Guia . Segurança
Como identificar um esquema fraudulento no mundo das criptomoedas e proteger-se
A maior parte das criptomoedas perde-se devido a palavras-passe esquecidas — mas muitas são simplesmente roubadas. Aqui estão os esquemas fraudulentos que mais vemos e os hábitos que permitem evitá-los.
Enquanto empresa especializada em recuperação, deparamo-nos com pessoas no pior dia das suas vidas no mundo das criptomoedas, e uma parte dolorosa desses casos não se deve a palavras-passe esquecidas — trata-se de roubos que poderiam ter sido evitados. Este guia apresenta os esquemas fraudulentos que realmente funcionam e as práticas simples que permitem combatê-los.
Phishing e sites falsificados
The classic attack is a fake site that looks like the real one. Scammers register domains with swapped or accented characters — a Cyrillic letter that looks like a Latin one, or an extra character you won’t notice in a hurry — so binance.com reads as “binance.com” at a glance. Rules that defeat it: never click links in emails, DMs or ads to reach a crypto site; type the address yourself or use a saved bookmark; and check the full URL and the SSL certificate before entering anything, any that looks strange just leave the page immediately.
Serviços de recuperação falsos
Este assunto é pessoal, porque os burlões fazem-se passar por empresas como a nossa. Os sinais de alerta são sempre os mesmos: contactam-no primeiro (no Telegram, X, Facebook, Quora, Instagram), garantem a recuperação, exigem o pagamento antecipado de uma taxa ou pedem-lhe para introduzir a sua frase-semente ou chave privada num site ou formulário. Um serviço de recuperação legítimo nunca faz nada disso. Nunca enviamos mensagens às pessoas primeiro, nunca cobramos pagamentos antecipados, nunca pedimos a sua frase-semente completa e nunca vendemos «software de recuperação». Se alguém que utilize o nosso nome o fizer, trata-se de um impostor — e o seu objetivo é esvaziar a carteira que está a tentar salvar.
A troca de cartões SIM e o mito da autenticação de duas fases
A autenticação de dois fatores por SMS parece segura, mas não é. Os atacantes clonam o seu cartão SIM ou recorrem a engenharia social — por vezes, levando a sua operadora a emitir um cartão de substituição — e, em seguida, interceptam os códigos enviados por SMS para o «seu» número. Durante épocas de conferências movimentadas, esta tática tem sido utilizada para atacar diretamente titulares conhecidos. Proteja-se: defina um PIN ou palavra-passe de transferência de número junto da sua operadora móvel e utilize uma aplicação de autenticação ou uma chave de segurança física em vez de SMS sempre que um serviço o permitir.
Reutilização de palavras-passe e fugas de credenciais
Quando um site que utiliza é alvo de uma violação — e isso acontece —, a primeira coisa que os atacantes tentam é utilizar essas mesmas credenciais em todos os outros sites. Se o seu nome de utilizador do Exchange for igual ao do seu e-mail ou de uma conta nas redes sociais, um único vazamento compromete todas elas. Nunca reutilize o mesmo nome de utilizador e palavra-passe em serviços críticos; atribua ao seu Exchange, ao e-mail associado a ele e às suas contas nas redes sociais, respetivamente, uma palavra-passe única e forte, de preferência a partir de um gestor de palavras-passe.
Ataques ao DNS e à rede
Mesmo um endereço digitado corretamente nem sempre é seguro. Num incidente bem conhecido de 2018, os atacantes utilizaram um sequestro de BGP/DNS para redirecionar o tráfego de um site popular de carteiras para os seus próprios servidores; os utilizadores que ignoraram um aviso de certificado e iniciaram sessão enviaram as suas chaves diretamente para os ladrões, perdendo uma quantia substancial. A defesa é enfadonha, mas decisiva: nunca ignore um aviso de certificado SSL/TLS num site de criptomoedas. Se o seu navegador indicar que o certificado é inválido ou provém de uma autoridade desconhecida, pare — esse aviso significa que o sistema está a cumprir a sua função.
Antes de enviar, verifique tudo
Há toda uma categoria de perdas que resulta de malware que altera endereços e de simples descuido. Verifique sempre o endereço de destino na íntegra, e não apenas os primeiros e últimos caracteres, uma vez que os programas que se apropriam do conteúdo da área de transferência o substituem por um endereço semelhante. Envie primeiro uma pequena quantia de teste quando utilizar um novo endereço ou rede. E confirme que está na cadeia correta antes de enviar, pois o mesmo endereço pode existir em várias redes.
Cuidados redobrados durante as viagens e em eventos
As conferências sobre criptomoedas e os espaços públicos são terreno fértil para ataques. Detentores conhecidos têm sido vigiados fisicamente e alvo de engenharia social em eventos, e é muito fácil espiar redes Wi-Fi públicas. Trate qualquer dispositivo que utilize para criptomoedas como um alvo quando estiver fora de casa: evite iniciar sessão em plataformas de câmbio ou carteiras em redes públicas, não discuta os seus ativos com estranhos que pareçam estranhamente interessados e tenha cuidado com novos contactos «prestáveis» que rapidamente desviem a conversa para as suas carteiras. A pessoa mais simpática no bar é, por vezes, a mais perigosa.
A tua lista de verificação rápida de segurança
Resuma tudo aos hábitos que realmente mantém: aceda a sites de criptomoedas apenas digitando o endereço ou utilizando um marcador, nunca através de um link; utilize uma aplicação de autenticação ou uma chave de hardware, nunca SMS, e defina um PIN de transferência para outro operador; utilize uma palavra-passe única e forte para a sua plataforma de câmbio, o e-mail da mesma e as suas redes sociais; nunca ignore um aviso de certificado; verifique o endereço de destino na íntegra e envie primeiro um montante de teste; e nunca, em circunstância alguma, introduza a sua frase-semente num site nem a entregue a alguém que o tenha contactado primeiro. Siga estas recomendações e terá fechado as portas à esmagadora maioria dos roubos de criptomoedas.
Perguntas frequentes
As carteiras de hardware estão a salvo destes esquemas fraudulentos?
É muito mais seguro, porque as chaves nunca saem do dispositivo — mas ainda assim pode ser vítima de phishing e acabar por aprovar uma transação maliciosa ou revelar a sua semente. Compre apenas em fontes oficiais e nunca introduza a sua semente em lado nenhum.
Como posso saber se um serviço de recuperação é uma fraude?
Sinais de alerta: se forem eles a contactar-te primeiro, garantirem a recuperação, exigirem pagamento antecipado ou pedirem a tua frase-semente ou chave privada. Os serviços legítimos nunca fazem isso — funcionam com base no sucesso e nunca precisam da tua frase-semente completa.
A autenticação de duas fases por SMS é segura para as criptomoedas?
Na verdade, não. A troca de cartões SIM permite que os atacantes interceptem códigos SMS. Utilize uma aplicação de autenticação ou uma chave de segurança de hardware e defina um PIN de transferência de número junto da sua operadora de telemóvel.
Alguém no Telegram diz que é da KeychainX — será verdade?
Não. Nunca contactamos as pessoas por iniciativa própria no Telegram, no X, no Facebook ou em qualquer outra plataforma, e nunca pedimos credenciais nem pagamentos antecipados. Quem o fizer está a fazer-se passar por nós.
Qual é o melhor hábito para evitar fraudes?
Nunca clique em links para aceder a um site de criptomoedas — digite o endereço ou utilize um marcador — e nunca introduza a sua frase-semente em nenhum site ou formulário.
Ignorei um aviso sobre um certificado e perdi dinheiro — podem ajudar-me?
Se as chaves tiverem sido alvo de phishing, os fundos geralmente desaparecem assim que são transferidos. Os serviços de recuperação ajudam em casos de perda de acesso à sua própria carteira, não em casos de roubo em que os fundos já estão fora do seu controlo.
Não tem a certeza se está a ser vítima de uma burla?
Se perdeu o acesso à sua própria carteira (e não foi vítima de um burlão), é isso que recuperamos — com base no resultado, sem qualquer pagamento antecipado. Entre em contacto connosco e dar-lhe-emos uma resposta sincera.
