Golpe promete convite do Nubank para roubar dados de clientes

Uma nova tentativa de golpe online tenta atrair suas vítimas com a promessa de convites para a NuConta, sistema de contas bancárias do Nubank. A mensagem, como as legítimas, vem pelas mãos de contatos conhecidos e convida os usuários a testarem os serviços da fintech. O intuito real, entretanto, é o roubo de dados.

Quem recebe a mensagem pode até cair no golpe, levando em conta a aparência de autenticidade. O e-mail parece legítimo, mas é apenas isso mesmo – ele traz informações copiadas e, caso a vítima caia, é levada ao download de um aplicativo falso, hospedado fora da Google Play Store, chamado Nubank Convidado. É por lá que o golpe acontece.

Logo de início, ao ser instalado, o software malicioso assume controle do sistema de SMS do aparelho, sendo capaz de enviar mensagens de texto e também ler as armazenadas no sistema. O mesmo também acontece com o aplicativo de e-mail, pelo qual novos “convites” serão enviados à toda a lista de contatos da vítima.

A segunda fase, porém, é a mais perigosa. Uma vez de posse das permissões, concedidas pelo próprio utilizador, o aplicativo falso é capaz de executar um código malicioso, baixando novas pragas que permitem monitorar outros aspectos do aparelho, o que inclui o uso de apps bancários e de comunicação pessoal, em busca de dados pessoais e financeiros que possam ser usados na aplicação de novos golpes.

O alerta foi feito pela conta Defesa Digital que, pelo Twitter, avisa usuários sobre possíveis ameaças e vazamentos de informação. Também pela rede social, o Nubank disse já estar analisando o caso e que tomará as medidas necessárias para resolvê-lo. Entretanto, por se tratar de uma ameaça externa, há pouco que a fintech possa fazer além de avisar seus clientes sobre tentativas de golpe.

As medidas de proteção, sendo assim, precisam ser tomadas pelos próprios usuários. O ideal é sempre manter o desconfiômetro ligado e suspeitar de qualquer mensagem recebida por e-mail. Caso um convite para o Nubank chegue em sua caixa de entrada, consulte o contato que o enviou para confirmar que ele realmente fez isso.

Além disso, jamais baixe aplicativos a partir de links de e-mails, principalmente se eles estiverem hospedados fora da Google Play Store. A loja do Android, claro, não é totalmente segura e casos de softwares maliciosos disponíveis lá aparecem com certa frequência, mas, ainda assim, ela traz uma camada de proteção que é superior ao download livre de APKs, principalmente os ofertados por e-mails desse tipo.

Por fim, é importante manter soluções de segurança ativas e atualizadas no celular, além de prestar atenção às permissões concedidas para os aplicativos instalados. Caso desconfie de alguma coisa, o ideal é não seguir adiante com a operação. Normalmente, golpes online de grande amplitude são descobertos rapidamente, com alertas publicados na rede. Uma rápida pesquisa online, então, pode revelar a existência, ou não, de crime.

Atualização: Em contato com o Canaltech, o Nubank afirmou que irá colaborar com as autoridades para investigar e coibir golpes desse tipo. Além disso, deixou claro que jamais pede para que seus clientes e usuários enviem documentos ou informações sensíveis por e-mail e que qualquer tipo de atividade suspeita dessa categoria é crime.

Ainda, a fintech pediu que seus usuários reportem casos desse tipo à companhia, por meio de seus canais de atendimento, para que ela possa encaminhar as situações a seu time de especialistas. Além disso, e-mails fraudulentos também podem ser relatados aos provedores de correio eletrônico e acesso à internet, de forma que eles possam ser caracterizados como phishing, garantindo melhor proteção a outros utilizadores que também possam ser vítimas de golpes.

Fonte: Defesa Digital