Vivemos em uma era de conectividade generalizada. No entanto, nossa vida sempre ativa e centrada em dispositivos móveis também nos expõe a riscos. Para muitas pessoas, o phishing ou o download de malwares por engano podem ser as principais ameaças on-line contra nossos dados pessoais e profissionais. No entanto, nem tudo é tão sofisticado. Às vezes, as formas mais antigas, como espiar sobre os ombros o smartphone de uma pessoa distraída ou mesmo ver o lixo de alguém, podem proporcionar a golpistas grandes oportunidades.

A espionagem de perto é um modus operandi ao qual os golpistas normalmente costumam recorrer, mesmo antes do advento dos smartphones e laptops. Basta perguntar a alguém que tenha tido sua senha de cartão de crédito roubada por transeuntes inescrupulosos. Hoje, as possibilidades de obter dados sensíveis desta forma são bem maiores.

Nosso estilo de vida rápido e o uso de diversos dispositivos é um ímã para os golpistas que espiam sobre os ombros no momento em que acessamos nossa conta bancária ou inserimos dados de login de um determinado e-mail. Entretanto, apenas algumas pequenas mudanças de comportamento podem ser suficientes para manter a nossa segurança digital.

Casos reais

Costumamos subestimar a possibilidade de que alguém possa roubar nossas informações ao espiar sobre os ombros. Acreditamos que sempre será possível identificar situações nas quais alguém possa espiar a tela de nossos dispositivos. No entanto, os criminosos precisam apenas de uma oportunidade.

O especialista da ESET, Jake Moore, explica como conseguiu obter os detalhes de login das contas de serviços on-line de seus amigos em testes que realizou com o consentimento prévio deles. A pesquisa realizada por Moore mostra como muitos de nós estamos expostos a atacantes inteligentes, especialmente em ambientes casuais, como bares, cafés e restaurantes.

Roubo de dados de acesso a contas do Snapchat

Em sua primeira experiência, Jake apostou com um amigo que poderia sequestrar sua conta do Snapchat, mesmo que ela estivesse protegida pela autenticação de dois fatores. Usando o recurso de redefinição de senha, ele inseriu o número de telefone do amigo e selecionou a opção para receber um SMS com um código de confirmação. Ao olhar sobre os ombros do amigo no momento em que o SMS apareceu na tela inicial do dispositivo, ele conseguiu ter acesso ao código de verificação e, desta forma, obter o controle total da conta. Até mesmo um segundo código SMS enviado como confirmação foi ignorado pelo amigo, que é o verdadeiro titular da conta, mas observado e inserido por Jake assim que a notificação chegou ao dispositivo.

Entretanto, um cibercriminoso pode não saber o número de telefone de uma potencial vítima, mas provavelmente será capaz de procurar este tipo de dado na internet em vazamentos previamente publicados em fóruns na dark web ou por meio de informações disponíveis na Internet, inclusive informações publicadas em redes sociais. Ao chamar o usuário e fingir ser um funcionário de uma determinada empresa de rede social, um atacante pode teoricamente enganar a vítima para que informe o código SMS recebido.

É claro que este último não se trata estritamente de espiar sobre os ombros. Mas imagine um ambiente de escritório ou uma instituição de ensino onde colegas ou jovens possam estar muito próximos de usuários cujos números de telefone podem ser conhecidos. Em contextos como estes, redefinir uma senha representa um risco, pois podemos nos expor a pessoas próximas que podem estar observando nossas telas sem que nos demos conta.

Roubo de dados de contas do PayPal

Em uma segunda experiência semelhante, Jake apostou com um amigo que poderia sequestrar uma de suas contas de serviços on-line. Desta vez, ele acessou a página de login do PayPal para solicitar uma redefinição de senha. Conhecendo o endereço de e-mail do usuário, ele o inseriu e selecionou a opção de verificação de segurança via código SMS enviado para o telefone do amigo. Semelhante ao exemplo anterior, Jake pôde observar secretamente o dispositivo enquanto o código aparecia e assim obter acesso à conta PayPal do amigo.

Para um caso como este, um cibercriminosos precisaria obter o e-mail de uma vítima, seja olhando sobre dos ombros ou encontrando esta informação de outras formas. Além disso, seria necessário se aproximar do usuário para observar esse código de confirmação no momento em que chegasse ao dispositivo da vítima. Mais uma vez, um escritório ou escola seria o lugar perfeito. Nestes casos, se um atacante observa uma pessoa que permanece em um local público por um tempo suficiente, não é nada irracional pensar que em algum momento ele terá a possibilidade de detectar qual é seu endereço de e-mail da potencial vítima.

A que riscos estamos expostos?

A primeira coisa que deve ficar clara é que as barreiras de segurança são, em muitos casos, bastante fáceis de serem contornadas por cibercriminosos. Especialmente se eles tiverem espiando o seu laptop ou smartphone. Muitos de nós permitimos que as notificações apareçam o tempo todo em nossas telas. Alguns de nós até nos acostumamos tanto a receber notificações que simplesmente as ignoramos. No entanto, isso não ocorre com aqueles que olham sobre os ombros.

Considero interessante notar que a vítima no exemplo acima do PayPal era uma pessoa com mais de 20 anos de experiência em segurança cibernética. Se essa pessoa foi enganada desta forma, muitas outras também podem cair nesta mesma estratégia, e uma vez que um criminoso tenha acesso à sua conta, ele pode:

  • Alterar os dados de login e depois extorquir vítimas que querem recuperar o acesso as suas contas;
  • Utilizar técnicas de força bruta para testar os mesmos dados de login para acessar outras contas;
  • Roubar suas informações pessoais para realizar golpes de identidade ou enviar mensagens de phishing;
  • Acessar e desviar dinheiro para suas próprias contas;
  • Intimidar as vítimas postando conteúdo inapropriado de suas contas.

Como evitar ser vítima

O impacto de ter uma conta sequestrada pode durar muitos meses. Se cibercriminosos tiverem conseguido roubar dinheiro e informações pessoais, você pode sofrer com tentativas de phishing nos meses seguintes. Recuperar os fundos perdidos e restaurar os detalhes de seu cartão de crédito, por exemplo, pode levar ainda mais tempo. Considerando isto, aqui estão algumas dicas para reduzir o risco de ser vítima de phishings:

  • Nunca reutilize senhas em todas as suas contas. Use um gerenciador de senhas para armazenar dados de login exclusivos e seguros. Ative a autenticação em duas etapas e escolha um aplicativo de autenticação (por exemplo, Google Authenticator, Microsoft Authenticator) em vez da opção de código SMS.
  • Esteja sempre atento ao acessar as suas contas em lugares públicos. Isso pode significar deixar de trabalhar em aviões lotados, trens, aeroportos, lobbies de hotel ou locais similares. Ou, pelo menos, trabalhar de costas para uma parede.
  • Use uma tela de privacidade para seu computador. Isto reduzirá consideravelmente a visibilidade de sua tela para aqueles que não estejam na frente do monitor.
  • Desative as notificações que exibem na tela o conteúdo de notificação por SMS, e-mails e alertas para evitar exemplos de ataques como os que Jake destacou acima. Se alguém está acessando uma de suas contas, e não foi você, investigue imediatamente.
  • É praticamente desnecessário dizer, mas nunca deixe nenhum dispositivo desbloqueado em um espaço público.
  • Os criminosos que espiam sobre os ombros continuam sendo uma ameaça amplamente subestimada. Isto não quer dizer que é mais provável que eles tentem enganá-lo desta forma do que através do phishings. Mas, as mesmas regras se aplicam: ficar alerta, estar preparado e seguir boas práticas de segurança.