhece, mas este número de telefone já foi meu. Estou tentando acessar uma conta antiga associada a esse número, e ela me diz que enviará o código de verificação por SMS para seu telefone. Gostaria de saber se você poderia receber o código e enviá-lo  para mim? Se não, tudo bem.”

É verdade que se você não utilizar um número por um longo tempo, sua operadora pode desconectá-lo e vender para outro. Então há uma chance de que seu número de fato tenha pertencido a outra pessoa, especialmente se você o obteve recentemente. Muita gente sabe disso.

O pedido está escrito de forma educada e é bastante convincente -por isso, há uma chance que alguém concorde. O código chega e o destinatário o encaminha para o autor da mensagem de ajuda, que responde com gratidão profunda. Entretanto, o bom samaritano acaba de dar acesso a sua própria conta.

O que realmente aconteceu?

Claro, há uma chance minúscula de que a mensagem seja de alguém que de fato já foi dono do seu número e precisa de ajuda. Todavia, não é nada provável. Phishing é uma explicação mais provável. Vamos ao que acontece.

Nos recônditos do ciberespaço, hackers descobrem um endereço de e-mail (o seu) conectado a um número de telefone (que também lhe pertence). Se você já teve conta no Yahoo, Twitter ou LinkedIn (ou qualquer outro das centenas de serviços conhecidos que passaram por vazamentos de dados recentemente), não é difícil descobrir qual número está associado ao seu e-mail.

O criminosos começa pelo roubo do acesso ao seu e-mail. Para isso, precisa reiniciar a senha, feito por meio de um código de verificação enviado ao número associado à conta para confirmação da identidade do dono.

Antes disso, o cibercriminoso escreve uma mensagem extremamente educada. O código vale por pouco minutos, de forma que o hacker precisa que você esteja compenetrado na missão de enviá-lo rapidamente.

Com acesso a seu e-mail, ele pode fazer o mesmo para toda e qualquer conta associada aquele endereço – mídias sociais, outros serviços de e-mail, carteiras online, entre outros. Os links para redefinição de senhas são enviados a esse e-mail e pronto! O cibercriminoso colocou as garras em todas as suas contas.

Por isso que você nunca deve compartilhar qualquer código de verificação recebido por SMS. Faça isso apenas uma vez e você pode perder todas as suas contas.

Como manter o controle de suas contas

  • Nunca compartilhe código de verificação com ninguém, em SMS ou por telefone. Eles são a principal forma de verificação de identidade.
  • Habilite autenticação de dois fatores sempre que possível. Mesmo que você perca acesso ao seu e-mail, suas outras contas estarão protegidas.
  • Use soluções de Kaspersky para Android em todos os seus dispositivos -especialmente os móveis. Além de diversas funções protetivas, eles alertarão sobre qualquer Trojan que tente pegar códigos de suas mensagens de texto.
Dicas