Prédio baseado no logo do Manual do Usuário, em perspectiva isométrica, com um recorte na lateral e várias pessoinhas nos andares e terraço. À esquerda: “Manual de dentro para fora”.

Apenas 2,3% dos usuários do Twitter usam a verificação em duas etapas

Em seu relatório de transparência do período de julho a dezembro de 2020, o Twitter revelou que apenas 2,3% dos usuários ativos tem a verificação em duas etapas ativada. E, dentro desse minúsculo universo, 79,6% das contas usam o método por SMS, o mais frágil dos três — 30,9% adotam aplicativos OTP e apenas 0,5% as chaves de segurança físicas. Via Twitter (em inglês).

Caro(a) leitor(a) que está no Twitter: faça um favor a si mesmo(a) e ative a 2FA agora mesmo. E repita isso em todos os serviços que oferecem tal recurso, em especial no seu e-mail e sistema operacional (iCloud para Apple, Google para Android).

DuckDuckGo anuncia serviço gratuito de proteção de e-mails

O DuckDuckGo anunciou um novo serviço gratuito de proteção a e-mails, chamado Email Protection (é, nada original). Ele gera um endereço @duck.com, gratuito, que encaminha mensagens ao seu endereço verdadeiro removendo rastreadores da mensagem, algo parecido com o comportamento do aplicativo Mail, da Apple, no iOS 15 e macOS 12 . Na solução do DuckDuckGo também é possível gerar “aliases”, ou seja, endereços alternativos para cada serviço/cadastro e, caso um deles passe a ser usado para spam, bloqueá-lo. Essa parte é igual ao Firefox Relay e ao vindouro Hide My Email do iCloud+, da Apple.

O Email Protection está em beta. Para candidatar-se ao serviço e, de quebra, reservar um endereço @duck.com, é preciso baixar o aplicativo do DuckDuckGo para Android ou iOS, abrir as configurações, ir em Beta Features, depois em Email Protection e, por fim, clicar em Join the Private Waitlist. Via DuckDuckGo (em inglês).

Sistema de espionagem israelense Pegasus foi usado contra jornalistas, ativistas e políticos ao redor do mundo

Um consórcio de jornais revelou uma lista de 50 mil “pessoas de interesse” de 45 países que podem ter tido seus celulares hackeados pela ferramenta Pegasus, da empresa israelense NSO Group. Há anos o uso da ferramenta é conhecido; a investigação revela a escala da coisa. Via O Globo.

O NSO Group afirma ter 60 clientes em 40 países, mas se recusa a identificá-los, e diz que seus produtos são destinados exclusivamente ao combate ao terrorismo e ao crime organizado. Na lista obtida pelos jornais, porém, há jornalistas, ativistas e políticos. Em alguns países, a definição de terrorista deve ser mais abrangente, a ponto de incluir oposição e imprensa. Esta revelação explicita o perigo de se abrir exceções a sistemas de criptografia.

Em maio, Carlos Bolsonaro (Republicanos-RJ), que é vereador no Rio de Janeiro, articulou em Brasília, junto ao Ministério da Justiça, uma licitação para adquirir o Pegasus. O Uol, que revelou a negociata, ouviu de fontes que o filho do presidente tentava fortalecer uma “Abin paralela” dentro do governo, jogando para escanteio os órgãos de inteligência convencionais — o Gabinete de Segurança Institucional (GSI) e a própria Abin. Via Uol.

Microsoft pede a usuários do Windows que instalem correção para falha “PrintNightmare”

Não é todo dia que a Microsoft alerta para uma falha grave no Windows, do tipo “zero-day”, e libera correções até para versões defasadas do sistema, como o Windows 7. A falha batizada de “PrintNightmare” foi divulgada acidentalmente por pesquisadores chineses e permite a execução remota de códigos no Windows via servidor de impressão.

Para versões do Windows que ainda têm suporte, como o Windows 10, basta acionar o Windows Update para baixar a instalar a atualização, identificada pelo código CVE-2021-34527. Para as demais, com Windows 7 e Windows 8 RT, é preciso baixar manualmente o pacote nesta página. Via Lifehacker (em inglês), Bleeping Computer (em inglês).

“Consigo desbloquear todos os modelos de iPhone”, diz criminoso que invade contas bancárias

Um membro de uma gangue “limpa-contas”, preso em novembro de 2020 em São Paulo (SP), revelou à polícia como consegue burlar a criptografia do iPhone. Na real, ele não consegue. Pelo relato, publicado pela Folha de S.Paulo, é mais um golpe de engenharia social do que técnico, aplicado com base no número/chip do celular da vítima. Mais ou menos assim:

  1. Assaltante tira o chip do celular da vítima, coloca em outro aparelho e ativa o número nele.
  2. Assaltante procura o endereço de e-mail da vítima usado como Apple ID (iPhone) ou Conta Google (Android) em redes sociais, como Facebook e Instagram.
  3. Assaltante ganha acesso ao Apple ID/Conta Google.
  4. Assaltante restaura backup da nuvem (iCloud/Google Drive) em um novo aparelho e procura senhas de outros serviços no backup, encontra-as e repassa o aparelho a terceiros que farão a limpa nas contas bancárias.

Algo que não fica evidente é como o assaltante consegue recuperar a senha do iCloud/Google Drive. Uma hipótese é que ele inicia o processo de recuperação de senha, que tanto na Apple quanto no Google envolvem o número de telefone para a recuperação de contas, conforme as imagens a seguir:

Parte da tela de configuração do Apple ID. Lê-se que “Números de telefone de confiança são usados para verificar sua identidade ao iniciar sessão e para recuperar sua conta caso perca o acesso.”
Imagem: Apple/Reprodução.
Recuperação da Conta Google: “Esses métodos podem ser usados para confirmar se é realmente você que está fazendo login ou para entrarmos em contato caso sejam detectadas atividades suspeitas na sua conta”.
Imagem: Google/Reprodução.

Outro detalhe que chama a atenção é a busca por senhas no conteúdo do celular: “Ao baixar as informações da nuvem no novo aparelho, passa a procurar ali informações ligadas a palavra ‘senha’ e, segundo dele, obtém geralmente os números e acesso do celular e das contas bancárias.”

À luz desse relato, uma medida fácil para dificultar esse ataque é alterar/ativar a senha/PIN do seu chip (SIM card). É um código de quatro dígitos que, depois de ativado, passa a ser pedido quando se insere o chip em outro celular.

Este tutorial do TechTudo explica como configurá-lo no Android e no iOS, e apresenta os códigos padrões de cada operadora. Cuidado na hora de alterar o PIN: após três tentativas erradas, ele bloqueia o chip. Caso você já tenha feito a troca e esqueceu o PIN cadastrado, é necessário o código PUK, que vem impresso na embalagem do chip ou, caso não a tenha mais, pode ser requisitado junto ao atendimento da sua operadora.

Outra dica, básica, mas aparentemente ainda não muito difundida, é jamais salvar qualquer tipo de senha em texto puro ou em apps de anotações. Use um gerenciador de senhas decente e ative o segundo fator de autenticação onde for possível.

700 milhões de registros do LinkedIn estão à venda

Um banco de dados gigantesco, com 700 milhões de registros, foi posto à venda em um fórum online. A partir de uma “degustação” de 1 milhão de registros, o site Private Sharks, que deu a notícia em primeira mão, conseguiu confirmar a validade.

O LinkedIn publicou uma nota informando que não houve comprometimento dos seus sistemas e que nem todos os dados contidos no banco à venda têm origem em sua rede. Os que são de lá provavelmente foram obtidos por “raspagem” de perfis públicos. O Private Sharks acredita tratar-se de um mega-pacote baseado em vazamentos anteriores. Via Private Sharks (em inglês), LinkedIn (em inglês).

Não há senhas entre os dados à venda, então não há muito o que fazer para mitigar os danos. Só fique atento a tentativas de golpes por e-mail e outros meios de comunicação.

Roubos de celulares e o risco à sua conta bancária / Comprando eletrônicos no segundo ano da pandemia

Apoie o Manual do Usuário: http://manualdousuario.net/apoie No Guia Prático desta semana, Jacqueline Lafloufa e Rodrigo Ghedin falam das quadrilhas “limpa-contas”, que roubam celulares para acessarem aplicativos bancários e limparem valores deles. A onda desses crimes gerou preocupação, especialmente porque algumas vítimas relatam que seus celulares foram levados bloqueados e, mesmo assim, os assaltantes conseguiram acesso […]

Celulares roubados e quadrilhas “limpa-contas”

Até duas semanas atrás, minha única preocupação com um possível roubo ou furto do meu celular era o prejuízo material. (Ainda mais agora, com tudo encarecendo.) Ele está bem configurado e criptografado, ou seja, é pouco provável que alguém consiga acessar os dados que estão ali dentro. Ou assim pensava. Uma série de reportagens da […]

Procon-SP pede explicações a fabricantes sobre invasões a celulares roubados

O Procon-SP notificou Apple, Motorola e Samsung a prestarem esclarecimentos acerca da segurança dos seus celulares. A motivação é uma série de reportagens da Folha de S.Paulo que revelou a ação de criminosos que roubam celulares e, rapidamente, conseguem invadir aplicativos bancários e fazer transferências de valores. Elas têm até o dia 22 para responderem.

O pedido é válido, porque essa situação é inquietante. Alguns celulares são roubados desbloqueados, mas há relatos de aparelhos travados, com criptografia e proteção biométrica (Face ID, no caso do iPhone) ativadas, que os criminosos conseguem acessar. E, em qualquer caso, além da proteção do sistema do celular, existem ainda barreiras nos apps dos bancos, como senhas específicas. Como eles as descobrem? Ou eles burlam as proteções dos apps usando engenharia social nos canais de atendimento?

A Febraban, associação dos bancos, também foi inquirida. Ela costuma repetir à imprensa que os apps bancários “contam com elevado grau de segurança desde o seu desenvolvimento até a sua utilização, não existindo qualquer registro de violação dessa segurança”, jogando a culpa pelos desvios ao descuido dos usuários.

Quaisquer que sejam os motivos, é preciso esclarecê-los. Afinal, se as desculpas dos bancos e das fabricantes de celulares estiverem corretas, temos aqui um curioso caso de criminosos brasileiros, que vivem de assaltar celulares na rua, capazes de fazer o que às vezes nem o FBI consegue. Alguém precisa encontrar essa galera e contratá-la. Via Procon-SP, Folha de S.Paulo.

Como criminosos conseguem invadir celulares bloqueados?

“Criminosos de SP agora roubam celulares para limpar contas bancárias das vítimas”, diz o título desta notícia na Folha de S.Paulo. O primeiro personagem é alguém que tinha um iPhone 11 protegido pelo Face ID. Mesmo assim, logo após o furto sua conta bancária já tinha um rombo de R$ 5 mil.

A própria reportagem aponta as possíveis brechas que os criminosos exploram para invadir sistemas que, a princípio, são seguros contra esse tipo de ataque. Segundo um especialista consultado, os casos mais comuns de fraudes são realizados por meio de aparelhos celulares com sistemas operacionais desatualizados ou levados ainda abertos, ou seja, desbloqueados, com o Waze aberto, por exemplo.

No nosso grupo do Telegram (participe!), outra hipótese foi aventada: a recuperação de senhas a partir de códigos enviados por SMS. Nesse caso, bastaria colocar o chip em outro celular para escapar das travas do aparelho roubado/furtado.

Alguma outra ideia de como seria possível invadir esses celulares e contas bancárias?

O caminhão de novidades da Apple na WWDC / Epidemia de ransomwares acende sinal de alerta

Apoie o Manual do Usuário: https://manualdousuario.net/apoie Após uma semana de descanso, devido ao feriado, Jacqueline Lafloufa e Rodrigo Ghedin retornam com o Guia Prático. No primeiro bloco, eles pinçam os grandes temas da abertura da WWDC, o evento anual para desenvolvedores da Apple que, neste ano, trouxe um caminhão de novidades — no Ghedin, causou […]

1Password ganha aplicativo para Linux

Print do 1Password para Linux no ambiente Gnome.
Imagem: 1Password/Divulgação.

Não é todo dia que um app popular comercial chega ao Linux. Nesta terça (18), foi a vez do gerenciador de senhas 1Password — segundo os desenvolvedores, uma versão para Linux era o pedido mais frequente dos usuários. E parece que a demora valeu a pena: é perceptível a atenção aos detalhes, da opção por criar um app nativo às integrações com ambientes e recursos do Linux. Via 1Password (em inglês).

Novo golpe desativa confirmação em dois passos no WhatsApp

A engenhosidade dos golpes de WhatsApp desenvolvidos no Brasil sempre impressiona. Agora, desenvolveram um método para “clonar” contas protegidas com a confirmação em duas etapas (2FA). A sacada dos estelionatários, explica Fabio Assolini da Kaspersky, é induzir a vítima a clicar em um link enviado pelo WhatsApp ao e-mail de “esqueci a senha” que, quando clicado, desativa a 2FA. Veja o “roteiro” completo no perfil do Fabio. Via @assolini/Twitter.

CloudFlare substituirá CAPTCHAs por chaves de segurança USB tipo YubiKey

“O dia de hoje marca o início do fim dos hidrantes, faixas de pedestres e semáforos na internet.” Com esta frase bem humorada, a CloudFlare anunciou sua investida para acabar com o CAPTCHA, aqueles desafios visuais que muitos sites exibem para evitar tráfego artificial por robôs.

A solução encontrada pela CloudFlare foi usar chaves confiáveis físicas, como as YubiKeys. Em vez de clicar nos quadrantes de uma imagem em que há semáforos, basta inserir a chave numa porta USB. Se a sua chave tiver suporte a NFC, encostá-la no celular também funciona.

A CloudFlare criou um site para demonstrar a funcionalidade. Testei com uma YubiKey 4 e funcionou muito bem.

A CloudFlare estima que a humanidade perde o equivalente a 500 anos por dia resolvendo os CAPTCHAS visuais de empresas como Google e hCaptcha. Apesar do preço proibitivo das YubiKey e similares por aqui (~R$ 500), tomara que a moda pegue. Via CloudFlare (em inglês).

O site recebe uma comissão quando você clica nos links abaixo antes de fazer suas compras. Você não paga nada a mais por isso.

Nossas indicações literárias »

Manual do Usuário