Clique no banner para conhecer e adquirir o meu treinamento de Bancos de Dados no Azure

Como utilizar Whatsapp e Telegram de forma SEGURA e evitar invasões ou vazamentos de conversas

Visualizações: 1.146 views
Tempo de Leitura: 12 minutos

Fala pessoal!
Nesse artigo, que não tem nada a ver com SQL Server, eu gostaria de compartilhar com vocês algumas formas MUITO SIMPLES de como utilizar Whatsapp e Telegram de forma SEGURA e não ser vítima de invasões, como estamos observando a todo o tempo em todos os jornais e sites de notícia no Brasil, uma vez que várias autoridades (como Sérgio Moro e Deltan Dallagnol) estão sendo atacadas em aplicativos de mensagens instantâneas, especialmente o Telegram.

Meu objetivo com esse post, é ajudá-los a entender como funcionam e como se proteger desses ataques de forma clara e objetiva e mostrar que em menos 1 de minuto, você pode deixar o seu Whatsapp ou Telegram protegido contra esses ataques que culminaram no vazamento de conversas privadas entre autoridades do nosso país.

É importante ressaltar que, caso você tenha perdido seu celular ou ele tenha sido roubado, lembre-se de SEMPRE ligar na sua operadora para bloquear seu chip e entrar na sua conta do Google (Android) ou iCloud (Apple) para bloquear e remover suas informações pessoais do dispositivo. No Android, por exemplo, você pode utilizar o link https://www.google.com/android/find para localizar, bloquear e remover sua conta do dispositivo remotamente, a partir de um computador ou outro dispositivo.

Como são realizados esses ataques?

Clique para visualizar o texto
De uma forma bem resumida, os invasores conseguem acessar conversas de suas vítimas através de 4 métodos principais:

  • Roubo físico do dispositivo: Bom, esse caso aqui eu não preciso nem comentar né.. Uma vez que o seu aparelho tenha sido roubado fisicamente e esteja em posse de criminosos, todos os seus dados e arquivos podem ser acessados por eles.

    Para dificultar essa ação de acesso aos seus dados, é muito importante utilizar uma senha para desbloqueio do aparelho, criptografar cartões de memória (caso esteja utilizando) e bloquear o SIM Card junto à operadora o mais rápido possível, já que boa parte dos aplicativos e serviços utilizam o SMS para permitir o acesso caso tenha esquecido a sua senha.

    Uma boa dica é utilizar aplicativos de bloqueio, como o AppLock, que irá pedir uma senha sempre que você for acessar algum aplicativo que contenha dados pessoais, como E-mail, redes sociais, aplicativos bancários, Whatsapp, etc.. Dessa forma, mesmo que seu celular seja roubado, ficará mais difícil que os criminosos acessem seus aplicativos importantes

  • Malware instalado no celular da vítima: Esse método é bem antigo e conhecido, e consiste em utilizar uma brecha de segurança em aparelhos que tenham sido infectados por algum software malicioso, como um aplicativo que cumpra alguma utilidade, mas enquanto faz isso, ele pode realizar alterações no aparelho ou capturar e enviar informações pessoais para algum outro aparelho, como os arquivos com o histórico de conversas do Whatsapp, por exemplo.

    Para não cair nesse golpe, você deve utilizar apenas aplicativos que você tem certeza da origem e autenticidade. Aplicativos disponíveis nas lojas oficiais geralmente oferecem uma segurança maior que os que você baixa em sites externos, mas mesmo os aplicativos da loja oficial podem oferecer riscos de segurança para seu dispositivo (especialmente da Google Play – A Apple é bem mais rigorosa quanto à isso), então evite baixar qualquer aplicativo que você encontre na internet.

  • Brechas na rede de sinalização: As operadoras ainda utilizam uma rede de sinalização com protocolo antigo (SS7 – Signalling System Nº 7), e esse é conhecido por ter várias vulnerabilidades. Utilizando operadoras pequenas, é possível roubar um número de telefone que esteja nas redes 2G ou 3G, imitando um pedido de chamada em roaming internacional. Utilizando essa técnica, o invasor consegue receber as chamadas telefônicas e mensagens de texto.

    Para se proteger contra esses ataques, procure utilizar sempre as redes 4G e 5G (pode exigir a compra de um novo SIM Card, caso o seu seja muito antigo). Além disso, com a implantação da LGPD, as operadoras de Telecom devem deixar de utilizar o protocolo SS7 e passar a utilizar o Diameter.

  • SIM Swap: Nesse ataque, uma pessoa mal intencionada se passa pela vítima utilizando documentos falsos e/ou dados pessoais obtidos através de engenharia social ou acesso a algum cadastro da vítima. Com essas informações, o fraudador consegue gerar um novo SIMCard do número roubado na operadora. Conhecido também como “fraude de subscrição”, esse golpe tem sido muito usado para acessar aplicativos bancários para realizar movimentações e transferências, já que eles utilizam SMS para autenticar o usuário e permitir o acesso à conta.

    Aplicativos de mensagens, como Whatsapp e Telegram, também utilizam o SMS para permitir uma nova instalação. Caso o fraudador tenha acesso às mensagens SMS da vítima, ele conseguirá utilizar esses aplicativos facilmente em seu dispositivo, conforme apontado por essa matéria.

    É possível combater esse golpe capturando dados biométricos com a operadora de telefonia, fazendo com que esse tipo de operação precise ser validada através da sua biometria, impedindo a ação de criminosos.

  • Caixa postal à distância: Método que foi apontado como tendo sido utilizado no caso dos vazamentos de dados entre os ministros da Lava Jato, esse método consiste em utilizar uma técnica chamada “spoofing”, que realiza várias ligações para um determinado número, de modo que congestione e as novas ligações caiam na caixa postal da vítima.

    O Telegram, que era o aplicativo em questão, utiliza como um dos métodos de autenticação (além do código enviado no próprio aplicativo e o SMS), uma ligação com o código de acesso. Uma vez que o número esteja congestionado com essas ligações, graças ao “spoofing”, essa ligação vai para a caixa postal da vítima. A partir daí, os invasores podem tentar acessar essa secretária eletrônica e conseguir o número que permitirá abrir o aplicativo.

    Embora o acesso remoto à secretária eletrônica do celular exija senha, algumas operadoras definem uma senha padrão, que muitos usuários acabam não trocando. Embora esse serviço seja pouco utilizado no Brasil, porque as operadoras cobram pelo acesso, você pode se proteger contra esse ataque desativando o serviço de caixa postal ou alterando a sua senha, caso utilize o serviço.

O Telegram é seguro?

Clique para visualizar o texto
Aplicativo russo e de código aberto, o Telegram é tido como um dos mensageiros mais seguros que existem, tendo sido um dos primeiros a implementar a criptografia ponta-a-ponta. Embora sua segurança nos chat tradicionais seja questionável, ele possui um recurso chamado Chat Secreto, que permite criar conversas seguras e criptografas, armazenadas apenas no dispositivo, evitando que as mensagens sejam armazenadas nos servidores do aplicativo. Além disso, você configura um temporizador em que as mensagens são automaticamente excluídas após um determinado tempo.

Entretanto, quando estamos utilizando o chat tradicional, as conversas ficam armazenadas nos servidores do Telegram e por isso, sempre que você acessa a sua conta por um novo celular ou pelo Telegram Web, você pode visualizar todo o histórico das conversas anteriores, sem ter que ficar criando e restaurando backups de conversas, como no Whatsapp (o que em situações normais, isso é até um ponto positivo pela praticidade).

Além disso, o Telegram permite vários dispositivos conectados ao mesmo tempo, ou seja, você pode utilizar a sua conta do Telegram em vários celulares ao mesmo tempo, o que pode ser um bom recurso, mas também uma brecha de segurança. Comentarei sobre isso no próximo tópico.

Como proteger o meu Telegram contra invasões?

Clique para visualizar o texto
O Telegram, implementa a segurança de ponta-a-ponta, o que impede que as mensagens sejam interceptadas durante a transmissão e todas as suas mensagens, mídias e arquivos ficam armazenados nos servidores criptografados do Telegram, ou seja, nem as imagens que você recebe, ficam armazenadas no celular (você pode baixar os arquivos, caso queira).

Desta forma, mesmo que um invasor tenha acesso ao seu celular, ele não irá conseguir acessar suas conversas, pois elas estão na nuvem e não em arquivos gravados no dispositivo. Para aumentar a sua segurança, você pode utilizar as outras proteções que já comentei nesse artigo, que é a senha de bloqueio do aparelho e também o uso de aplicativos como o AppLock, para bloquear redes sociais, aplicativos de mensagens, bancos e até aplicativos do próprio SO, como galeria e SMS. Isso irá dificultar bastante que pessoas consigam acessar suas informações, mesmo em posse do seu celular.

Feito isso, agora vamos ativar um recurso de segurança muito simples, que não leva 1 minuto para ser configurado, e que certamente teria evitado todo esse episódio de vazamento de informações dos ministros, procuradores e autoridades do governo brasileiro. Esse recurso se chama Verificação de duas etapas.

Para iniciar a configuração e ativar a Verificação de duas etapas, abra o menu do Telegram e selecione a opção “Configurações”

Depois disso, acesse a opção “Privacidade e Segurança”

Acesse a opção “Verificação em Duas Etapas”

Selecione a opção “Configurar senha adicional”

Digite a senha que você quer utilizar para proteger o seu Telegram. Essa senha pode conter letras e números.

Digite novamente a sua senha para confirmá-la.

Digite uma dica de senha, para ajudá-lo(a) a lembrar caso esqueça

Caso você queira, digite um endereço de e-mail que poderá ser utilizado para recuperar seu código de acesso. Por motivos de segurança, não recomendo ativar essa opção, uma vez que uma pessoa que tenha acesso ao seu e-mail poderia redefinir o seu código de acesso e utilizar o seu Telegram.

Caso você tenha configurado um e-mail para recuperação do código, chegará um e-mail com um número para você validar se o seu e-mail realmente é válido.

Pronto! Verificação de duas etapas ativada!

Observação: Caso você tenha configurado um e-mail de recuperação do seu código de acesso, a única forma de remover esse e-mail é desativar a verificação de duas etapas, ativar novamente e, na tela de digitação do e-mail, você clicar na opção “Pular”.

O Telegram Web é seguro?

Clique para visualizar o texto
Se você utiliza o Telegram Web para visualizar e enviar mensagens através da sua conta do Telegram e acompanhou como os ataques ao governo brasileiro foi realizado, deve ter ficado um pouco preocupado, pois eles foram realizados utilizando justamente o Telegram Web.

Como eu já comentei nesse artigo, o Telegram permite que você utilize várias sessões na mesma conta, ou seja, você pode ter várias celulares e navegadores diferentes utilizando a mesma conta, o que dá uma praticidade muito grande, pois você pode utilizar o Telegram Web no escritório, em casa e no celular, sem ter que ficar desconectando várias vezes.

Entranto, isso pode acabar sendo algo perigoso, pois você pode acabar perdendo o controle dos locais onde sua conta está logada e facilitar que outras pessoas acessem suas conversas. Para controlar isso, nós podemos utiliar a opção de Sessões ativas, no menu do Telegram:

E caso você note alguma sessão que não reconhece ou está sem logar há muito tempo, sempre opte por desconectar essa sessão:

Se você ficou preocupado com a segurança do Telegram Web, pode ficar tranquilo. Desde que você habilite a verificação de duas etapas, conforme demonstrei no tópico anterior, você ficará protegido contra esses ataques que ocorrem com autoridades do governo brasileiro. Uma prova disso, é quando você tem a verificação em duas etapas ativada e tenta realizar um novo acesso no Telegram Web.

Por padrão, o Telegram envia um código pelo próprio aplicativo, para que você receba em seu celular e use esse código para logar no Telegram Web.

Ou seja, se você não tentou realizar um acesso ao seu Telegram e você recebeu essa mensagem, é porque alguém está tentando te invadir. Fiquem atentos quanto à isso.

Caso você não tenha o aplicativo do Telegram instalado, você pode solicitar que o código seja enviado por SMS após 2 minutos. Aí que mora o perigo.. Se alguém conseguiu ter acesso às suas mensagens SMS, seja utilizando o método de SIM Swap ou outro método, o fraudador pode conseguir logar na sua conta do Telegram.

2 minutos após solicitar o envio do código do SMS, você pode solicitar o envio por código por ligação telefônica. Esse foi o método utilizado para invadir o Telegram das autoridades brasileiras, através da técnica de “Spoofing”. Uma vez que os invasores conseguiram congestinar a linha das vítimas, eles solicitaram que o código fosse enviado como ligação telefônica, que por estar congestionado, caiu na caixa postal. Esta provavelmente estava utilizando uma senha padrão e os fraudadores conseguiram acessar a caixa postal para ouvir o código enviado e com isso, puderam logar no Telegram.

Nos 2 métodos acima, seja por SMS ou por ligação telefônica, caso alguém consiga ter acesso à suas mensagens SMS ou ligações, eles conseguem logar na sua conta do Telegram normalmente, mesmo sem ter acesso ao seu celular onde o aplicativo está instalado.

Mas quando a verificação em duas etapas está ativada, eis que surge mais uma tela de validação, que vai impedir que esse ataque seja realizado (ou pelo menos, dificultar bastante):

Nessa nova tela, além da confirmação por código enviado no App ou SMS ou ligação, você obrigatoriamente terá que informar qual a sua senha de acesso ao Telegram. Essa senha, você que escolheu e cadastrou quando ativou a verificação de duas etapas.

Se você não configurou um e-mail de recuperação, um invasor só conseguirá acessar a sua conta se ele conseguir advinhar a sua senha, mesmo que ele tenha acesso aos seus SMS’s, ligações e até ao seu e-mail, ele não irá conseguir logar na sua conta do Telegram.

Bem simples né? E como uma solução tão simples poderia ter evitado um verdadeiro escândalo político no nosso país.

O Whatsapp é seguro?

Clique para visualizar o texto
O Whatsapp, assim como o Telegram, implementa a segurança de ponta-a-ponta, o que impede que as mensagens sejam interceptadas durante a transmissão. Diferente do Telegram, o Whatsapp salva as conversas no dispositivo, o que faz com que você não consiga visualizar as suas conversas anteriores ao instalar o aplicativo em um novo aparelho, a não ser que você gere um backup das suas conversas, armazena num armazenamento remoto, como o Google Drive, e restaure as conversas no seu novo dispositivo.

Isso acaba gerando um novo tipo de brecha de segurança, uma vez que um invasor possa acessar o seu histórico de conversas caso tenha acesso físico ao seu celular (furto, por exemplo) ou acesso ao seu Google Drive, já que o histórico das conversas fica armazenado no próprio celular.

Diferente do Telegram, o Whatsapp permite apenas 1 sessão utilizando o aplicativo, ou seja, se você quier instalar o Whatsapp em 2 celulares, você não vai conseguir, pois quando você abrir o aplicativo em um celular, o outro fará “logoff” automaticamente.

Como proteger o meu Whatsapp contra invasões?

Clique para visualizar o texto
Uma das melhores formas de proteger o Whatsapp contra invasões, seja por alguém tentando acessar sua caixa postal ou que tenha consigo acesso às suas mensagens SMS, é ativar a verificação de duas etapas do Whatsapp, assim como no Telegram e em diversos outros aplicativos. Dessa forma, o aplicativo irá exigir que você autentique por uma dessas 2 formas e, além disso, você digite uma senha de 6 números cadastrada por você.

Isso irá dificultar bastante que um invasor consiga acessar seu Whatsapp, mesmo tendo acesso à suas mensagens ou ligações.

Vale observar que a opção de backup das conversas é muito útil e prática, pois você consegue recuperar suas conversas caso perca ou troque de celular, mas ao mesmo tempo, isso pode ser um risco de segurança à sua privacidade, pois uma pessoa que tenha acesso ao seu celular, pode acessar os seus arquivos e copiar suas mensagens, já que elas ficam armazenadas dentro do aparelho, e não em um servidor protegido.

Nos prints abaixo, vou demonstrar passo a passo, como ativar a verificação de duas etapas no Whatsapp.

Clique nos 3 pontinhos do Whatsapp e selecione a opção “Configurações”:

Acesse o menu “Conta”

Agora, selecione a opção “Verificação em duas etapas”

Clique no botão “Ativar”

Digite o seu código de acesso, que será utilizado para configurar o aplicativo em um novo celular e também será solicitado de vez em quando, que você digite esse número para continuar utilizando o Whatsapp

Caso você queira, digite um endereço de e-mail que poderá ser utilizado para recuperar seu código de acesso. Por motivos de segurança, não recomendo ativar essa opção, uma vez que uma pessoa que tenha acesso ao seu e-mail poderia redefinir o seu código de acesso e utilizar o seu Whatsapp.

Verificação de duas etapas ativada!

Tela de configuração da verificação de duas etapas:

Tela do Whatsapp quando ele solicitar que você digite o seu código de acesso

Observação: Caso você tenha configurado um e-mail de recuperação do seu código de acesso, a única forma de remover esse e-mail é desativar a verificação de duas etapas, ativar novamente e, na tela de digitação do e-mail, você clicar na opção “Pular”.

Bom pessoal, espero que vocês tenham gostado desse artigo e fiquem atentos às dicas que eu dei para evitar serem alvos de ataques, seja por Whatsapp, Telegram ou aplicativo bancário.
Um grande abraço e até o próximo artigo.