Como se proteger contra ataques a criptomoedas e engenharia social

A engenharia social é um perigo no mundo das criptomoedas, permitindo que hackers manipulem utilizadores e roubem fundos. Aprenda como se proteger contra ataques a criptomoedas e fraudes.

Introdução

As criptomoedas oferecem liberdade financeira, mas também atraem cibercriminosos que procuram novas formas de explorar os utilizadores. Ao contrário daquilo que acontece na banca tradicional, as transações com criptomoedas são irreversíveis, tornando a segurança uma prioridade máxima. Uma das ameaças mais perigosas neste espaço é a engenharia social,, uma técnica em que os atacantes manipulam pessoas em vez de invadir sistemas.

Desde golpes de phishing a ataques de falsificação de identidade, a engenharia social tem sido responsável por alguns dos maiores roubos de criptomoedas, incluindo o ataque à Bybit no início de 2025, que resultou numa perda de 1,5 mil milhões de dólares.

Compreender como estes golpes funcionam e aprender como se manter protegido é crucial para qualquer pessoa envolvida no mundo das criptomoedas.

Neste artigo, detalhamos como a engenharia social leva a ataques a criptomoedas, destacamos exemplos reais e fornecemos dicas práticas para proteger os fundos.

O que é engenharia social?

A engenharia social é uma técnica de manipulação usada para explorar a psicologia humana a fim de obter acesso a informações confidenciais, sistemas ou locais físicos. Em vez de atacar vulnerabilidades técnicas, os engenheiros sociais visam vulnerabilidades humanas, como confiança, disposição para ajudar, medo e curiosidade.

áticas comuns de engenharia social incluem:

• Phishing: E-mails ou mensagens falsas criadas para roubar credenciais.
• Pretexting: Criação de um cenário fabricado para extrair informações.
• ofertaofertaofertaBaiting: Oferecer algo atraente, como tokens ou software gratuitos, para atrair as vítimas.
• Tailgating: Seguir o pessoal autorizado para áreas restritas.
• Quid pro quo: Oferecer um serviço em troca de informações.
• Falsificação de identidade: Fingir ser uma pessoa de confiança (como pessoal de suporte ou chefes de equipa) para obter informações.

Estes ataques são particularmente perigosos porque contornam as medidas de segurança técnicas, explorando a psicologia humana.

As defesas eficazes incluem formação em consciencialização de segurança, procedimentos de verificação e a criação de uma cultura que incentive o levantamento de questões sobre pedidos invulgares.

Como é que a engenharia social leva a ataques a criptomoedas?

A engenharia social desempenha um papel crítico nos ataques a criptomoedas, visando as vulnerabilidades humanas em vez das falhas técnicas nos sistemas de blockchain.

A falsificação de identidade é comum; os atacantes fazem-se passar por funcionários da bolsa ou líderes de equipa em plataformas como Discord, X e Telegram, convencendo os utilizadores a partilhar dados confidenciais ou a clicar em links maliciosos.

riam sites de phishing convincentes que imitam bolsas legítimas para roubar chaves privadas e frases-semente, ou adotam técnicas de troca de SIM para contornar a MFA, assumindo o controlo dos números de telefone das vítimas. Muitos burlões também promovem oportunidades de investimento fraudulentas, incluindo ofertas iniciais de moedas falsas (ICOs) ou pré-vendas exclusivas que simplesmente desaparecem com os fundos dos investidores.

Os atacantes tecnicamente mais sofisticados levam os utilizadores a conectarem as suas carteiras a aplicações descentralizadas (dapps) ou a aprovarem interações perigosas de smart contracst que drenam as suas contas. Alguns vão mais ainda mais longe, atacando programadores e gerentes de tesouraria com engenharia social, colocando organizações autónomas descentralizadas (DAOs) ou hot wallets de exchanges em risco.

Em criptomoedas, não existem estornos. Uma vez que os ativos são transferidos, eles desaparecem. É isso que torna a engenharia social tão eficaz e tão perigosa.

Um caso de ataque a criptomoedas de alto perfil: o ataque de engenharia social do Lazarus Group

Em fevereiro de 2025, a Bybit, uma proeminente exchange de criptomoedas, sofreu uma violação de segurança significativa, resultando no roubo de aproximadamente 1,5 mil milhões de dólares em Ethereum.

As investigações revelaram que o grupo de hackers patrocinado pelo Estado norte-coreano, conhecido como Lazarus Group ou TraderTraitor, orquestrou este ataque. A violação foi executada através de um sofisticado ataque à cadeia de abastecimento que incorporou táticas de engenharia social, incluindo:

1. Direcionar atenções a um programador: O ataque começou quando um programador da Safe{carteira} foi manipulado socialmente por alguém que se passava por um colaborador confiável de código aberto. Eles convenceram o programador a executar um projeto malicioso Docker Python no seu Mac.
   
2. Sequestro da sessão AWS: Assim que a estação de trabalho do programador foi comprometida, os hackers extraíram tokens de sessão temporários da Amazon Web Services (AWS), a plataforma de infraestrutura em nuvem usada pela Safe{carteira}. Esses tokens permitiram-lhes contornar a autenticação multifator (MFA) e manter discretamente o acesso a sistemas críticos por quase 20 dias.
   
3. Manipulação de processos de transação: Os atacantes injetaram JavaScript malicioso na UI da Safe, ferramenta usada pela Bybit para aprovar transações de cold wallet — fazendo com que os assinantes enviassem fundos para os atacantes sem terem conhecimento.

Ao explorar a confiança humana e visar a cadeia de fornecimento de software, os hackers contornaram eficazmente as medidas de segurança tradicionais, levando a um dos maiores roubos de criptomoedas até à data.

Como identificar (e impedir) golpes de engenharia social em criptomoedas

1. Verificar identidade

Verifique sempre rigorosamente a outra parte em questão, especialmente se lhe pedirem informações confidenciais. Utilize pontos de contacto oficiais, não links ou e-mails fornecidos por eles.

• Ative a MFA usando uma aplicação de autenticação, não SMS.
• Considere usar passkeys para proteção adicional sempre que tal seja suportado.

Aqui estão mais detalhes sobre como ativar o 2FA nas contas da Crypto.com.

2. Tenha cuidado com as informações pessoais

Os burlões vasculham as redes sociais em busca de pistas para criar ataques convincentes. Nunca partilhe frases-semente, palavras-passe ou chaves privadas — nem mesmo com alguém que alegue ser do suporte ao cliente.

Use palavras-passe únicas e fortes para cada conta e considere usar um gestor de palavras-passe.

3. Seja cético em relação a mensagens inesperadas

Tenha cuidado redobrado com links ou anexos em mensagens diretas ou e-mails, especialmente se não forem solicitados. Em caso de dúvida, navegue manualmente para URLs confiáveis. Fique atento a sinais discretos de phishing, como pequenos erros ortográficos em nomes de domínio ou endereços de e-mail.

4. Mantenha a higiene de segurança

Mantenha tudo atualizado, desde as aplicações de carteira até às extensões do navegador. As correções de atualização podem resolver vulnerabilidades conhecidas. Para máxima proteção, use uma carteira hardware e pense duas vezes antes de aprovar interações com smart contract.

5. Mantenha-se informado

Mantenha-se informado sobre as técnicas de fraude atuais, pois as táticas de engenharia social estão em constante evolução. Se algo parecer suspeito ou bom demais para ser verdade, provavelmente é.

Conclusão

A engenharia social continua a ser uma das formas mais eficazes para os cibercriminosos contornarem as medidas de segurança e roubarem criptomoedas. À semelhança do que se viu no ataque à Bybit, mesmo grandes instituições com segurança avançada podem ser vítimas quando a confiança humana é explorada.

Ao permanecerem vigilantes, verificarem identidades, protegerem informações pessoais e manterem uma higiene de segurança forte, os utilizadores podem reduzir significativamente o risco de serem alvos. A formação é a melhor defesa — continue a aprender sobre golpes emergentes e sempre questione pedidos inesperados, por mais convincentes que pareçam.

No mundo da cripto, a segurança é inegociável, então tome todas as precauções para proteger todos os ativos. Mantenha-se informado, cético e seguro.

Diligência devida e investigação própria

Todos os exemplos enumerados neste artigo destinam-se apenas a fins informativos. Não deve interpretar qualquer informação ou outro material como aconselhamento jurídico, fiscal, de investimento, financeiro, de cibersegurança ou outro. Nada aqui contido constituirá uma solicitação, recomendação, endosso ou oferta pela Crypto.com para investir, comprar ou vender quaisquer moedas, tokens ou outros criptoativos. Os retornos sobre a compra e venda de criptoativos podem estar sujeitos a impostos, incluindo impostos sobre ganhos de capital, na sua jurisdição. Quaisquer descrições de produtos ou recursos da Crypto.com são meramente para fins ilustrativos e não constituem um endosso, convite ou solicitação.

O desempenho passado não é uma garantia ou previsão de desempenho futuro. O valor dos criptoativos pode aumentar ou diminuir e o investidor pode perder a totalidade ou um montante substancial do seu preço de compra. Ao avaliar um criptoativo, é essencial que faça a sua pesquisa e a devida diligência para fazer o melhor julgamento possível, uma vez que quaisquer compras serão da sua exclusiva responsabilidade.