Este é um guia de prevenção. Se suas contas já foram roubadas, veja o guia de recuperação de contas .

Quais informações podem ser consideradas genuinamente pessoais? Endereço, CPF, localização dos pais, celular do ex-marido...

Esses detalhes, para a surpresa de muitos de nós, podem ser obtidos por meio de uma indústria de mecanismos de buscas online (tipo um Google de dados pessoais) e corretores de dados. Ferramentas legítimas que, cada vez mais, tornam-se armas para publicar na internet informações de repórteres, ativistas e executivos.

O nome disso é doxxing. Frequentemente é usado para incitar assédio ou violência contra as vítimas. Essa prática muitas vezes já basta para que os atacantes tenham informações o suficiente para roubar contas de email ou redes sociais do alvo.

Com alguns procedimentos simples você pode reduzir drasticamente as chances de ser vítima desse tipo de ataque. Como?

Na sequência, oferecemos um guia passo a passo, bem pragmático, para que você se torne um alvo mais difícil para os haters.

Tempo estimado para completar esta etapa: 30 a 40 minutos

As chances de perder o controle de sues serviços digitais cai --exponencialmente-- quando você usa um aplicativo para gerar e armazenar senhas fortes e únicas. Afinal, nenhum de nós tem memória ou criatividade para criar boas senhas para cada um dos serviços e trocar periodicamente.

Atacantes frequentemente se aproveitam de vazamentos de dados para descobrir as senhas das vítimas. Se você não as troca com frequência e elas vazam: problema. Se você usa a mesma senha no Minecraft e no Twitter e as senhas do game vazam, o adversário terá também acesso à rede social. É aí que os gerenciadores são bem úteis.

Além disso, gerenciadores de senha deixam muito mais difícil que alguém roube suas senhas em um ataque de phishing porque você simplesmente não sabe as senhas de cabeça.

Phishing é a forma mais comum de ataques no Brasil. Nela, o cibercriminoso cria uma mensagem falsa (simulando, por exemplo, uma comunicação de banco) para tentar ludibriar a vítima a passar seus dados pessoais.

  1. Se alguém acessar sua conta no gerenciador, todas as suas senhas estarão expostas. Por isso, use uma boa senha (longa, com caracteres aleatórios) no gerenciador e troque-a periodicamente.
  2. Use autenticação de dois fatores (mais informações abaixo) também no seu gerenciador.

Infelizmente, não temos mais opções completas e gratuitas de gerenciadores de senhas no Brasil. Alguns navegadores, como o Google Chrome e o Safari, oferecem gerenciadores de senha gratuitamente. A desvantagem, nesses casos, é a dificuldade de acessar essas senhas para usar fora do próprio navegador --pegar a senha que está no Google Chrome e usá-la no app do Twitter do celular, por exemplo.

Algumas opções:

Extra: A Freedom of the Press Foundation tem um guia ótimo sobre como escolher uma dessas ferramentas .

Só instalar o gerenciador não adianta. É necessário entrar em cada serviço/site e alterar a senha por uma segura. Aqui, uma lista de locais prioritários para fazer essa troca:

Dica: é rapidinho para se acostumar com o gerenciador, mas até lá, é mais fácil copiar e colar as senhas criadas pelo gerador e garantir que elas estejam salvas no sistema.

Tempo estimado para completar esta etapa: de 5 a 10 minutos

SIM Swapping é uma técnica bastante usada por criminosos para roubar um número de celular e colocá-lo num outro chip. Com isso, eles passam a receber sua comunicação --inclusive, por exemplo, mensagens de textos com códigos de acesso que o banco envia. No Brasil, em alguns casos, há pessoas das próprias operadoras envolvidas no esquema. Em outros casos, usam algumas técnicas menos avançadas para fazer com que esses códigos de verificação (principalmente o de ativação do WhatsApp) parem no seu correio de voz. Como muitas pessoas usam a senha padrão da operadora no correio de voz, é fácil ter acesso aos dados.

Algumas dicas para se proteger:

  1. Tenha números separados: um para vincular a contas e usar no dia-a-dia e outro para contatar fontes. Caso seu número secundário seja vazado na internet (prática frequentemente usada para intimidar jornalistas) é possível descartá-lo sem grande dor de cabeça.
  2. O correio de voz é um vetor frequente de ataques. A melhor opção é simplesmente desabilitar o recurso. No mínimo, configure uma senha personalizada.

Dica: se estiver com dificuldades, entre em contato com a operadora

Tempo estimado para completar esta etapa: de 1h a 1h30min

Se você ainda não usa um, baixe já um aplicativo de autenticação de múltiplos fatores no seu telefone pessoal.

O que é isso? "Autenticação de múltiplos fatores" tem vários nomes, às vezes é chamada de "verificação de duas etapas" ou outras variações. É uma camada de segurança além da sua senha. O serviço (site, sistema, rede social...) passa a pedir um token disponível nesse aplicativo. Portanto, além da sua senha, que pode vazar, um invasor precisaria também desse código para entrar na conta.

Existem vários aplicativos para isso. A principal recomendação o Authy porque ele permite sincronizar os tokens de autenticação múltipla em diferentes dispositivos, inclusive o computador, e é possível recuperar a conta mesmo que você perca o seu smartphone.

Dica: mantenha o código de backup do Authy no seu gerenciador de senhas para que ele seja preenchido automaticamente no seu smartphone.

Uma vez instalado o Authy, será necessário ativar a autenticação de múltiplos fatores nas suas contas mais importantes. Já aproveite para ajustar as configurações de privacidade nessas contas (mais informações abaixo):

Sugestão para quem quer saber mais (em inglês): guia do New York Times para segurança e privacidade . Traz as configurações específicas para ligar a autenticação de múltiplos fatores dos serviços e melhorar sua privacidade nas redes.

Este outro guia (também em inglês) traz tudo o que você pode querer saber sobre autenticação em múltiplos fatores.

Tempo estimado para completar esta etapa: 5 minutos

Golpes mirando o WhatsApp são bastante comuns no Brasil são bastante comuns por um motivo: é fácil roubar uma conta. Por mais que os métodos variem , usar autenticação em dois fatores no mensageiro dá uma proteção extra contra quase todos eles. Como fazer:

Como funciona? Via de regra, um "roubo de WhatsApp" nada mais é do que ativar a conta num outro telefone, do atacante. Para isso, ele precisa de um código que o WhatsApp envia por SMS na hora da ativação (ele pode interceptar a mensagem ou te ludibriar para passar esse código). Com a autenticação em dois fatores, além desse código, o atacante precisaria da senha que você configurou. Ou seja, se consegue acesso ao primeiro, ainda é travado na segunda barreira.

  1. Acesse as configurações do WhatsApp. No Android, ficam no menu do canto superior direito. No iPhone, selecione "ajustes" no canto inferior direito.
  2. Acesse a opção "Conta" e selecione "Confirmação em duas etapas"
  3. A partir daí basta apertar em "ativar" e seguir as instruções da tela. Você vai configurar uma senha, que será necessária para ativar o WhatsApp num celular novo. Periodicamente, o app vai te perguntar essa senha para garantir que não se esqueça dela.
  4. Configure um email para a recuperação. Lembre-se de cuidar da segurança do seu email seguindo os passos anteriores deste guia.

O WhatsApp pode não ser a melhor forma de conversar com suas fontes. Ele é criptografado, ou seja, esconde o conteúdo das conversas. Ele não esconde, no entanto, quem conversou com quem e quando. No geral, Signal e Threema oferecem mais segurança, mas também deixam esse tipo de rastro. Para uma conversa com menos vestígios, veja esta página (são recursos mais avançados).

Entre no aplicativo pelo seu próprio telefone e ative a conta por ali. Isso deve ser o suficiente para remover os invasores, já que o WhatsApp não fica ativo em dois telefones ao mesmo tempo.

Se não funcionar, entre em contato com a equipe de atendimento do WhatsApp, escrevendo para [email protected] . O email pode ser enviado em português. No assunto, inclua "conta roubada" e o número de telefone em formato internacional (+55, DDD e o número). Ex.: "Conta roubada / +55 11 1234-5678".

Alerte parentes e amigos de que pode ter havido tentativas de golpes usando seu nome. Faça um BO.

Tempo estimado para completar esta etapa: de 30 a 60 minutos

As sugestões de configurações abaixo foram feitas pensando em diminuir a quantidade de informações que pessoas e robôs conseguem juntar facilmente sobre você na internet, inclusive de forma automatizada.

Parece bastante coisa, mas cada passo aqui leva poucos segundos.

Uma boa forma de evitar doxxing é vasculhar o que há na internet sobre você e eliminar o máximo de rastros que puder. É fazer um doxxing de si.

O NYT tem orientações mais extensas sobre fazer um doxxing de si (em inglês).

Fale comigo: Raphael Hernandes (Rapha) - por email ou no Twitter .

Agradecimentos a Sean Sposito, de The Paranoids, pela orientação ao construir este guia.

Mais informações sobre cibersegurança e guias avançados: Privacidade para Jornalistas

Photo by Luca Bravo on Unsplash .