Por que as confirmações via SMS não impedem roubos de criptomoedas

(Foto: Shutterstock)

Há uns dias, Michael Terpin, fundador de um grupo de investidores em empresas de criptomoedas chamado BitAngels, teve nada menos que 24 milhões de dólares em criptoativos roubados.

O caso do Terpin chamou a atenção porque ele tascou um processo milionário contra a AT&T (a segunda maior operadora de telefonia celular dos Estados Unidos), pedindo os  US$ 24 milhões de volta e mais US$ 200 milhões a título de indenização.

Ele alega que o roubo foi causado por uma fraude dolorosamente comum no mundo da telefonia celular, chamada “SIM swap”, aqui no Brasil conhecida como “resgate de chip”: o fraudador finge ser o verdadeiro dono da linha e convence algum atendente da operadora a reassociar o número do telefone ao novo chip.

Dessa forma, o fraudador passa a receber suas mensagens SMS (recebendo as notificações e códigos de confirmação de login da sua corretora de criptomoedas ou site de banco via internet), e, tem acesso aos seus contatos do Whatsapp, e às vezes têm até a audácia de falar com seus amigos ou familiares via Whatsapp e pedir-lhes dinheiro, fazendo-os pensar que é pra você.

Vai ser interessante acompanhar o caso do Terpin – se ele ganhar, vai abrir um precedente enorme para se responsabilizar as operadoras de telefonia por todos os pecados de segurança dos usuários. Enquanto isso, você pode evitar tornar-se a próxima vítima adotando as seguintes práticas:

  • Se sua corretora confirma logins por e-mail ou SMS (além do nome e senha, é claro), pare o que estiver fazendo e vá aprender sobre o Google Authenticator (GA). Eis aqui um vídeo sobre como instalar e configurar na Binance, mas o processo é bem parecido para as demais corretoras.

Resumidamente, trata-se de um sistema que cria “senhas descartáveis”, na forma de um código numérico, que mudam uma vez por minuto. A graça da coisa é que o GA consegue calcular essas senhas sem usar a internet. Experimente: desligue  a WiFi  e o 3G/4G e veja que continua funcionando. Como não depende da internet, os fraudadores não conseguem interceptar.

Com o GA pareado com o site da sua corretora, desative qualquer coisa que tiver a ver com SMS ou e-mail. Se sua corretora não te oferecer esses recursos, troque de corretora o quanto antes.

  • Se você está poupando quantidades grandes de criptomoedas para o futuro, compre um dos vários aparelhos de “carteira em hardware”, como o Safewise, Trezor ou Ledger. Fisicamente, parecem-se com pendrives, mas na verdade são um computador totalmente separado que só roda o aplicativo de carteira. Como ele não tem Windows, nem navegador, nem e-mail, não tem quase nada que possa pegar vírus. Aprenda a usar bem o seu aparelho e guarde o “grosso” das suas criptoeconomias nele.
  • Algumas dessas “carteiras em hardware” também podem ser usadas para substituir o nome+senha para autorizar saques e no login em sites de corretoras. Ainda são poucas as que suportam esse recurso (aqui no Brasil só conheço a Omnitrade), mas você deveria seriamente considerar migrar pra elas, ou exigir da sua corretora que implemente esse recurso.
  • Se você usa um aplicativo de carteira de criptomoedas no celular, trate-o como você trata sua carteira convencional: nunca ande com muito dinheiro nela. Coloque apenas o que pretende usar em breve para pagar coisas do dia-a-dia. Quando o dinheiro nela acabar, “recarregue” a partir da sua carteira principal ou corretora – da mesma forma como você vai no caixa eletrônico do banco quando o dinheiro na sua carteira de couro acaba.
  • Gostaria de entrar em contato com o autor sobre o artigo? Envie um e-mail para [email protected]