Aconteceu com Sérgio Moro e pode acontecer com você
A polêmica dos últimos dias na esfera política foi o vazamento de mensagens trocadas por meio de aplicativo entre o então juiz Sérgio Moro e Deltan Dallagnol, procurador da República e coordenador da emblemática Operação Lava Jato. Segundo o que sugere o site “The Intercept Brasil”, responsável pela publicação dos trechos das mensagens em série de reportagens iniciada no dia 9 de junho, Moro e Dallagnol teriam agido sistematicamente com o único objetivo de tirar o ex-presidente Lula da disputa presidencial, além de violar princípios legais e republicanos. Como é sabido, o ex-presidente está preso desde abril de 2018 no âmbito da operação Lava Jato.
Esse episódio de vazamento de informações suscitou opiniões divergentes entre profissionais do legislativo sob diversos aspectos, principalmente no que diz respeito à legalidade dos meios de obtenção dessas informações. Assim, não entrarei no mérito da discussão política ou legal, apresentando apenas questões técnicas sobre os perigos a que estamos expostos ao não tomarmos cuidados básicos de proteção de dados em aplicativos e serviços on-line.
Na ocasião da troca de mensagens, o aplicativo usado por Moro e Dallagnol foi o Telegram, concorrente direto do WhatsApp. Após o vazamento delas, diversos usuários questionaram o aplicativo via Twitter sobre questões de segurança e privacidade. A resposta oficial foi que o problema ocorreu devido a questões ligadas aos usuários e não à quebra de código de segurança do aplicativo. “É mais provável que o dispositivo tenha sido tomado por um malware (vírus) enviado por terceiros – ou um código de login subtraído para uma conta que não usa senha de acesso. Nós recomendamos a adoção de uma senha de verificação em duas etapas, para casos em que alguém tenha razões para temer por suas carreiras ou pelo governo”, afirmou o Telegram em resposta a um dos usuários.
“De fato, quebrar códigos de segurança em sistemas é uma tarefa extremamente complicada, mesmo para o hacker mais experiente. Assim, espiões e criminosos cibernéticos normalmente usam estratégias que integram recursos técnicos e engenharia social…”
De fato, quebrar códigos de segurança em sistemas é uma tarefa extremamente complicada, mesmo para o hacker mais experiente. Assim, espiões e criminosos cibernéticos normalmente usam estratégias que integram recursos técnicos e engenharia social, como é o caso do phishing (e-mails e mensagens ameaçadoras que persuadem o usuário a revelar dados pessoais). A “moda” entre os criminosos é o golpe intitulado SIM Swap (troca de SIM – o chip do celular), que consiste em ativar o número da vítima em um chip SIM vazio. Após obter dados do titular da linha por meio de diversas técnicas, o criminoso se passa por vítima de roubo e persuade um funcionário da operadora a ativar o número de telefone em outro chip, possibilitando o acesso total a senhas e dados da vítima.
Como destacam especialistas em segurança da informação, a principal maneira de se proteger do SIM Swap é a verificação em duas etapas, também conhecida como autenticação de dois fatores (2FA, da sigla em inglês). Como o nome sugere, esse método de autenticação consiste em pedir uma segunda senha após o usuário já ter digitado um código secreto para acessar algum serviço. É enviado um código ao celular do usuário, que deverá fornecê-lo para obter acesso total ao serviço. Entretanto, considerando que a linha pode ter sido clonada, o ideal é que essa segunda senha nunca seja recebida via SMS, mas por e-mail, segundo alertam os especialistas. Convém destacar que a maioria dos aplicativos oferece a 2FA, mas são poucos os usuários que a ativam. Diante da polêmica e dos questionamentos sobre sua segurança, o Telegram lançou um desafio publicado no Twitter no dia 13 de junho: “Se um ‘hacker’ aqui lhe disser que pode quebrar a verificação em duas etapas do Telegram, peça que ele prove”.
Frente ao exposto, entendo que, além das principais técnicas de proteção de dados, tais como a utilização de senhas fortes com trocas periódicas e diferentes para cada serviço, a utilização da 2FA com recebimento de código via e-mail é imprescindível para todos os usuários. Se aconteceu com um membro do alto escalão do Governo Federal, então certamente pode acontecer com você. Cuidado!
Texto publicado originalmente no Jornal de Jales, coluna Fatecnologia, no dia 23/06/2019