O que fazer com e-mails que ameaçam divulgar vídeos íntimos e cobram pagamento em Bitcoin?

Pacotão de Segurança Digital também responde a leitor que desconfiou do que foi feito no celular dele pelo funcionário de uma operadora.

Por Altieres Rohr 
07/03/2019 17h49 Atualizado há 2 dias 
Postado em 09 de março de 2019 às 23h35m 

Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.) vá até o fim da reportagem e utilize o espaço de comentários ou envie um e-mail para g1seguranca@globomail.com. A coluna responde perguntas deixadas por leitores no pacotão, às quintas-feiras.

E-mail com ameaça

E-mails tentam extorquir vítimas ameaçando divulgar vídeo íntimo ou até violência — Foto: channah/Freeimages.com

Um conhecido recebeu um e-mails em que disseram que sabiam a senha dele e que conseguiram ativar a câmera e filmá-lo acessando um site adulto. A pessoa pediu pagamento de bitcoins. Caso não recebesse, ela enviaria esse vídeo para todos os contatos dele. Ele não pagou, bateu uma foto da tela do PC com essa mensagem e depois reencaminhou para outro e-mail e deletou da lixeira. Agora, nem o e-mail nem a foto foram mais localizadas. O que deve ser feito? – Luciano

Luciano, esses e-mails são falsos. 

Normalmente, eles acompanham alguma senha que o golpista obteve em um vazamento, ou seja, uma senha já conhecida associada ao e-mail da vítima e que foi revelada quando algum site foi hackeado.

Como a vítima não sabe que essa senha foi vazada, ela pode ficar assustada e achar que o golpista realmente teve acesso ao seu computador e pode ter gravado o vídeo em questão. Porém, a ameaça é falsa, com raríssimas exceções.

Reconhecer esses e-mails não é muito difícil. Eles estão normalmente escritos em inglês. A EFF traz alguns exemplos dessas mensagens (veja aqui). Mas a essência é a mesma: o golpista fornece uma senha como uma suposta prova de que teria invadido seu sistema e faz alguma ameaça. Para impedir que ela se concretize, é preciso pagar uma certa quantia em criptomoeda, normalmente Bitcoin. Em todo caso, a ameaça é falsa.

Se você recebeu algum destes e-mails, não é preciso fazer nada. Basta apagar a mensagem.

Em todo caso, é importantíssimo que você troque qualquer senha que foi vazada para evitar o ataque de "credential stuffing", que ocorre quando golpistas tentam usar uma senha conhecida sua em outros serviços. Para saber mais sobre esse ataque e como se proteger, leia aqui.

Quanto ao fato de a mensagem ter sumido, verifique a caixa de spam. Quando a mensagem foi reencaminhada, ela pode ter sido identificada assim no e-mail em que foi recebida. Como a original foi apagada, as duas acabam ficando inacessíveis.

Celular nas mãos de funcionário de operadora

A dúvida do leitor Rodrigo trata de um caso em que o funcionário de uma loja de uma operadora solicitou o aparelho para conferir uma configuração. A tela não ficou visível para o cliente.

Estive esses dias na loja de uma operadora por causa de problemas de reconhecimento de chip. Tinha quase certeza que o problema ocorria porque o chip era cortado. Enfim, na loja, o atendente prontamente comentou que esse era o problema provável, mas que verificaria se tinha algo mais.

Ele pegou o meu celular e, na minha frente, mas sem que eu pudesse ver a tela, começou a mexer no aparelho. Percebi que ele mexia muito rapidamente, e após um tempo, achei que estava demorando.

Me levantei para ver a tela, dizendo para ele me ensinar como era o procedimento para ver se o chip estava funcionando e vi apenas que ele fechou rapidamente algumas janelas/programas. Fiquei encabulado com aquilo e o confrontei, perguntando no que ele estava mexendo. Ele negou qualquer irregularidade, obviamente, e disse que estava verificando o chip, mas sei que estava mentindo. Reportei o caso ao gerente da loja, que disse que ia averiguar.

O problema é que não consegui reconhecer quais telas ele fechou e agora estou sem saber o que pode ter feito ou o que poderia ter feito com alguns minutos a mais. Ele deve ter ficado uns dois minutos mexendo no meu celular sem eu ver a tela.

Por favor, me ajudem. Resetar o celular é suficiente para eu me proteger de apps indesejados ou será que preciso trocar de número ou mesmo de aparelho? Sendo da operadora, ele certamente teve acesso aos meus dados, o que dá a ele a oportunidade de realizar golpes mais sofisticados. O que eu faço? – Rodrigo

De fato, Rodrigo, essa é uma situação bastante inadequada. O detalhe é que o funcionário pode não ter feito nada de errado.

Muitas lojas de operadoras funcionam como franquias, ou seja, são terceirizadas. Isso, somado ao grande número de atendentes dessas lojas (pensando em termos de Brasil), abre espaço para que haja diversos problemas no atendimento.

Pegar o celular de um cliente e mexer sem que ele esteja vendo a tela pode ter sido uma incompetência. Ocorre uma situação muito parecida com cartões de crédito, que, por recomendação das bandeiras, nunca devem ser entregue a terceiros.

Procure conversar diretamente com o atendimento e chegar até a ouvidoria da sua operadora. Você pode ainda procurar a polícia e o Procon. Pode ser que eles consigam periciar seu aparelho como parte de uma denúncia contra esse funcionário, mas isso vai depender muito do atendimento disponível em sua localidade – a perícia pode ser muito simples ou muito complexa, dependendo do que foi feito.

Não sendo isso possível, restaure seu aparelho aos padrões de fábrica o quanto antes.

Embora seja possível que esse funcionário tenha feito algo irregular que persista mesmo após uma restauração de fábrica, isso é improvável.

Você pode levar o aparelho a uma assistência autorizada e solicitar uma reinstalação da imagem de sistema (flash). Você também pode fazer isso em casa, mas os passos variam conforme o modelo do seu smartphone, e as marcas em geral não fornecem instruções para tal. Portanto, é algo que você teria que fazer por sua conta e risco.

Não é recomendado levar o aparelho a assistências não oficiais, já que o processo de flash pode, em si, introduzir novos programas maliciosos no seu telefone. Esse processo precisa ser realizado por alguém de confiança.

O pacotão da coluna Segurança Digital vai ficando por aqui. Não se esqueça de deixar sua dúvida na área de comentários, logo abaixo, ou enviar um e-mail para g1seguranca@globomail.com. Você também pode seguir a coluna no Twitter em @g1seguranca. Até a próxima!

Com foco em criptografia, Facebook pode perder ainda mais o controle sobre os conteúdos da rede

Mark Zuckerberg quer que outros serviços da empresa sejam mais parecidos com o WhatsApp, com foco em conteúdos temporários. 

Por Altieres Rohr 
09/03/2019 17h54 Atualizado há 5 horas 
Postado em 09 de março de 2019 às 23h00m 

Mark Zuckerberg, presidente do Facebook, em imagem de arquivo de 2018 — Foto: AP Photo/Marcio Jose Sanchez

Mark Zuckerberg, CEO do Facebook, publicou nesta semana uma espécie de manifesto detalhando sua visão para um Facebook "mais focado em privacidade". O texto é uma tentativa do fundador da rede social de retomar a confiança dos usuários – que ele próprio admite, na publicação, ter se deteriorado. Porém, a aposta em comunicações mais íntimas, privativas e protegidas por criptografia tem uma consequência: o Facebook terá cada vez menos controle sobre o que circula pelas suas redes.

Por mais vantagens que a criptografia e a privacidade possam trazer, as ideias de Zuckerberg tem potencial para permitir que o Facebook tire de si mesmo a responsabilidade por policiar conteúdo. Afinal, se o Facebook é incapaz de ver o que as pessoas estão publicando e compartilhando, o Facebook também é incapaz de fazer o policiamento.

Na prática, Zuckerberg não está propondo uma solução para os problemas que o Facebook enfrenta em relação à privacidade e à disseminação de conteúdo falso na rede. A visão dele se resume a aplicar o molde do WhatsApp ao Facebook e outros serviços que a empresa pode estar desenvolvendo. Isso nem está escondido: o WhatsApp é citado mais de uma vez como exemplo no texto.

Não se trata de criticar a criptografia. É uma questão de falta de correspondência entre o que Zuckerberg propõe e as crises que o Facebook vem enfrentando. A criptografia não é solução para a negligência da empresa no tratamento dos dados pessoais, nem para a circulação de boatos dentro da rede.

 Mark Zuckerberg publicou texto com 'visão' para o futuro dos serviços do Facebook — Foto: Reprodução 

É verdade que qualquer rede pode ser um veículo para notícias falsas, mas o que diferencia o WhatsApp é a escassez de ferramentas disponíveis para que esses abusos sejam coibidos. Logo, a discussão acerca do WhatsApp logo vai para um extremo: ou essa tecnologia não pode existir na escala em que existe, ou o WhatsApp (ou seja, o Facebook) não tem culpa dos abusos que lá ocorrem.

O motivo disso é a criptografia ponta a ponta disponível no WhatsApp. Embora seja um recurso muito interessante para certos tipos de comunicação, a criptografia, por impedir que o Facebook veja o conteúdo das mensagens trocadas, impede o bloqueio da circulação de links, sejam estes de fraudes ou notícias falsas. Em outras palavras, não há muito o que fazer.

Não é à toa que o WhatsApp se transformou em um canal popular para fraudes, inclusive algumas envolvendo serviços do próprio governo, como no caso do benefício do PIS e da CNH gratuita.

O comunicado de Zuckerberg reconhece essa dificuldade e afirma que a rede social pretende manter conversas com especialistas e com governos para descobrir o melhor meio de adotar a tecnologia, equilibrando os interesses de segurança pública e privacidade individual. Por mais sincera que essa declaração de Zuckerberg possa ser, ela não torna a posição de Zuckerberg mais confiável, especialmente diante da já demonstrada inabilidade do Facebook de coibir abusos no WhatsApp.

O anúncio de Zuckerberg ocorre na mesma semana em que o Facebook desmantelou uma rede de desinformação que focava em internautas da Inglaterra e da Romênia. Os operadores mantinham páginas com conteúdo supostamente de extrema direita e, ao mesmo também, também páginas contrárias a essa mesma posição política. Com mais opções de criptografia, o Facebook teria dificuldade em realizar esse tipo de ação.

'Conteúdo temporário'

Zuckerberg também diz que pretende apostar em comunicação com prazo de validade – como já acontece nos status de WhatsApp ou nos stories do Instagram. Ele fala em ampliar a ideia para que mensagens particulares também sejam apagadas depois de algum tempo por padrão. Ou seja, quem quiser manter suas conversas por mais tempo precisaria optar por isso.

Aqui, ele também usa especificamente o nome do WhatsApp para dizer como os serviços devem ser. De fato, diferente do Messenger do Facebook, o WhatsApp não precisa guardar muitas informações sobre as mensagens ou sobre as pessoas. Os dados ficam no próprio telefone do usuário e na nuvem configurada para o backup.

Isso reduz os custos operacionais do serviço, já que precisa armazenar menos informações, mas também resulta em menos evidências de longo prazo para atividades ilícitas.

Porém, com a total falta de transparência na operação do WhatsApp e do conteúdo que circula na rede, talvez Zuckerberg tenha que buscar exemplos melhores para convencer as pessoas de que ele realmente crê que esse é um passo na direção certa e não apenas uma mudança para diminuir a responsabilidade que recai sobre ele.

Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com

• Facebook
• Mark Zuckerberg
• WhatsApp