Segurança em assinaturas: como proteger sua conta, sua carteira… e sua sanidade

Você já tentou calcular quanto gasta por mês com assinaturas? Música, filmes, jogos, cursos de idiomas, serviços de delivery, assinatura de bancos aquecidos e até mesmo a possibilidade de conversar com o bot Grok diretamente do seu veículo: hoje existe assinatura para praticamente tudo. Há até mesmo serviços de assinatura criados especificamente para… acompanhar suas outras assinaturas.

O número de assinaturas varia bastante dependendo de onde você mora, mas, estatisticamente, 78% dos adultos no mundo possuem pelo menos uma assinatura paga, e o usuário médio gerencia 5,6 serviços ativos. Além disso, uma grande parte dessas assinaturas são planos familiares usados por grupos de parentes próximos… e, às vezes, por outras pessoas também: 37% dos usuários compartilham suas assinaturas fora do núcleo familiar imediato.

Como contas de assinatura, especialmente planos familiares, costumam conter dados pessoais sensíveis, elas se tornaram um alvo prioritário para cibercriminosos. Hoje, vamos analisar como gerenciar suas assinaturas com segurança, evitar que suas contas sejam comprometidas e não cair nos golpes mais recentes dos golpistas.

Segurança de contas e assinaturas compartilhadas

Por que alguém poderia querer invadir sua assinatura? Mesmo que o serviço ofereça apenas entretenimento, sua conta quase certamente contém informações sensíveis: nome, endereço, e-mail, telefone, nomes de outros membros e outros dados de identificação pessoal. Esses dados são, então, vendidos na dark web e usados para novos ataques.

Os invasores comprometem contas de assinatura por meio de engenharia social e phishing ou explorando o hábito de muitos usuários de utilizar senhas fracas ou já vazadas. Como destacamos recentemente em nossa pesquisa, quase metade das senhas em todo o mundo pode ser decifrada em menos de um minuto. Os golpistas, então, revendem assinaturas existentes ou vagas em grupos familiares com desconto, ou ainda cadastram a vítima em novos serviços, esperando que as cobranças extras passem despercebidas.

Por fim, alguns intermediários nem sequer se preocupam em invadir contas; eles simplesmente compram assinaturas em massa para um grande número de dispositivos, nas quais o custo por unidade costuma ser muito menor. Depois, revendem vagas individuais desses planos em marketplaces on-line. Como resultado, uma única conta “familiar” pode acabar sendo compartilhada entre pessoas completamente desconhecidas entre si.

Compartilhamento de assinaturas com familiares e outras pessoas

Muitos titulares de assinaturas não veem problema em compartilhar o acesso com familiares e amigos. Mas o que poderia dar errado?

O pior cenário do ponto de vista da segurança acontece quando uma única conta é adquirida e o proprietário compartilha login e senha com outros usuários. Isso geralmente ocorre quando as pessoas tentam economizar em um plano familiar comprando uma assinatura individual e dividindo o acesso. Alguns serviços até permitem perfis diferentes, mas todos ficam vinculados à mesma conta, o que significa que as credenciais são compartilhadas. É assim que funcionam plataformas de streaming como Hulu e Disney+.

Compartilhar uma mesma conta entre várias pessoas aumenta significativamente o risco de suas credenciais caírem em mãos erradas. Não há como garantir que todos estejam armazenando essas informações de forma segura ou que seus dispositivos não estejam infectados por malware. Mesmo sem malware, é extremamente fácil entregar uma senha aos invasores sem perceber, simplesmente ao acessar o serviço de assinatura em uma rede Wi-Fi pública desprotegida.

É totalmente possível que a senha que você compartilhou gentilmente com alguns amigos já tenha aparecido em algum canto da dark web. E você pode perder o acesso à sua conta em breve. Além disso, se você reutiliza a mesma senha em diferentes sites e aplicativos, suas outras contas também passam a estar na mira dos criminosos.

O segundo cenário ocorre quando cada membro do grupo possui uma conta individual. Muitos serviços agora permitem adicionar usuários extras à assinatura sem custo adicional, e a maioria dos titulares fica feliz em distribuir essas vagas gratuitas. Ainda assim, não é hora de baixar a guarda: a violação de apenas uma dessas contas pode expor informações sensíveis, como nomes de familiares, endereços, dados de cobrança e outros dados relacionados à assinatura.

Como proteger suas assinaturas (e sua carteira)

Para manter seus dados pessoais e os de quem você ama privados e suas contas sob seu controle, siga estas regras simples.

Use uma segurança robusta para suas contas

Para isso, aprenda e ensine seus amigos e familiares a usar gerenciadores de senhas, autenticação de dois fatores e chaves de acesso.

Se você e as pessoas próximas dependem apenas da memória para armazenar senhas, há uma grande chance de reutilizarem a mesma senha em vários serviços. Esse é um erro grave: violações de dados acontecem o tempo todo, e uma única senha comprometida dá aos invasores acesso às suas outras contas.

A solução mais simples é utilizar um gerenciador de senhas que gere e armazene senhas complexas e exclusivas para cada site e serviço. Tudo o que você precisa lembrar é a senha principal do cofre criptografado. Além disso, o Kaspersky Password Manager não apenas armazena e cria senhas; ele também pode verificar se elas apareceram em bancos de dados vazados e sincronizar suas credenciais entre todos os seus dispositivos.

E mais: um gerenciador de senhas oferece uma proteção robusta contra phishing. Ao contrário de uma pessoa, que pode facilmente ser enganada por uma página de login quase idêntica à original hospedada em um domínio falso, o gerenciador de senhas não cai nesse tipo de golpe. Ele só oferecerá preencher automaticamente o login e a senha salvos no site ou serviço específico para o qual eles foram originalmente armazenados.

Evite usar navegadores para armazenar suas senhas: infelizmente, os invasores já descobriram há muito tempo como extrair senhas salvas no navegador em questão de segundos.

A autenticação de dois fatores (2FA) adiciona uma camada extra de verificação após a inserção da senha, como um código enviado por SMS ou um código temporário gerado por um aplicativo autenticador. Sempre que tecnicamente possível, ative a 2FA em todas as contas vinculadas às suas assinaturas. Isso vale tanto para os próprios serviços de assinatura quanto para contas de terceiros usadas para login, como Google, Apple ou Facebook.

Recomendamos armazenar seus tokens de autenticação de dois fatores e gerar os códigos temporários, atualizados a cada 30 segundos, dentro do Kaspersky Password Manager. Isso reduz significativamente as chances de alguém assumir o controle da sua conta. Mesmo que um invasor descubra ou adivinhe sua senha, ele não conseguirá obter o código sem acesso físico ao seu dispositivo.

Por fim, você pode abandonar as senhas (quase) completamente adotando chaves de acesso. Já explicamos anteriormente como funciona essa alternativa às senhas e os detalhes do seu uso. Atualmente, este é o sistema de autenticação mais resistente a invasões disponível. Sua principal desvantagem era a dificuldade de sincronizar chaves de acesso entre diferentes ecossistemas, como Windows e iOS, mas as versões mais recentes do Kaspersky Password Manager já conseguem salvar e sincronizar chaves de acesso entre dispositivos Windows, macOS, iOS e Android, tornando esse problema praticamente irrelevante.

Não negligencie a segurança dos dispositivos

Mesmo uma senha complexa e a 2FA não são motivos para baixar a guarda. Um invasor pode infectar seu dispositivo com um infostealer: um malware desenvolvido para roubar cookies de sessão do navegador, arquivos de configuração de aplicativos e outros dados sensíveis. Os cookies de sessão permitem que você permaneça conectado sem precisar inserir suas credenciais toda vez; porém, se golpistas tiverem acesso a esses cookies, poderão fazer login no serviço se passando por você, mesmo sem saber seu usuário ou sua senha. Por isso, uma abordagem preventiva é essencial, especialmente se você usa o Chrome, o Edge, o Opera ou outros navegadores baseados no Chromium no Windows. Recomendamos instalar o Kaspersky Premium em todos os seus dispositivos, incluindo o Kaspersky Password Manager, além de proteção abrangente contra ciberameaças.

Compartilhe assinaturas apenas com pessoas em quem você confia

Caso contrário, você pode estar criando um problema para si mesmo. Por exemplo: se você compartilhar uma assinatura da Steam com um amigo que utiliza cheats em jogos, ambas as contas podem acabar banidas. Além disso, nunca tente permitir que outra pessoa acesse sua conta pessoal ou assinatura individual. Compartilhar sua senha com terceiros geralmente viola os termos de serviço e pode resultar no bloqueio da sua conta.

Verifique se não há desconhecidos no seu grupo familiar

Para isso, revise periodicamente os dispositivos e sessões ativas nas configurações das suas assinaturas. Se encontrar um dispositivo desconhecido na lista de acessos autorizados, encerre essa sessão (ou todas) e altere imediatamente a senha da conta. Fazer login novamente em alguns dispositivos é muito mais simples do que tentar recuperar uma conta sequestrada.

E lembre-se: não deixe que seus próprios hábitos comprometam sua segurança. Se estiver na casa de amigos, viajando ou em uma viagem de trabalho e usar um computador local ou uma smart TV, ou ainda fizer login em um computador público, não se esqueça de sair da conta quando terminar. Caso contrário, a próxima pessoa que usar aquele dispositivo poderá acabar tendo acesso gratuito às suas assinaturas ou, pior ainda, ao seu e-mail ou armazenamento de fotos na nuvem.

Não caia na armadilha

Fique atento a e-mails e mensagens de phishing que imitam serviços legítimos. Se você receber uma notificação sobre a “necessidade de atualizar seus dados de pagamento” ou um aviso de que “um novo usuário foi adicionado” ao seu plano familiar, não clique imediatamente em links nem abra anexos. Os links podem direcionar a páginas de phishing, e os anexos podem conter malware. Os golpistas frequentemente usam endereços de e-mail e domínios quase idênticos aos verdadeiros, por exemplo, trocando l (L minúsculo) por I (i maiúsculo) ou utilizando um nome familiar em outra extensão de domínio.

Infelizmente, páginas de phishing hoje são muitas vezes indistinguíveis das originais, especialmente com o uso de IA para criar layouts e designs de alta qualidade. Como está cada vez mais difícil identificar todos os sinais de fraude manualmente, o ideal é delegar essa proteção antiphishing ao Kaspersky Premium. Ele alertará você sobre sites suspeitos, ajudando a proteger seu dinheiro e sua tranquilidade.

Por fim, alguns golpistas atraem usuários com brindes, como falsas assinaturas-presente do Telegram Premium. A vítima é instruída a acessar uma página de phishing que imita a tela de login do Telegram e entrar em sua conta para resgatar o brinde. O resultado é previsível: em vez de ganhar uma assinatura premium, a vítima perde o controle da conta. Recentemente, os golpistas passaram até a usar miniaplicativos dentro do próprio Telegram para roubar credenciais diretamente na plataforma, sob diversos pretextos, desde promoções falsas até alegações de que o usuário precisa migrar para um novo chat porque o anterior foi bloqueado.

Evite comprar assinaturas de vendedores terceirizados

É comum encontrar ofertas de assinaturas em marketplaces e plataformas de varejo por preços muito abaixo dos cobrados oficialmente pelo provedor do serviço. Na maioria das vezes, esse valor “imperdível” esconde uma conta hackeada ou um grupo familiar do qual você pode ser removido a qualquer momento, já que o administrador da família pode ser o próprio vendedor ou um usuário aleatório. Além disso, compartilhar um plano familiar com desconhecidos espalhados pelo mundo viola os termos de uso de muitos serviços.

Como se livrar de assinaturas indesejadas

Agora que já falamos sobre segurança de assinaturas, e aquelas assinaturas extras que vão consumindo silenciosamente seu saldo todos os meses? Pesquisas mostram que os usuários normalmente subestimam quantas assinaturas ativas possuem e quanto gastam com elas. Também é muito comum esquecer de cancelar renovações automáticas de serviços que já não utilizam ou cobranças automáticas iniciadas após o fim de períodos de teste gratuitos.

Se você suspeita que esse seja o seu caso, comece investigando seus próprios extratos bancários. Cobranças recorrentes com o mesmo valor podem indicar uma assinatura esquecida. Verifique quem recebeu o pagamento; se o nome não parecer familiar, faça uma busca online pela empresa. Também vale procurar na sua caixa de e-mails pelo nome do comerciante ou pelo valor da cobrança. Isso pode ajudar a localizar notificações de assinatura e entender exatamente pelo que você está pagando. E não se esqueça de verificar a pasta de spam, já que alertas de assinaturas frequentemente acabam indo parar lá.

Agora, veja como verificar e cancelar assinaturas ativas adquiridas pela App Store e pela Google Play.

Para usuários Android

1. Abra Ajustes em seu dispositivo.
2. Toque em Google, depois na foto do perfil e acesse Conta do Google.
3. Vá para Pagamentos e assinaturas.

Se você for o administrador do grupo familiar, também poderá visualizar o histórico de compras dos outros membros da família.

Para usuários iOS

1. Abra Ajustes em seu dispositivo.
2. Toque na sua foto de perfil no topo do menu.
3. Vá para Assinaturas.

Nota: para gerenciar sua assinatura do iCloud, será necessário acessar a seção específica do iCloud, localizada logo abaixo de Assinaturas. Na seção Compartilhamento Familiar, caso você seja a pessoa que configurou o grupo, será possível visualizar o histórico de assinaturas e compras de todos os membros da família.

Leia mais sobre assinaturas:

• Temos uma assinatura do Telegram Premium de “presente” para você
• Como compartilhar assinaturas sem dor de cabeça
• Como controlar suas assinaturas e economizar dinheiro
• Trojans de assinaturas loucos para fazer inscrições