Novo golpe imita site da MasterCard para roubar dados de cartões de crédito

A empresa de segurança ESET detectou um novo golpe que imita a linguagem visual das bandeiras de cartões MasterCard para roubar dados financeiros do usuário. A movimentação é feita com um e-mail que convence a vítima de que ela precisa atualizar seus dados, e pede que a pessoa preencha um formulário para isso, tendo acesso a todas as informações.

O monitoramento da ESET mostra que ainda não há casos no Brasil, sendo que o golpe é difundido até o momento em língua inglesa ou espanhola. O usuário recebe um e-mail com o assunto “Aviso de atualização”, sob pretexto de que houve mudança no sistema de segurança e de que é necessário informar novamente os dados, para não ficar sem acesso ao cartão.

Este tipo de movimentação se chama phishing. Trata-se de enviar à vítima uma mensagem como “isca” para que o usuário passe suas informações ao golpista sem nem mesmo perceber.

No caso descrito aqui, o e-mail traz um link malicioso que leva a um site falso da MasterCard, com um formulário a ser preenchido. Os dados exigidos são o número e nome que constam no cartão, bem como data de vencimento e código de segurança. Ou seja, todas as informações necessárias para se efetuar uma compra.

Segundo a ESET, o golpe tem certo grau de refinamento ao utilizar exatamente a mesma linguagem visual da MasterCard para fazer o usuário crer que está entrando no sistema oficial. Ainda, a página com o formulário traz certificação SSL, que faz o navegador apresentar aquele cadeado informando que o endereço é seguro.

“Ainda que não seja obrigatório para todos os servidores, o uso de certificados é uma prática de segurança que deve ser seguida por qualquer site que lide com informações financeiras, embora claramente esse fator por si só não seja uma indicação de que o site é realmente seguro ou legítimo", menciona Luis Lubeck, especialista em segurança de TI do laboratório de pesquisa da ESET América Latina.

Depois que a vítima oferece seus dados, os golpistas ainda informam que há a necessidade de um dia para validar as informações enviadas, com o objetivo de ganhar tempo.

Para se prevenir contra este tipo de golpe, há algumas boas práticas de segurança. A primeira delas é sempre desconfiar de e-mails que pedem informações pessoais. Caso uma empresa entre em contato pedindo tais dados, verifique se o endereço de e-mail é mesmo o oficial. Mesmo assim, busque você mesmo pelas plataformas oficiais um modelo de atendimento para verificar se o e-mail procede.

“Outro fator importante para reduzir o número de vítimas de phishing é implementar o uso do duplo fator de autenticação em todos os serviços disponíveis, pois essa camada de segurança adicional ajuda a impedir que terceiros acessem as contas, e evita de serem vítimas de roubo de credenciais de acesso em uma lacuna de informações”, completa a ESET.

Ao Canaltech, a Mastercard emitiu o seguinte posicionamento, em nota:

Estamos cientes de um golpe de phishing que afeta potencialmente portadores de cartão Mastercard. É importante deixar claro que este não é um e-mail enviado pela Mastercard. A segurança de nossos consumidores sempre foi e continua sendo uma prioridade. Gostaríamos de alertar os portadores de cartão Mastercard para que estejam preparados para tomar as medidas necessárias para proteger suas informações. A Mastercard nunca ligará ou enviará um e-mail aos consumidores para solicitar diretamente informações pessoais ou de conta que possam ser usadas por terceiros. Aqui estão algumas dicas a serem seguidas se você receber um e-mail que supostamente vêm de Mastercard: Nunca abra anexos de e-mail inesperados ou clique em links desconhecidos Nunca compartilhe suas senhas, credenciais de login ou detalhes da conta Nunca revele informações pessoais, financeiras ou de seu cartão Mastercard com base em uma solicitação inesperada por e-mail ou telefone