Tem havido muitas discussões no mundo digital sobre se a transferência de dinheiro com anonimato acarreta ou não muitos riscos. É verdade que sim. Nos últimos tempos, um esquema de phishing em ascensão, denominado "ataque de phishing no gelo", tem estado a circular na Internet. O mercado das criptomoedas tem explodido mesmo debaixo dos nossos narizes, com cada vez mais pessoas a registarem-se anonimamente na Blockchain para angariar fundos de criptomoedas e multiplicar as suas finanças. Embora tudo isto pareça bastante mágico, na realidade não é bem assim.
A Microsoft emitiu recentemente um aviso aos utilizadores sobre uma possível variante de ataque de phishing que visa o ambiente Blockchain e Web3, especificamente. Este novo e alarmante esquema de Blockchain tem sido denominado "Ice Phishing".
Para os nossos leitores não-cripto, aqui está um breve resumo de alguns conceitos básicos antes de mergulharmos no que é a "Ice Phishing":
Descentralização de dados e a cadeia de bloqueios
A descentralização de dados refere-se a um modelo de dados em que a autoridade sobre entidades de dados está dispersa por uma rede distribuída, em vez de estar concentrada nas mãos de um corpo/corpos específicos. Mantém-se fiel ao facto: "cada homem a si próprio", reduzindo a interdependência entre os responsáveis pelo tratamento de dados.
A Blockchain pode ser definida como uma base de dados descentralizada que funciona principalmente como uma unidade de armazenamento para transacções em moeda criptográfica. Sendo um ambiente seguro, distribuído digitalmente e desconcentrado, mantém o anonimato dos participantes durante as transacções e também preserva um registo do mesmo. Toda a informação sobre a Blockchain é armazenada electronicamente e num espaço seguro que não pode ser acedido por terceiros.
A Blockchain armazena livros de contabilidade distribuídos que não podem ser alterados uma vez adicionados. Cada "bloco" funciona como uma unidade de armazenamento separada que contém um conjunto de informação transaccional dentro de um espaço limitado. Assim que o bloco é preenchido, é criado um novo bloco para adicionar o próximo conjunto de registos, que é depois ligado ao bloco anterior. Isto forma uma cadeia de bases de dados que dá ao Blockchain o seu nome de assinatura.
Atualmente, existem vários serviços de desenvolvimento de Blockchain que oferecem serviços de consultoria, integração, tokenização, gestão e manutenção para ajudar organizações e indivíduos a criar e implementar soluções baseadas em Blockchain.
Web3.0 e os possíveis riscos a ela associados
Construído sobre a base da tecnologia Blockchain, Web3.0, ou Web3 como é vulgarmente conhecida, é um ambiente web descentralizado que permite aos utilizadores interagirem e escalarem os seus investimentos ao mesmo tempo que oferece mais privacidade aos seus dados. Na Web3, os dados são descentralizados e encriptados com a ajuda de uma chave privada a que só o utilizador tem acesso.
Ao contrário da Web2, onde os dados são armazenados em servidores centralizados que são supervisionados por um grupo de grandes empresas de tecnologia, a Web3 oferece mais em termos de segurança e escalabilidade e está rapidamente a tornar-se a próxima grande coisa no mercado criptográfico.
No entanto, é importante notar que a Web3 ainda está na sua fase nascente, e requer bastante desenvolvimento. Tal como a Web1.0 e a Web2.0, não é imune a violações de dados ou desafios de segurança. A falta de centralização também destaca a ausência de regulamentação de dados na Web3 que abre o caminho para actividades maliciosas.
Ataques de Phishing no gelo detectados pela Microsoft na Blockchain
Pode perguntar-se se a Blockchain e a Web3 são ambientes tão seguros, como é que os ataques de phishing ainda estão a causar estragos no mundo criptográfico? A resposta é - através da engenharia social.
Os atacantes são tão inteligentes quanto maus. A indústria de serviços de desenvolvimento de Metaverso não está imune a ataques maliciosos de atacantes que estão constantemente a encontrar novas formas de prejudicar utilizadores inocentes. Conforme observado pelos analistas de segurança da Microsoft, esses criminosos começaram a criar e assinar contratos inteligentes maliciosos que redireccionam tokens de carteiras sem custódia para um endereço controlado pelo atacante em vez do endereço do destinatário pretendido. Isto é possível devido à falta de transparência na interface transacional da Web3. É cada vez mais difícil detetar e acompanhar a deslocação de tokens, tornando crucial para as empresas de Serviços de Desenvolvimento de Metaverso manterem-se à frente destes atacantes sofisticados.
Parece-lhe familiar? Os e-mails de phishing enviados por atacantes para defraudar empresas utilizam tácticas semelhantes.
Como sugerido pelos investigadores de segurança da Microsoft, para evitar o "Ice Phishing" pode-se tomar algumas medidas cautelares que incluem verificar minuciosamente se o contrato inteligente que está a assinar é auditado e imutável, e também verificar as suas características de segurança no mesmo.
Não sou um utilizador da Blockchain, devo continuar preocupado?
Sim! Enquanto "Ice phishing" é uma variante única de phishing que se alimenta de vulnerabilidades de Blockchain e Web3, várias outras formas de phishing podem afectar indivíduos a todos os níveis. Estas são algumas delas:
Email Phishing
Já se deparou com um e-mail que soa demasiado bom para ser verdade? Como um desconto de 90% nas suas ofertas favoritas, ou ganhar uma lotaria? Enquanto alguns são fáceis de detectar, pois o endereço do remetente parece suspeito, e se receber o mesmo e-mail de uma fonte de confiança cujos serviços confia, diariamente? Irá clicar no e-mail.
Num ataque de phishing por correio electrónico, o atacante falsifica o endereço do remetente para parecer que vem de uma fonte legítima para roubar as credenciais do utilizador ou injectar o resgate. Pode causar violações de dados a nível empresarial, roubos de identidade, e muito mais.
Fraude do CEO
Os decisores de uma organização, como o CEO, são os mais propensos a fazer-se passar por personificadores. Isto acontece porque têm acesso a informação sensível como nenhum outro. A fraude do CEO refere-se a e-mails de phishing que se fazem passar pelo CEO para enganar os funcionários na transferência de fundos ou na divulgação de dados confidenciais.
Caça à baleia e Spear Phishing
Formas altamente direccionadas de ataques de phishing, caça à baleia e phishing com lança visam indivíduos específicos dentro de uma organização para defraudar a empresa. Semelhante a Fraude do CEOsão muito difíceis de detectar ou contornar, uma vez que utilizam tácticas avançadas de engenharia social.
Como proteger a sua organização contra a Phishing?
O DMARC pode ajudar! A utilização de soluções de autenticação de correio eletrónico como o DMARC permitir-lhe-á implementar uma postura anti-phishing robusta na sua organização. Uma política DMARC não só ajuda a evitar o phishing, como também proporciona um elevado grau de segurança contra a falsificação de domínio direto e ataques de ransomware perpetrados através de e-mails falsos.
PowerDMARC é o seu balcão único DMARC com a missão de eliminar as dúvidas sobre a segurança do correio eletrónico. As nossas soluções são fáceis de implementar, têm preços de mercado competitivos, são completamente seguras e altamente eficazes! Ajudámos mais de 1000 marcas globais a lutar contra o phishing e a migrar para uma experiência de correio eletrónico mais segura poucos meses após a implementação. Junte-se a nós hoje mesmo fazendo um teste DMARC!.
- Como corrigir "Nenhum registo SPF encontrado" em 2025 - 21 de janeiro de 2025
- O que é o MTA-STS? Configurar a política correta do MTA-STS - 15 de janeiro de 2025
- Como corrigir uma falha DKIM - 9 de janeiro de 2025