Criminosos se passam pelo PayPal para roubar dados bancários de usuários

Uma compra de criptomoedas com alto valor é a isca de um novo golpe cibernético, que visa coletar números de telefone de usuários para a prática de novos ataques. Os criminosos usam o meio de pagamentos PayPal como isca para induzir a vítima a realizar uma ligação para confirmar ou cancelar a aquisição de ativos em seu nome, quando são pedidos dados bancários que vão direto para as mãos dos bandidos.

• Novos golpes de phishing usam táticas para esconder URLs de apps de segurança
• Quais são as marcas de empresas mais exploradas em golpes de phishing no Brasil?

Ao receberem a chamada, os golpistas não apenas registram o telefone usado para isso para futuros golpes via SMS ou mensageiros instantâneos, mas também solicitam informações financeiras. Eles alegam que, para que a compra seja cancelada, é preciso fornecer os dados de cartão de crédito, com direito a números e códigos de segurança, que permitem a realização de compras fraudulentas em nome da vítima.

O alerta sobre a campanha foi dado pela Avanan, empresa de segurança que faz parte da Check Point Software Technologies. Usuários americanos parecem ser o alvo, uma vez que a mensagem chega em inglês, enquanto o número usado na campanha é do estado americano do Havaí. O valor alegado é alto, com a falsa compra de US$ 500, mais de R$ 2,5 mil, na conta do PayPal da vítima em potencial servindo para acender alertas e motivar a ligação o mais rapidamente possível.

O uso de um telefone, aliás, também é uma forma de escapar da detecção de sistemas de segurança. A mensagem que chega em nome do meio de pagamento não conta com links que poderiam ser detectados por ferramentas de segurança e controles anti-spam; com o texto simples, os golpistas aumentam as chances de o e-mail chegar à caixa de entrada e, assim, ampliam as probabilidades de sucesso.

De acordo com a Avanan, há um aumento significativo de tentativas de golpes desse tipo, envolvendo a marca PayPal, a partir de abril deste ano. Campanhas semelhantes também já foram realizadas com e-commerces como a Amazon, sempre alegando a realização de compras de alto valor e induzindo os clientes a fazerem uma ligação para verificação, por onde podem ser roubados os dados pessoais e financeiros das vítimas.

“As grandes marcas são algumas das mais adotadas porque os internautas tendem a confiar em seus e-mails. Empresas como PayPal e Amazon são um alvo claro, portanto, atenção extrema deve ser dada a qualquer entidade que solicite dados pessoais”, afirma Jeremy Fuchs, pesquisador e analista de segurança cibernética da Avanan. Conhecimentos básicos em segurança digital, entretanto, ajudam a diferenciar estes golpes de comunicações legítimas dos serviços.

Como se proteger de golpes por e-mail

Prestar atenção em remetentes de mensagens costuma ajudar na identificação rápida de mensagens fraudulentas. Os criminosos não possuem acesso aos meios legítimos, com as tentativas de golpe sendo enviadas comumente de serviços gratuitos como o Gmail ou domínios que simulam os oficiais, como forma de aumentar a legitimidade dos ataques. Desconfie de erros de digitação ou URLs longas ou com mais palavras além do nome da empresa.

Em caso de suspeita, evite realizar ligações, clicar em links, baixar arquivos anexos ou instalar aplicativos que cheguem por tais mensagens. O ideal é ignorar o contato, reportando o e-mail como spam e o apagando. Nomes de empresas e domínios também não devem ser colocados em listas de permissões, já que os golpistas podem se aproveitar disso para agir.

Caso desconfie que o contato é real, busque outros meios de verificar que não sejam a ligação ou o retorno à mensagem ou e-mail recebido. No caso de uma compra pelo PayPal, vale a pena checar se a conta efetivamente foi usada como a comunicação alega, com o mesmo também valendo para bancos e outros serviços. Em vez de ligar para os telefones indicados, prefira meios de atendimento oficiais.