Como evitar os principais golpes envolvendo a vacina contra COVID-19?

Assuntos do cotidiano, tendências e polêmicas estão entre as principais armas dos criminosos na hora de aplicar golpes. Afinal de contas, ao usarem conteúdos e temas de interesse geral, os bandidos aumentam a possibilidade de eficácia. Como não poderia deixar de ser, as vacinas se tornaram uma isca fácil para o roubo de dados pessoais dos cidadãos ou a velha clonagem do WhatsApp, que ainda faz dezenas de milhares de vítimas no Brasil.

• Clonagem de WhatsApp: 5 milhões de brasileiros foram vítimas em 2020
• Extorsão e ransomwares ainda mais perigosos são tendências de ameaças para 2021
• Ataques virtuais via phishing cresceram quase 100% no Brasil, aponta relatório

Em 2020, foram cinco milhões de vítimas em todo o país, com essa ainda sendo uma alternativa bastante comum de golpe para 2021. Junto a essa tendência, caminham também os golpes relacionados às campanhas de vacinação contra COVID-19, assim como textos ou links com informações de eficácia, postos de imunização, denúncias ou teorias conspiratórias, todas, sempre, voltadas a induzir ao clique e levar os cidadãos a páginas maliciosas.

Os bandidos, inclusive, agiram rápido. A campanha de vacinação contra o novo coronavírus teve seu início, em São Paulo (SP), em 17 de janeiro, e já no dia 22, os especialistas da Kaspersky emitiram alerta sobre golpes envolvendo a imunização. Dezenas de domínios fraudulentos foram criados para hospedar supostos sites de cadastramento para a imunização, mas são voltados, na realidade, para o roubo dos dados inseridos neles.

As páginas fazem parte de campanhas de phishing, como são chamadas as tentativas de “pescar” os usuários a entregarem informações ou baixarem soluções maliciosas com o uso de notícias, falsas comunicações de bancos e serviços, ou, neste caso, o próprio Ministério da Saúde. O pré-cadastro vem sendo usado por muitas cidades brasileiras como forma de agilizar a imunização e evitar aglomerações, e para os golpistas, também se tornaram um prato cheio para tentativas desse tipo.

Em um dos casos mais conhecidos, bandidos entram em contato com as supostas vítimas pelo telefone para realização de um suposto pré-cadastro para vacinação. A partir de listas de números vazadas ou obtidas ilegalmente, os criminosos miram especialmente os idosos, grupo que é o foco da atual etapa do Plano Nacional de Imunização (PNI), mas também, a categoria de cidadãos mais propensos a caírem nesse tipo de artimanha.

Após solicitarem algumas informações, o golpista pede um código que é enviado ao celular da vítima. Trata-se, na realidade, dos dígitos de ativação do WhatsApp, que está sendo cadastrado em um outro celular de posse dos criminosos. Após a confirmação, o número passa a ser utilizado para disseminar novas tentativas de fraude ou em pedidos de dinheiro para contatos próximos, enquanto a vítima não nota o problema e tenta desfazer a operação.

A prática gerou até mesmo um alerta do próprio Ministério da Saúde, que informou jamais entrar em contato, por telefone, para marcar datas relacionadas à vacinação. Todos os registros e recursos necessários para a imunização estão disponíveis no aplicativo oficial da pasta, o Conecte SUS, que também disponibiliza informações sobre o PNI e a etapa exata em que cada cidadão deverá ser vacinado contra a COVID-19.

Downloads maliciosos

Outra alternativa comum de golpes envolvendo vacinas não envolve ligações, mas sim, o contato direto por meio do próprio mensageiro ou através de SMSs. O método, entretanto, é semelhante, com o usuário sendo levado a sites fraudulentos voltados ao roubo de dados ou, então, induzidos a entregar informações ao suposto atendente, incluindo, também, o próprio código de ativação do WhatsApp.

Um dos domínios fraudulentos identificados em janeiro pela Kaspersky, por exemplo, levava as vítimas a um suposto cadastro voltado ao roubo de credenciais de acesso. Algumas informações pessoais eram solicitadas, mas de maior interesse aos criminosos é o e-mail e a senha das vítimas, cuja combinação é utilizada em diferentes serviços como redes sociais, e-mails e sites bancários, em busca de aberturas que possam levar a novas fraudes.

A empresa de segurança também chama a atenção dos usuários corporativos, que podem ser levados a inserir informações de acesso a sistemas internos em sites desse tipo. Novamente, se trata de uma vulnerabilidade valiosa para os criminosos, que com acesso a redes restritas, podem baixar documentos confidenciais, instalar malwares e maximizar os ganhos a partir de extorsões ou sequestros de dados sigilosos das companhias atingidas.

Ainda, os links enviados por meio do WhatsApp e outros mensageiros instantâneos podem levar os usuários a falsos aplicativos, que usam o nome do SUS e temas relacionados à vacinação como forma de contaminar os celulares das vítimas. Tais aplicações podem estar disponíveis até mesmo nas lojas oficiais dos sistemas operacionais, como a Google Play Store, e exigem atenção na hora do download, principalmente se o usuário estiver atrás das soluções oficiais.

Como se proteger

A fala do Ministério da Saúde é o ponto de partida para evitar cair na maioria dos golpes envolvendo as campanhas de vacinação contra COVID-19. O governo deixa claro que não entra em contato com os cidadãos de forma ostensiva para solicitar dados ou marcar datas para aplicação de doses do imunizante, assim como não pede a confirmação dessas informações por telefone ou mensagem de texto.

Sendo assim, o ideal é ignorar ligações e qualquer tentativa de contato dessa categoria. O mesmo vale, também, para mensagens que contenham links para cadastros ou pedidos de informação — mesmo que venham de contatos conhecidos ou fontes aparentemente legítimas, tais comunicações são falsas e a recomendação é para que o usuário não clique em links nem faça o download de soluções para o celular ou computador. Da mesma forma, o ideal é não preencher cadastros nem entregar informações pessoais.

Cidadãos em busca de orientações oficiais sobre o PNI devem procurar os sites oficiais do governo federal, sempre indicados pela sigla gov.br, ou os aplicativos verificados, que têm “Governo do Brasil” como desenvolvedor tanto na App Store, do iPhone, como na Google Play Store, para o sistema operacional Android.

• Como identificar o roubo e clonagem do WhatsApp?
• Como identificar golpes via SMS
• Como agir após cair em um golpe cibernético?

Caso um usuário tenha sido vítima desse tipo de golpe, o ideal é agir rapidamente, providenciando a recuperação de contas do WhatsApp e a troca de senhas que tenham sido entregues em sites fraudulentos, incluindo aquelas repetidas em mais de uma plataforma. Vale a pena ativar sistemas de autenticação em duas etapas nas redes sociais, plataformas de e-mail e demais plataformas sensíveis já que, mesmo de posse das credenciais, um golpista não seja capaz de acessar tais sistemas.

Por fim, aos usuários corporativos, a recomendação de troca de senhas também vale. As vítimas devem procurar seus respectivos departamentos de TI para informar sobre o comprometimento de seus dados pessoais, com eventuais bloqueios de acesso e monitoramento da rede para que usos indevidos não aconteçam.