Siga o @canaltech no instagram

Golpe via SMS mira donos de cartões de crédito da Caixa

Por Felipe Demartini | 14 de Fevereiro de 2019 às 11h54
Tudo sobre

Caixa Econômica Federal

Saiba tudo sobre Caixa Econômica Federal

Ver mais

Um novo golpe via SMS está de olho nos dados de cartões de crédito de clientes da Caixa. Na mensagem, a possível vítima é informada sobre a iminência do vencimento, que aconteceria ainda neste mês de fevereiro, e induzida a acessar um site para informar dados e realizar a emissão de um novo plástico. Tudo, claro, em um ambiente controlado pelos criminosos e voltado ao roubo das informações bancárias.

Ao clicar no link presente nas mensagens, o usuário é levado diretamente para uma página com aparência oficial da Caixa, com direito a número do cartão a ser atualizado, a tal data de vencimento para este mês e até mesmo nome e sobrenome do cliente. É aí que o golpe acontece, uma vez que o primeiro dado pedido é o CVV, código de segurança que permite a utilização do plástico em compras online, por exemplo.

O site em que a suposta atualização cadastral é feita está fora dos domínios da Caixa, com todos os dados sendo enviados para servidores sob controle dos criminosos. Ao acessar apenas o endereço principal, entretanto, o usuário é redirecionado para o domínio oficial do banco, em uma tentativa de dar aparência de legitimidade ao golpe.

Participe do nosso Grupo de Cupons e Descontos no Whatsapp e garanta sempre o menor preço em suas compras de produtos de tecnologia.

Golpe chega por SMS e pede atualização cadastral após vencimento de um cartão da Caixa (Imagem: Reprodução/Canaltech)

Entretanto, uma simples verificação pode colocar tudo a perder, uma vez que o número do cartão de crédito cuja atualização é necessária pode nem mesmo pertencer ao cliente. Um colaborador do Canaltech recebeu nada menos do que quatro mensagens diferentes relacionadas ao golpe em um período de menos de duas horas. Ele é cliente da Caixa há anos, entretanto nunca teve plásticos com os dados exibidos pelos criminosos.

Outros elementos, entretanto, aparecem como novas tentativas de dar ares de legitimidade ao golpe. Por mais que os números sejam incorretos, a bandeira e a categoria do cartão de crédito é certeira, bem como a grafia de nomes e sobrenomes. O objetivo, claro, é levar alguém desavisado ou alarmado com a iminência do vencimento do plástico a inserir os dados rapidamente e sem fazer a verificação adequada das informações exibidas na tela.

Ao cair no golpe, cliente da Caixa é induzida a inserir CVV e senha de acesso à conta (Imagem: Reprodução/Canaltech)

Caso a vítima efetivamente insira o CVV, o próximo passo do golpe é solicitar a senha pessoal do cliente, que deve ser digitada duas vezes. Na primeira, o cliente sempre receberá a informação de que a chave é inválida, com o cadastro sendo supostamente confirmado na segunda, mesmo que os números inseridos sejam diferentes. Nada é dito sobre renovação do cartão em momento algum, o que indica que o golpe pode ser utilizado para mais de uma finalidade.

Uma pesquisa por mais dados do endereço atualize.digital não revela a identidade do responsável pelo domínio, pois todas as informações sobre ele foram ocultadas a pedido do responsável. Sabe-se, apenas, que o registro foi feito no estado do Paraná na segunda-feira (11) e que a URL foi comprada a partir da GoDaddy, fornecedora global de serviços desse tipo, redirecionando para um site hospedado no Google Clouds. Apenas um dia depois da aquisição, o golpe já começou a circular via SMS.

Um entre milhares

De acordo com Fabio Assolini, analista sênior de segurança da Kaspersky Lab, golpes desse tipo chegam todos os dias até os brasileiros. “Não se trata de uma grande surpresa. É mais um ataque de phishing por SMS, também chamado de SMiShing, com supostas mensagens que seriam enviadas pelos bancos”, afirma. "Esse é um canal que as empresas normalmente usam para se comunicarem com os clientes, então esse tipo de golpe ainda é efetivo, não só no Brasil, mas no mundo".

Em entrevista ao Canaltech, Assolini citou números para demonstrar o quanto esse tipo de tentativa é popular. De acordo com ele, 54 milhões de ataques desse tipo foram bloqueados ao longo de 2018 somente no Brasil, com dados da Febraban (Federação Brasileira de Bancos) indicando que um total de R$ 750 milhões foram perdidos no ano passado por conta das fraudes bancárias.

54 milhões de ataques de phishing foram bloqueados ao longo de 2018, de acordo com os dados da Kaspersky

Emilio Simoni, diretor do dfndr lab, laboratório de segurança da PSafe, afirma que sua empresa identifica de 30 mil a 50 mil tentativas desse tipo todos os dias, um total que aumenta ou diminui de acordo com a atividade dos criminosos, que podem realizar campanhas em massa para obterem mais resultados em um tempo mais curto. Em poucas horas, dezenas de milhares de pessoas podem ser atingidas por mensagens fraudulentas, com prejuízo financeiro bastante considerável.

O especialista também explica a discrepância entre as pessoas contatadas e os números de cartão que os bandidos alegam precisarem de atualização. Em análise, o dfndr lab concluiu que os plásticos utilizados na tentativa de golpe não são reais, o que não significa que os criminosos não possam estar em posse de outras informações legítimas dos clientes da Caixa.

“Tivemos muitos vazamentos no ano passado que podem ter dado aos criminosos acesso a informações como número de telefone, CPF e números de contas, além de informações pessoais e até históricos de gastos em sites de e-commerce”, explica Simoni. Para ele, há um interesse em clientes que tenham gastos maiores e também aqueles sem muito conhecimento sobre segurança digital, que podem ser induzidos ao erro. Seria, de acordo com o especialista, uma tentativa de obter mais dados para cruzar com outros que os bandidos já possuem, apesar de não ser possível afirmar isso categoricamente.

Assolini tem uma teoria diferente, pois, para ele, o que os bandidos efetivamente querem são as credenciais financeiras. "O phisher pode tentar adivinhar o número do cartão de crédito, uma vez que a possibilidade de a vítima informar o CVV é grande. Mas, na verdade, o que os cibercriminosos querem é acessar a conta bancária com o uso das senhas de acesso para completar o golpe", explica. Apesar disso, o especialista concorda que a presença de nomes completos indica o acesso a algum tipo de banco de dados pelos hackers.

Aviso oficial

Horas após o início da circulação do golpe, Caixa avisou aos clientes usando, também, as mensagens de texto (Imagem: Reprodução/Canaltech)

Apenas horas depois de a ameaça começar a circular, a Caixa emitiu um aviso aos clientes usando, também, o SMS, mesmo método que vem sendo utilizado pelos golpistas. O texto é simples e sucinto, afirmando que a empresa não solicita atualização de dados por meio da internet e que, caso esse processo seja necessário, o cliente deve usar os aplicativos oficiais de internet banking ou cartões de crédito. O Canaltech também tentou contato com a instituição, mas até o momento da publicação desta reportagem não havia recebido resposta ou declarações oficiais.

O dfndr lab disse ter identificado a tentativa de golpe poucos minutos após o início da distribuição dos SMSs para os clientes, informando também ao banco, que providenciou um contato com o serviço de hospedagem para remoção do golpe do ar. Ele já se encontra desativado, entretanto teria permanecido ativo durante toda a tarde de terça (11), algo que, para Simoni, já pode ter sido capaz de gerar um prejuízo financeiro bastante considerável: "Mesmo uma ou duas horas de golpe ativo já é capaz de causar um estrago grande, com milhares de pessoas sendo impactadas".

Para se proteger, o ideal é sempre desconfiar de comunicações que cheguem por mensagens de texto e contenham links, mesmo que elas venham por canais normalmente utilizados pelos bancos, como SMS ou e-mail. Evite entrar em sites desse tipo ou baixar aplicativos oriundos deles e jamais insira credenciais, informações e, principalmente, códigos de segurança ou senhas de acesso em tais domínios. Usar soluções de segurança no computador e celular também é um bom caminho para se manter protegido.

Caso caia em um golpe desse tipo, é importante entrar em contato com o banco o mais rápido possível para solicitar o bloqueio do cartão de crédito e das operações na conta bancária. A instituição também é capaz de realizar um monitoramento para identificar tentativas de fraude, mas é importante que o cliente a notifique sobre ocorrências desse tipo, o que agiliza todo o processo e pode evitar prejuízos financeiros.

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.