Dia dos Pais | Golpes já têm mais de 150 mil vítimas
Por Felipe Demartini | 07 de Agosto de 2020 às 16h45
Eventos sazonais costumam ser a isca preferencial de criminosos na prática de fraudes e roubos de dados, e o Dia dos Pais não está sendo diferente. Promoções falsas e ofertas maliciosas de produtos gratuitos começaram a aparecer nesta semana em antecipação às comemorações, com um caso específico já tendo feito mais de 157 mil vítimas.
- Golpe dos nudes: entenda a nova prática de extorsão que se popularizou no Brasil
- Golpes em delivery já roubaram mais de R$ 600 mil em São Paulo
- Falhas de segurança no TikTok permitiam envio de links e manipulação de perfis
A suposta oferta usa o nome da Leroy Merlin e chega pelo WhatsApp, prometendo uma churrasqueira a gás gratuita para quem se cadastrar em um site. É um método conhecido, conforme apontado pelos especialistas do dfndr lab, o laboratório de segurança digital da PSafe, mas que se mostra cada vez mais comum, justamente, devido à sua eficácia numericamente comprovada.
O link recebido pelo mensageiro encaminha os usuários para uma página que copia a aparência das comunicações da loja. A vítima deve responder a algumas perguntas e, não importando a resposta, fica sabendo que é elegível ao prêmio — antes, porém, precisa compartilhar a oferta com um número determinado de contatos no WhatsApp. Após disseminar o link malicioso para amigos e familiares, a vítima pode ser levada a páginas de cadastro falsas, voltadas para o roubo de dados, ou sites com anúncios que geram renda para os golpistas, podendo também realizar o download de soluções maliciosas para o computador ou celular.
Páginas no Facebook também estão sendo utilizadas para disseminar promoções falsas em nome de grandes varejistas brasileiros. Em uma das ocorrências encontradas pelos especialistas do dfndr lab, os alvos são os clientes das Lojas Americanas, com os golpistas roubando peças publicitárias oficiais da empresa, com a imagem do ator Babu Santana, e contatos diretos por meio do Messenger para a prática de fraude ou clonagem do WhatsApp.
Nestes casos, as iscas são páginas falsas que copiam a aparência das oficiais, como forma de dar legitimidade ao golpe. Os bandidos são capazes de simular todo um processo de venda, de olho nos dados pessoais e bancários dos usuários. “Quando a suposta compra é concluída, a vítima é redirecionada para um link oficial da loja para que não desconfie de nada. Neste momento, os dados dos cartões e informações pessoais da vítima são enviados diretamente aos golpistas”, explica Emilio Simoni, diretor do dfndr lab.
Atue nas consequências
Aos usuários que tenham sido vítimas de golpes desse tipo, a indicação é para que prestem atenção em quais dados foram comprometidos e façam um acompanhamento. No caso do roubo de informações bancárias, por exemplo, o ideal é monitorar faturas de cartão de crédito e extratos de perto, identificando rapidamente possíveis transações fraudulentas. Já quando o comprometimento é em dados pessoais como documentos, e-mails ou CPF, a ideia é prestar atenção em possíveis roubos de identidade. “É importante que [a vítima] atue nas consequências caso [caia] em um golpe com essas características”, explica Luis Lubeck, especialista em segurança da informação da ESET.
De acordo com ele, instituições financeiras também devem ser informadas rapidamente em caso de comprometimento dos dados, com o bloqueio do cartão e a emissão de um novo. Quanto a e-mails e senhas, o ideal é que o usuário troque as credenciais do serviço violado e, também, de todos aqueles que compartilhem os mesmos dados. “[Um vazamento] pode ocasionar tentativas de acesso a contas por meio das credenciais obtidas ou variações”, completa.
O ideal, entretanto, é agir de forma preventiva e prestar atenção em links e comunicações recebidas, sempre suspeitando da intenção maliciosa por trás disso. Algumas observações rápidas podem ajudar a identificar um golpe, como a estrutura de link ou e-mail, que não corresponderão aos sites oficiais das empresas. Apesar disso, o especialista alerta para o uso de algumas artimanhas que tentam dar aparência de legitimidade, como o uso de subdomínios ao estilo “empresa.falsonome.com” ou serviços de encurtamento que também são usados para ocultar endereços falsos.
“Mesmo quando a mensagem vem de um conhecido, é importante validar com essa pessoa se a oferta ou informação foi verificada”, explica Lubeck, alertando também para possíveis compartilhamentos automáticos ou indesejados que também podem ser fruto de golpe. O especialista cita ainda o uso de soluções de segurança nos dispositivos, já que tais sistemas são capazes de alertar sobre o acesso a um site malicioso ou a instalação de um software mal intencionado.