Golpes financeiros pela internet, ou envolvendo algum tipo de prática cibercriminosa, tem se tornado cada vez mais comuns. O relatório mais recente da empresa de cibersegurança PSafe mostra que mais de 5 milhões de golpes financeiros foram detectados até julho de 2022, o que representa mais de mil ataques por hora.
Não dá pra negar que os cibercriminosos brasileiros são bastante criativos a elaborar e aplicar esses golpes. De agosto a setembro, o Olhar Digital noticiou diversas tentativas de golpes envolvendo assuntos do momento, como as ofertas do álbum da Copa, Dia dos Pais, Mão Fantasma, ingressos do Rock in Rio, entre outros.
A quantidade de práticas criminosas pode ser assustadora, mas ao se informar sobre esses golpes é possível perceber que muitos se repetem, o que muda são os temas e abordagens utilizados pelos criminosos.
Para ajudar a identificar e prevenir golpes, o Olhar Digital conversou com Fábio Assolini, diretor da Equipe Global de Pesquisa e Análise da Kaspersky para a América Latina, que explicou os cinco golpes cibernéticos mais aplicados no Brasil.
Assolini alerta que atualmente os criminosos são antenados, e vão utilizar plataformas e redes sociais mais utilizadas pela população, como WhatsApp e Instagram. Os golpistas também se aproveitam de outros aplicativos que usamos todos os dias para fazer compras, trabalho, transações bancárias, entre outros.
A falsa vaga de emprego
O golpe geralmente começa com uma mensagem via WhatsApp de uma pessoa desconhecida que envia propostas de emprego atrativas como jornada de meio período, e salários altos. Geralmente essas mensagens sempre trazem um link. Assolini lembra que em alguns casos esse link pode levar a outra conversa, e através dessa nova interação será enviado o link com o conteúdo malicioso.
“Caso você clique no link ele vai pedir para que você se cadastre nessa plataforma e vão explicar como funciona. Você vai ter missões a cumprir, mas para participar do esquema você tem que aportar um valor em dinheiro. Infelizmente, há muitos relatos de pessoas que perderam o dinheiro, porque é um esquema bastante estranho em que você tem que fazer algumas missões, mas a verdade, é que no final você vai perder o dinheiro”, informa o especialista.
Essas missões realizadas envolvem a vítima numa espécie de esquema de pirâmide em que ela terá que aportar valores cada vez maiores para a falsa plataforma.
Empréstimo de dinheiro
Dados mais recentes da Surf Shark, mostram que o Brasil está em 12º no ranking de vazamento de dados. Apenas no primeiro trimestre de 2022 foram registrados 91,2 mil casos envolvendo vazamento de informações corporativas, segundo dados da empresa de inteligência de ameaças, Group-IB.
Mais de 20 mil brasileiros tiveram seus documentos expostos após uma falha do servidor do Ministério da Saúde. O relatório da Group-IB revelou que os dados vazados tinham selfies de brasileiros segurando seu RG ou carteira de habilitação.
O vazamento de dados em massa possibilita que os golpistas utilizem as informações indevidamente expostas para aplicar golpes como o de empréstimo de dinheiro.
Nesse golpe é muito comum no WhatsApp, no qual um número desconhecido utiliza a foto de um conhecido, como amigo ou familiar, para pedir um empréstimo. O criminoso geralmente inventa uma situação de emergência para fazer solicitar o dinheiro.
“Para identificar se é falso ou não o pedido de empréstimo, pede para a pessoa enviar um áudio, o golpista não vai te enviar um áudio.”, orienta Assolini.
Falsas ofertas de venda
Essa prática é muito utilizada em contas hackeadas, afinal sua abordagem inicial acontece por meio de uma pessoa que você conhece, ou segue no Instagram. Em seu perfil na rede social, o golpista, se passando pelo dono daquela conta, vai dizer que está vendendo aparelhos eletrônicos usados, ou mesmo novos, a preços muito baratos até mesmo para produtos de segunda mão.
“A história se repete com falas como ‘vou me mudar e preciso vender’, ou ‘não preciso mais’ e as pessoas acreditam que por se tratar de uma pessoa que você segue no Instagram, oferecendo uma TV de 50 polegadas 500 reais. Em todos esses golpes os pagamentos são via PIX. Muita gente caiu nisso porque se trata de gente que você conhece. Na verdade essa pessoa teve seu perfil hackeado e usado para divulgar as falsas ofertas” alerta, o especialista.
A orientação – além do ceticismo para os preços suspeitos – é conferir o destino indicado na chave PIX, caso tenha um nome completamente diferente do usuário certamente se trata de uma fraude.
Golpes via Phishing
Levantamento da Kaspersky de março de 2021 mostra que o Brasil é o país que mais sofre com golpes de phishing. Esses golpes de phising, geralmente, enviam comunicados com informações manipuladas pelos criminosos para se passar por bancos, instituições financeiras, prestadoras de serviços públicos como água, luz e gás, operadoras de telefonia, entre outras. Para enganar as vítimas e convencê-las a seguir com as orientações do comunicado, também é comum a criação de sites bem similares aos sites oficiais.
Assolini relata que os golpes de phishing podem ser aplicados de diversas formas como SMS, e-mail, WhatsApp e ligações telefônicas.
“A finalidade desse golpe é criar medo em você, despertar a sensação de que algo ruim está acontecendo e que você deve fazer algo. Tome muito cuidado com isso, pois geralmente isso vai te levar para um site falso, bastante parecido com o verdadeiro, onde as suas senhas serão solicitadas”, diz Assolini.
Como identificar sites falsos
Como mencionado, os sites falsos nas fraudes de phishing costumam ter um design bem semelhante ao de sites autênticos, inclusive os criminosos registram endereços de sites quase idênticos ao original.
Para identificar esses endereços falsos é recomendado a instalação de um bom antivírus que fará uma inspeção no site antes de você acessar, caso não seja um site seguro o software vai impedir o acesso.
Assolini destaca que é possível conferir a origem de alguns sites através de bases de dados ‘Who is’. No caso de domínios “.br” é possível checar a origem de sites pela ferramenta “Who is” do Registro.br, recurso que fornece informações sobre o endereço como razão social, CNPJ, data de criação do site e até mesmo e-mails da companhia.
“O “Who is” vai dizer quem é o dono daquele site. Portanto, o que você pode esperar? Que as informações do site de um banco X, vai ter os dados do banco X, como o CNPJ. Não vai ter o nome de uma pessoa física com CPF”, alerta Assolini.
Além do Registro.br, é possível checar informações de sites de todo o mundo terminados em “.com” através do site www.whois.com/whois.
Evitar boletos falsos
Os comunicados fraudulentos também costumam trazer cobranças de faturas e contas atrasadas. Os boletos anexados a mensagem phishing são muito bem manipulados em seu formato e aparência para enganar as vítimas e destinar o dinheiro pago aos golpistas.
Para identificar se um boleto é legítimo, vale conferir se o número referente ao código de barras se inicia com “8”. Essa numeração inicial é utilizada exclusivamente por concessionárias de serviços públicos e serviços contínuos.
“Hoje as contas que nós recebemos de água, energia elétrica, telefone, internet, e outras concessionárias que prestam serviços, o código de barras sempre vão começar com o número oito. Isso indica que aquele código é verdadeiro, é legítimo.”, afirma Assolini.
O problema, alerta o especialista, é que hoje muitos boletos utilizam o QR Code para o pagamento das contas, com a rapidez e praticidade do Pix, e essa forma de pagamento é utilizada por muitos clientes, e assim os criminosos se aproveitam para desviar o dinheiro das vítimas. Portanto, aqueles que usam o QR Code para o pagamento de faturas “precisam estar atentos ao nome da empresa que vai receber o valor”.
Roubo de celulares
Após o roubo de celulares, criminosos se aproveitam da posse do dispositivo e usam técnicas de desbloqueio dos dispositivos para ter acesso total ao dispositivo. Com isso eles estão aptos a realizar transferências bancárias e outras práticas que lesam a vítima roubada.
Assolini lembra que os aplicativos de bancos e instituições financeiras geralmente vão pedir uma autenticação por biometria ou leitor de digitais.
Essas verificações de fato ajudam na proteção das contas nos dispositivos, mas não garantem 100% de segurança. Afinal, “a maioria desses aplicativos tem o recurso chamado ‘Esqueci a minha senha’ e boa parte das instituições oferecem um processo de reset da senha através do e-mail ou por um código enviado via SMS. O bandido que roubou o aparelho vai ter acesso a esses dois canais, tanto ao seu email que está cadastrado no aparelho quanto ao seu SMS”.
Como se prevenir para casos de roubo de celulares
“Hoje é muito importante que você tenha o software antiroubo instalado no seu aparelho”, orienta o especialista. “Esse software antirroubo ele vai permitir com o que, com um simples comando, você consiga apagar todo o conteúdo que está no seu aparelho de forma remota. E, além disso, ele vai colocar o que nós chamamos de ‘App Locker’, ou seja, vai travar o acesso a aplicativos críticos que você tem no seu aparelho, como os aplicativos de bancos, de compra, o seu e-mail e também SMS.”
Utilizando esse aplicativo antiroubo, em caso de furto, os criminosos terão dificuldade em acessar as contas do dispositivo e não conseguirão fazer o reset da senha. Assolini indica que após o furto é preciso “procurar um computador para enviar o comando para que todo o conteúdo do aparelho seja apagado, mantendo assim seus dados seguros”.
Golpe da Mão Fantasma
O golpe da mão fantasma chamou a atenção de bancos que emitiram alertas sobre as fraudes feitas por criminosos que se passavam por representantes das instituições financeiras em ligações para os clientes permitirem o acesso às suas contas.
“O golpe da mão fantasma não é exatamente uma novidade. Ele já acontece há algum tempo”, lembra Assolini.
Existem duas formas de práticas cibercriminosas caracterizadas como “Mão Fantasma”, na primeira os criminosos pedem que um software malicioso seja instalado, “Geralmente a oferta vinha como visualizador de perfil de WhatsApp ou um aplicativo para limpar e otimizar o seu aparelho. Na verdade, depois de instalar esse aplicativo, ele permite o criminoso acessar remotamente o smartphone”. Esse software contém um código trojan capaz de abrir aplicativos no celular sem que a vítima soubesse.
A mais recente prática nomeada como “Mão Fantasma” utiliza uma abordagem por telefone se passando pelo funcionário de bancos e orienta a vítima a instalar aplicativos que dão controle total do dispositivo ao criminoso.
“Já vi casos em que os golpistas continuam no telefone com a vítima e falam ‘olha vou abrir o aplicativo do banco e preciso que você coloque o seu dedo para validarmos o acesso’, e a vítima achando que está falando com o banco, obedece”, relata Assolini. “Temos que partir da premissa de que jamais alguém do banco vai ligar pedindo que você siga um passo-a-passo para abrir seus aplicativos ou informar qualquer tipo de senha”.
As vítimas de golpes de Mão Fantasma devem abrir boletins de ocorrência com a polícia, afinal as transações feitas pelo celular da vítima ficam registradas. A partir da conta que recebeu os valores a polícia usará seus recursos para investigar os criminosos que aplicaram esse golpe.
O problema, segundo Assolini, é que em casos de golpes desse tipo – tanto no Mão Fantasma como em roubos de celular – os bancos têm se negado a devolver o dinheiro roubado, pois afirmam que a transferência aconteceu a partir do celular da vítima.
Infelizmente, o golpe da Mão Fantasma e os 5 golpes mais praticados no Brasil são apenas os exemplos mais comuns de fraudes utilizadas por criminosos. Para ficar sempre atualizado sobre os golpes cibernéticos acompanhe o Olhar Digital. No site e no Olhar Digital News sempre trazemos detalhes sobre os crimes cibernéticos aplicados no Brasil e no mundo, além de dicas de segurança para proteger seus dispositivos.
Fonte: olhardigital.com.br