Cuidado com ataques de falsos trabalhos para desenvolvedores Blockchain e Web3! Scam!

Alow, Alow! Os ataques estão ficando cada vez mais sofisticados e avançados.

Neste mês de junho, já recebi cerca de seis contatos de vagas falsas para Web3 e Blockchain. Todas eram diferentes, mas tinham uma similaridade: em algum momento, o anunciante me pediu para ver um código e realizar algo com ele.

No primeiro caso, aceitei fazer a instalação e realizar o teste proposto, pois o contexto apresentado parecia muito real. No entanto, criei uma configuração com Docker Composer para rodar o projeto em um container com restrições de acesso à minha máquina e usei um navegador com configurações de testes, incluindo uma carteira de criptos de teste. Com isso, o atacante não teve acesso a dados ou senhas reais. Após reportar que havia um erro em parte da aplicação, o atacante me pediu para rodar a aplicação na minha máquina sem Docker. Foi então que percebi que poderia ser um ataque. Arrumei uma desculpa e saí da situação sem perdas reais.

Para ser sincero, só não tive problemas por sorte ou por costume de tomar alguns cuidados com programas de terceiros. Alguns anos atrás, caí em um golpe de cartão e linha telefônica do banco clonada. O banco me devolveu o valor, mas foi um bom aprendizado. Desde então, passei a tomar mais cuidado.

Depois disso, recebi diversos contatos diferentes com variações desse ataque. As histórias, perfis e contatos variam. Alguns perfis são novos, mas outros parecem reais e antigos, de pessoas reais que foram hackeadas. Os valores ofertados variam muito e podem ser realistas para o serviço, baixos ou muito altos, mas sempre dentro de um range “possível” para um trabalho real.

O que chamou mais atenção foi um perfil de um político dos EUA que parecia real. Provavelmente, o atacante roubou a conta e estava usando-a para realizar os ataques.

O que parece indicar um ataque real é que todos os repositórios disponibilizados tinham uma aplicação simples com pouca lógica, um README.md bem escrito ou pelo menos com descrição do projeto falso e 1 ou 2 contribuidores. Normalmente, esses são usuários privados ou sem dados na plataforma.

Então, se você ver alguém pedindo para fazer algum teste em um repositório desconhecido, tome cuidado. Se realmente desejar arriscar, é possível rodar o projeto em algum container e com um navegador alternativo sem seus dados pessoais.

Como Funciona Esse Ataque?

O objetivo do atacante é convencer a vítima a rodar algum código malicioso que pode estar em um programa, como um app em React, ou como dependência.

No caso do ataque usando vagas de trabalho:

1. O atacante oferece uma vaga por mensagem, postagens ou plataformas de freelancing.
2. Ele busca ganhar a confiança da vítima, falando sobre o projeto ou contando alguma história. Nessa parte, o atacante pode se fingir de qualquer pessoa, desde especialistas na área a leigos.
3. Para passar na candidatura, o desenvolvedor precisa baixar um projeto que pode estar em algum repositório de código como o GitHub (mais comum) ou receber o código compactado (menos comum).
4. Ao rodar o sistema, o código escondido escaneia o computador da vítima em busca de senhas, chaves e códigos de segurança, enviando-os para o atacante.
5. Com os acessos, o atacante rouba todos os recursos da vítima, acessa suas contas e tenta tirar proveito de várias formas possíveis.

Instruções de Segurança para Prevenir e Proteger Contra Esse Tipo de Ataque

1. Utilize Ambientes Isolados: Sempre rode códigos desconhecidos em containers ou máquinas virtuais para evitar que o código malicioso acesse seus dados reais.
2. Verifique a Reputação: Antes de aceitar qualquer trabalho, verifique a reputação do anunciante e a antiguidade do perfil. Perfis recém-criados ou com poucas informações podem ser suspeitos.
3. Use Navegadores de Teste: Utilize navegadores configurados especificamente para testes, sem dados pessoais ou senhas salvas.
4. Não Compartilhe Informações Sensíveis: Nunca compartilhe senhas, chaves privadas ou qualquer outro dado sensível com desconhecidos.
5. Mantenha Software Atualizado: Mantenha seu sistema operacional, navegador e outros softwares sempre atualizados para se proteger contra vulnerabilidades conhecidas.
6. Educação e Conscientização: Esteja sempre atualizado sobre novas formas de ataque e compartilhe informações de segurança com sua rede de contatos.
7. Desconfie de Ofertas Muito Atraentes: Se a oferta parece boa demais para ser verdade, pode ser um golpe. Avalie com cautela.
8. Utilize Autenticação em Dois Fatores: Ative a autenticação em dois fatores (2FA) em todas as suas contas para adicionar uma camada extra de segurança.

Seguindo essas práticas, você pode minimizar os riscos de cair em golpes e ataques cibernéticos. Fique atento e proteja seus dados!