Golpistas estão usando SMS para roubar dados bancários

Se você usa redes sociais, provavelmente já se deparou com o screenshot a seguir. Um golpista tenta obter os dados de um usuário do WhatsApp, se passando por um funcionário do banco “Santoandre”, “aquele vermelho”, alegando que o cartão do cliente havia sido “cronado”.

O criminoso esbarrou na barreira da linguagem, o que denunciou o golpe rapidamente. Ele pedia informações pessoais da vítima em potencial, em uma clara tentativa de roubo de identidade. Os erros de português transformaram a captura de tela em meme, mas também são uma amostra de um dos golpes mais antigos do mundo, ainda em operação, adaptando-se às novas mecânicas do mundo digital e, no pior de tudo, acumulando vítimas.

Foi o que mostrou ao Canaltech o leitor Arthur Soares, que nos alertou sobre uma tentativa de golpe que tem como alvo os clientes do Santander (abaixo). Nesse caso, nada de erros de português ou explicações mirabolantes – o vetor foi um SMS e o aviso estaria relacionado a uma sincronização dos avisos por meio de mensagens, que normalmente chegam após o pagamento de contas ou realização de operações com o cartão de crédito. Tudo parte de um golpe para obter dados bancários.

De acordo com dados da Serasa, publicados no final do ano passado, um brasileiro é vítima de golpe financeiro a cada 17 segundos. Em sua maioria, estamos falando aqui de cartões ou cheques clonados, mas também fazem parte da lista as transferências fraudulentas de fundos entre contas e compras online. As mensagens falsas, como as que mostramos aqui, são um dos principais métodos usados pelos criminosos para obter tais informações.

É um dos truques mais velhos do mundo e uma evolução das antigas mensagens que ainda tomam conta de nossas caixas de spam. Na tentativa de pegar indivíduos mais ingênuos ou com pouca intimidade com a tecnologia, hackers falsificavam e-mails de bancos, lojas ou instituições de cobrança, com direito à cópia do design de mensagens oficiais e domínios de e-mail semelhantes aos usados pelas empresas em si.

Trata-se de um golpe comum, mas que dá certo trabalho e exige conhecimento. Quando se fala das mensagens mais simples, enviadas pelo celular, entretanto, muitas das artimanhas usadas para fazer com que um e-mail pareça verídico não são necessárias, bastando apenas um bom português e um link – ou às vezes nem isso – para que o golpe aconteça.

Máscara de credibilidade

Quanto maior o conhecimento e trabalho investidos em um golpe desse tipo, maiores as chances de sucesso. Uma mensagem que chega a partir de um número de celular comum ou enviada pelo WhatsApp, por exemplo, aumenta os índices de desconfiança, principalmente quando o golpista tenta se passar por um atendente real, solicitando os dados diretamente na própria conversa.

É justamente por causa disso que golpes mais arrojados envolvem soluções mais complexas e até mesmo o investimento de algum dinheiro. Serviços de distribuição em massa de SMS estão sendo cada vez mais utilizados para enviar golpes desse tipo, com os criminosos realizando pagamentos a empresas desse tipo para dar aparência de legalidade ao processo.

Muitas vezes, as mesmas plataformas usadas pelos próprios bancos ou empresas de e-commerce para comunicação com os clientes também são usadas para a distribuição de tentativas de golpe. Isso se deve ao fato de que, basicamente, qualquer pessoa pode adquirir um serviço desse tipo para usá-lo como quiser.

Você mesmo pode fazer isso e contratar um serviço desses é mais rápido até mesmo que o tempo de leitura deste texto. Basta criar uma conta e começar a disparar mensagens, pagando os preços devidos, que vão de R$ 0,02 por SMS até pacotes maiores, com alguns milhares de envios a partir de R$ 10.

Aqui, são usados números telefônicos de cinco dígitos, que não estão ativos como linhas convencionais. Dificilmente os hackers conseguirão enviar mensagens a partir do mesmo código de um banco ou loja, que normalmente possuem plataformas dedicadas para isso, mas apenas a semelhança entre os remetentes das mensagens pode ser suficiente para atribuir aparência real ao processo.

Dá para citar ainda um segundo truque, também bastante antigo, e voltado para gerar confusão e ansiedade nas vítimas em potencial. Afinal de contas, ninguém gosta de ficar sabendo que seu cartão de crédito foi clonado ou que sua conta está prestes a ser bloqueada. Os hackers sabem disso e investem em comunicações alarmistas desse tipo, em uma tenativa de levar a um clique aquele cliente que quer resolver as coisas rapidamente e pode deixar o bom senso de lado diante de uma situação preocupante.

E aí vamos para a segunda etapa: os links em si. Eles normalmente estão escondidos por ocultadores para que não se perceba, de início, o domínio diferente daquele da própria instituição por quem o criminoso tenta se passar. A partir daqui, são diferentes caminhos a seguir – o usuário pode ser levado a baixar um novo app de segurança (que na realidade é um malware para roubo de senhas e informações digitadas), levado ao download de um aplicativo para celular com esse mesmo intuito ou, simplesmente, encontrar um formulário onde informações como número de cartão, códigos de segurança ou senhas são inseridos.

Seja qual for a rota escolhida, se a vítima realmente fizer o que é pedido, está feito o golpe. E quando se fala em clonagem de cartões ou transferências fraudulentas, os valores são sempre de no mínimo algumas centenas de reais. Ou seja, uma única tentativa bem-sucedida já mais do que compensa o pagamento do envio em massa de mensagens de texto.

Como não cair

Antes de mais nada, é importante deixar bem claro que nenhum banco jamais vai solicitar por informações como senhas por meio de SMS. As instituições não fazem isso nem mesmo pelo telefone, quando o próprio cliente liga para solicitar um atendimento – a verificação, aqui, é feita por meio de dados pessoais como CPF, nome completo ou outros.

Além disso, o mesmo vale para as lojas online. Dados como números de cartão e códigos de segurança somente são solicitados dentro dos próprios domínios dos e-commerces, e não serão solicitados novamente para supostas “verificações”. Muito menos por mensagens de texto.

Cabem aqui também as recomendações de sempre, ligadas não apenas aos golpes por meio de SMS, mas também a toda e qualquer tentativa desse tipo. O ideal, para se manter seguro, é evitar clicar em links enviados por meio de mensagens de texto, mesmo que eles venham de fontes reconhecidas. Além disso, jamais faça download de soluções obtidas por meio de tais métodos.

Caso desconfie que uma comunicação feita por mensagem seja real, prefira entrar em contato pelo telefone com os serviços de atendimento ao cliente, em vez de entregar as informações pedidas. Caso o banco, instituição ou loja esteja realmente te procurando, o call center será capaz de dar continuidade a essa solicitação de forma mais segura.

Isso vale também para notificações de segurança ou SMS que, eventualmente, informem problemas. Eles nunca virão acompanhados de links, mas sim de uma orientação para que o cliente entre em contato com a central. Quando se fala em WhatsApp, então, temos mais um gigantesco “não”. Nenhum banco ou loja entrará em contato com os clientes utilizando este ou qualquer outro mensageiro online. E, menos ainda, nenhuma organização trabalha com atendentes reais no envio de mensagens aos clientes, com respostas em tempo real.

Por fim, vale a pena manter soluções de segurança como firewalls e antivírus sempre ativos e atualizados, tanto no computador quanto nos dispositivos móveis. Tais aplicativos são capazes de detectar malwares e tentativas de obtenção de dados, representando mais uma barreira caso o usuário clique em links maliciosos.