Pequenas dicas sobre vigilância e segurança online

Apesar de existir maneiras mirabolantes e muitas vezes mais elaboradas para roubar dados pessoais na internet, coletar informações, hackear sistemas, ou fraudar perfis, a técnica mais utilizada tanto por sistemas institucionais quanto informais é a engenharia social.

Engenharia social, no contexto de segurança da informação, é uma maneira de manipular pessoas em situações e contextos específicos com o objetivo de obter acesso ou induzir você a realizar uma ação desejada. Ela explora um conjunto de técnicas baseada em características específicas dos seres humanos como a reciprocidade, consistência, provas, autoridade, empatia, escassez. Fora do mundo da internet, exemplos conhecidos de engenharia social são os sequestros falsos por telefone, mas você pode ver muitos outros exemplos aqui.

No contexto político e virtual, algumas técnicas conhecidas são:

Infiltração
Ronda Virtual
SIM swap
Doxxing
Phishing

Muitas vezes essas técnicas são combinadas entre si, para garantir a eficácia da ação que a pessoa, aqui denominada como “atacante”, busca performar.

Um exemplo recente de uso de engenharia social é o caso de Balta Nunes. Um oficial do exército que se infiltrou em grupos ativistas em 2016, e usou ronda virtual e infiltração para localizar e seduzir ativistas, com o fim de coletar informações e interferir em ações planejadas pelos ativistas. Ele foi descoberto quando, numa manifestação contra o impeachment de Dilma Roussef, direcionou um grupo de ativistas para a polícia e todos foram detidos, menos ele.

A engenharia social também é usada por empresas, tanto para espionagem, quanto para manipulação de pessoas, dados ou interferência na tomada de decisão pública, como essa reportagem ilustra.

Ronda Virtual, em segurança da informação, é quando uma ou mais pessoas verificam todos os rastros que você deixa online, é o chamado de stalker virtual. Essa técnica é muito utilizada na vigilância pela polícia, e foi com ela que se montaram muitos inquéritos no Brasil contra ativistas: verificando as curtidas de páginas no Facebook, confirmação de convites a eventos online para ir em manifestações, e postagens públicas. Esses foram vários dos elementos usados contra as manifestações de estudantes em Goiás, assim como contra o caso dos 23 do Rio de Janeiro.

Como proteger as suas informações: torne privada as suas contas em redes sociais, adicione apenas pessoas que você conhece, evite confirmar online a sua presença em eventos (opte pela opção “salvar”), bloqueie marcações de fotos em redes sociais. No caso de figuras públicas que precisam de exposição é necessário fazer uma análise de risco mais apurada e específica.

SIM Swap é a clonagem ou roubo do seu chip de celular, para acessar e/ou roubar as suas informações pessoais. Foi muito usado no período eleitoral de 2018, contra ativistas feministas do #EleNão. Não é necessariamente o roubo do seu celular ou do seu chip físico, mas fraudar os seus dados pessoas junto com as operadoras de telefonia.

Muitas vezes as pessoas deixam os números de seus telefones disponíveis em suas redes sociais, ou são vítimas de doxxing e tem esses dados vazados. Uma vez exposto, uma pessoa atacante pode fraudar junto a uma operadora de telefonia e se passar pela dona desse número. Como muitas vezes as contas de sites ou aplicativos estão vinculados ao número do seu celular, essa pessoa pode obter acesso as suas contas, seus dados e até mesmo se passar por você em aplicativos de mensagens, como no WhatsApp.

Como proteger seu SIM/chip de celular: deixando seu número de telefone privado, e ativar a “autenticação de dois fatores”, 2FA, que utiliza a autenticação por um app ou por senha/pin. Você pode fazer isso nos aplicativos que você quer proteger (como WhatsApp, Signal, redes sociais, etc), e se for vítima deste roubo, quando a pessoa tentar acessar seus dados, ela deparará com uma senha que apenas você sabe, da autenticação de dois fatores, e não conseguirá acessar seus dados, mensagens,etc.

Lembre-se que é importante criar uma senha única (não utilizada em outros serviços), segura e trocá-la com frequência.

Doxxing é uma técnica de coletar dados privados e/ou públicos para intimidar uma pessoa ou grupo de pessoas. É extremamente comum na disputa de narrativas, e pode levar a violência de alto risco para as partes envolvidas.

Gus publicou um guia sobre Doxxing e formas de prevenção que vale a pena ser lido aqui.

Phishing é uma técnica antiga do mundo online, é a prática de páginas ou emails iguais a de sites oficiais ou redes sociais com o objetivo de roubar dados de uma pessoa específica ou várias pessoas aleatórias. O phishing é muito usado para roubo de contas bancárias, roubo de contas de redes sociais ou de e-mails.

Como evitar cair nesse golpe? Evite clicar em links recebidos por desconhecidos, verifique sempre o endereço do site que você está acessando, nunca forneça a sua senha para terceiros, e confira sempre com a instituição oficial a informação que está sendo solicitada, especialmente se for um banco. Ao acessar um site de uma organização, empresa ou instituição, verifique se a sua conexão está criptografada com um certificado válido, isto é: usando https:// antes do endereço, e com o cadeado ao lado do mesmo, e se o endereço visitado corresponde com o site da organização.

Researcher, Technologist. Bertha Fellow 2020–21, Mozilla Fellow 2019-20.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store