O pior cenário para qualquer usuário da MetaMask — uma carteira digital de criptomoedas — é perder os fundos investidos. No entanto, o phishing se configura como uma ameaça persistente e, infelizmente, bem-sucedida dentro desse ecossistema. O golpe consiste na obtenção de informações confidenciais, como senhas bancárias, número do cartão de crédito, dados da identidade, entre outros detalhes, de forma ilegal.

O termo phishing foi escolhido devido à semelhança com a palavra do vocabulário inglês fishing, que significa pescar. A expressão resume bem a prática de fisgar as informações e os dados secretos dos usuários por meio de técnicas falsas, porém muito atrativas.

Os usuários são enganados de várias maneiras. Alguns exemplos incluem jogadores, que ouvem streamers populares do Twitch e são apontados para um projeto falso. Entusiastas de NFTs se envolvem ativamente com iniciativas no Twitter, que solicitam informações Know Your Customer (Conheça Seu Cliente, em tradução do inglês) por meio de seus Secret Recovery Phrases (Frases Secretas de Recuperação, em tradução do inglês). Já os servidores Discord levam os usuários a sites de ações fraudulentas, com muito engajamento em plataformas de mídia social, como Instagram e YouTube.

Aplicando o parâmetro de confiança da Web 2.0 para a Web 3.0

É possível notar que os usuários que sofreram o golpe estavam usando parâmetros de confiança da Web 2.0 para tentar determinar se um projeto da Web 3.0 era confiável ou não. Embora esses parâmetros e mecanismos funcionem bem na segunda geração de comunidades e serviços oferecidos na internet, não mapeiam adequadamente o nível de confiança em uma plataforma da terceira onda digital.

Uma das primeiras artimanhas desse golpe é mostrar o engajamento da comunidade. Para um iniciante, fica difícil perceber a diferença entre envolvimento real e falso. Até o usuário descobrir que tudo o que a plataforma tinha, na realidade, era uma interação fraudulenta, o dano já esta feito.

Exemplos

Posso citar alguns exemplos de parâmetros de confiança da Web 2.0 que deixam os usuários vulneráveis a ataques de phishing, como averiguar quantos membros do bate-papo em grupo existem; verificar a contagem de seguidores da comunidade; design de site visualmente atraente; quantas pessoas compartilharam o projeto; quão ativo é o bate-papo ou servidor do grupo; entre outros.

Do ponto de vista emocional, é interessante observar também que antes dos usuários caírem no golpe tendem a variar entre a emoção da descoberta de novos projetos e o medo de não se acharem capacitados o suficiente para prosseguir de forma segura nessas novas plataformas da Web 3.0. Mesmo assim, o fator surpresa parece falar mais alto.

Embora os golpistas usem esses sinais de confiança para enganar os usuários a acreditarem que são confiáveis, vale destacar que nem todas as plataformas sociais tradicionais fornecem aos usuários informações falsas.

Usuários sazonados que foram enganados no passado continuam a utilizar o Twitter, Discord, YouTube, Twitch e outras plataformas sociais para descobrir novos projetos e aprender mais a respeito de uma entidade ser confiável ou não. Entretanto, esses usuários sazonados se movimentam com maior discrição formando bate-papos em grupo entre amigos próximos; seguindo youtubers que são desenvolvedores de projetos bem-sucedidos na Web 3.0; e estudando listas de referência sobre possíveis ações fraudulentas, é o caso do site rugdoc.io.

Ao interagir com projetos de NFT no Twitter, deve-se checar se a conta é verificada e se eles têm um website. Alguns bons projetos costumam, também, pedir feedback dos usuários a fim de criar uma comunidade mais interativa.

Embora as interações recíprocas de longo prazo ainda possam deixar os usuários vulneráveis a phishing e ataques, seria necessário um esquema de “pescaria de informações” muito mais caro e complexo para os golpistas enganarem efetivamente os usuários repetidamente por um longo tempo.

Nem todo comportamento social on-line funciona contra a segurança dos usuários da Web 3.0, mas o espaço precisa de uma sinalização de confiança mais apropriada para que eles se mantenham seguros.

Mas então como reconhecer um phishing? Quando a esmola é demais, o melhor é seguir o termo conhecido pelos mais experientes Do Your Own Research (DYOR), que significa: faça a sua própria pesquisa. Não confie, verifique!

(*) Caroline Kalil é consultora de direito digital, investidora de criptomoedas, colecionadora de NFTs com certificação em KYC Blockchain Professional pela Blockchain Council, e blockchain development pela Consensys, além de autora do e-book O Metaverso Simplificado. Ela tem MBA em criptoativos e blockchain