Autoridades federais de segurança dos Estados Unidos alertaram sobre o risco de carregar celulares e outros dispositivos em portas USB de locais públicos, como aeroportos, hotéis e parques. Segundo o FBI, esses pontos podem ser alterados para infectar aparelhos com malwares.
O conselho foi dado no Twitter, e a agência disse ainda que a melhor opção é levar um carregador e cabo USB próprios.
Em um comunicado posterior enviado ao canal CNBC, a agência afirmou que se trata de uma mensagem rotineira, que não está vinculada a nenhum incidente recente e tem mais a ver com o crescimento de crimes e fraudes cibernéticas.
O lembrete é um fragmento de um pequeno manual de conselhos da agência para lidar com ameaças de hackers no uso rotineiro da internet.
A técnica de ataque que utiliza vulnerabilidades do padrão USB é conhecida como “juice jacking”. Para aplicar o golpe, criminosos abrem as entradas e as substituem por um hardware infectado.
Com a conexão física, é possível instalar malwares capazes de roubar e alterar senhas, exportar dados ou mesmo comprometer permanentemente o dispositivo, tornando-o um caríssimo peso de papel.
A saída, como ressalta o aviso da agência, é evitar completamente entradas USB públicas e preferir tomadas elétricas comuns, ou mesmo os novos carregadores sem fio.
Uma possibilidade é usar uma “camisinha USB” (a mais famosa é a PortaPow USB Data Blocker), um dispositivo que bloqueia a transmissão de dados pela porta USB e permite apenas a transmissão de eletricidade. Há também cabos inteiros que contam com a proteção (o mais conhecido deles é o PortaPow USB-C to C Data Blocker).
Segundo a Comissão Federal de Comércio (FCC) dos EUA, também é necessária proteção especial para se conectar a redes bluetooth de desconhecidos e wi-fi públicos, que “podem ser pontos de acesso vulneráveis para roubo de dados ou identidade”.
O melhor a fazer é ter certeza de que a rede usa criptografia WPA2 (abaixo do nome da rede está listado o padrão de criptografia usado), e só se conectar a sites com “https://” na barra de endereços.
Essa medida é uma forma de evitar o ataque conhecido como “man-in-the-middle” (homem no meio, em tradução livre), em que um criminoso intercepta os dados transmitidos entre dois dispositivos.
É importante ter certeza também de que está se conectando na rede certa do estabelecimento, já que uma das táticas mais comuns de golpistas é criar redes-fantasmas parecidas com pontos legítimos de wi-fi para roubar dados de quem se conecta a elas.
“Se você utiliza pontos de acesso de wi-fi públicos regularmente, considere o uso de uma rede privada virtual, que criptografará todas as transmissões entre seu dispositivo e a internet. Muitas empresas oferecem VPNs a seus funcionários para fins de trabalho, e os indivíduos podem assinar VPNs por conta própria”, aconselha também o site da FCC.
Fonte: Portal R7