São Paulo, Brasil – As credenciais bancárias são um dos ativos mais valiosos para as pessoas, desta forma, obtê-las significa para os cibercriminosos conseguir uma chave que dá acesso aos “cofres virtuais” de suas vítimas. Neste sentido, a ESET, líder em detecção proativa de ameaças, compartilha as 5 principais estratégias que os cibercriminosos usam para roubar as chaves bancárias. São elas:
Sites falsos: os golpistas usam uma URL com o nome do banco e uma aparência similar ao site oficial. O nome do site geralmente é quase idêntico ao que o banco usa em suas contas nas redes sociais, com uma pequena diferença (às vezes de apenas uma letra). Uma pesquisa no Google pode levar a esses sites fraudulentos que conseguem aparecer entre os primeiros resultados de busca, muitas vezes como anúncios.
Uma vez no site falso, a estética e o design são idênticos aos da página oficial. Para acessar o suposto internet banking, ele inclui os campos nos quais as vítimas devem inserir seus dados de login, que na realidade irão para os cibercriminosos. Depois que a pessoa insere seu nome de usuário e senha, o site geralmente simula verificar os dados fornecidos, quando na verdade os cibercriminosos estão fazendo login com as credenciais roubadas no site legítimo do banco.
Recentemente foram identificados dois sites falsos que se passavam pelo site oficial do Banco Itaú, com o objetivo de roubar as credenciais bancárias dos clientes na Argentina e no Brasil. Em casos como esse, é necessário esclarecer que o banco também é uma vítima, já que seu nome é usado para enganar os clientes.
Site falso que rouba a identidade do Banco Itaú.
Malware: os trojans bancários, com grande presença em toda a região, causaram prejuízos estimados em cerca de € 110 milhões no último ano. Mekotio, Casbaneiro, Amavaldo ou Grandoreiro são apenas alguns dos grupos capazes de realizar várias ações maliciosas, mas se destacam por falsificar a identidade de bancos por meio de pop-ups falsos e roubar informações sensíveis das vítimas.
E-mail que contém um link malicioso que baixa o trojan Mekotio.
Há várias maneiras pelas quais os cibercriminosos podem instalar esse tipo de malware nos dispositivos de seus alvos. Por meio de e-mails de phishing ou mensagens de texto, através de anúncios maliciosos, comprometendo um site com alto tráfego (certos códigos maliciosos são baixados e instalados automaticamente no dispositivo assim que o usuário visita o site) e até mesmo escondendo em apps maliciosos.
Chamadas telefônicas: os criminosos podem contatar a vítima por meio de chamadas telefônicas em massa, com o único objetivo de ter uma comunicação mais pessoal do que por e-mail. Assim, a manipulação se torna mais fácil de ser realizada. Como justificativa para a ligação, podem informar sobre algum problema específico com a conta bancária ou uma transação fraudulenta associada à vítima. Para a suposta resolução, eles solicitarão informações pessoais e as chaves de acesso à conta.
Outra desculpa utilizada para esse tipo de fraude foi o pagamento de um bônus pelo governo local (que solicita os acessos bancários para entregá-lo), mas também há golpes que incluem se passar pelo serviço de atendimento ao cliente de um banco ou entidade reconhecida.
Perfis falsos em redes sociais: outra tática comum e muito eficaz é criar perfis falsos em redes sociais (como Facebook, Instagram ou Twitter) e, a partir deles, realizar o crime que resulta na obtenção das credenciais de acesso bancário de vítimas desavisadas ou desinformadas.
Há vários exemplos no Twitter e Instagram que evidenciam como os golpistas monitoram os comentários dos usuários com certas palavras-chave ou quando marcam um perfil verificado. Eles se aproveitam da urgência geralmente associada a essas mensagens (costumam ser reclamações ou algum tipo de problema a ser resolvido) e, por meio desses perfis falsos (sem o selo de verificação), enviam mensagens diretas se passando pela conta oficial do banco. Eles usam o mesmo logotipo e uma variação do nome oficial, e até mesmo oferecem o contato do serviço de atendimento ao cliente ou pedem um número de contato. As vítimas são contatadas por falsos representantes do serviço de atendimento que buscarão extrair informações, como chaves de acesso, tokens ou outros dados para acessar suas contas e esvaziá-las.
Exemplos de como os cibercriminosos falsificam a identidade de instituições bancárias nas redes sociais.
Scraping: o scraping, ou “raspagem”, funciona quando alguém começa a seguir a conta oficial de um banco nas redes sociais para fazer uma consulta. Os criminosos a contatam por meio de uma mensagem privada, fingindo ser o banco em questão. Se a vítima responder à mensagem sem verificar se é uma conta real ou falsa, o suposto consultor solicitará um número de telefone para continuar a conversa por esse meio. Eles usarão todas as informações disponíveis nas redes sociais e na internet em geral para fazer a vítima acreditar que realmente é um colaborador do banco que está fornecendo suporte. Uma vez que a vítima ganha confiança, o suposto consultor solicitará as informações bancárias, que serão usadas para esvaziar a conta.
A ESET compartilha dicas que permitem reduzir significativamente o risco de ser vítima de fraudes:
Verificar o endereço da página visitada e confirmar que é a verdadeira.
Verificar se o site possui um certificado de segurança válido, emitido pela empresa que diz ser.
Não fornecer informações pessoais ou financeiras, a menos que se tenha certeza de que o site é legítimo.
Não divulgar nenhum detalhe por telefone, mesmo que a pessoa do outro lado pareça convincente. Além de verificar de onde estão ligando e então retornar a ligação para a organização para confirmar. É crucial não utilizar os números de contato fornecidos por essa pessoa.
Não clicar em links ou baixar arquivos de e-mails, mensagens de redes sociais, mensagens no WhatsApp e Telegram ou de remetentes desconhecidos.
Sempre utilizar software de segurança para proteger o dispositivo contra malware e outras ameaças, e mantê-lo atualizado.
Baixar aplicativos apenas de lojas oficiais, como a App Store ou Google Play.
“O primeiro passo, como sempre nesses casos, é se familiarizar e manter-se informado sobre as estratégias e técnicas que os cibercriminosos usam para obter as credenciais bancárias e qualquer outra informação sensível. E o principal aliado nisso de manter as chaves protegidas é uma solução de segurança, que cuide das operações online, mas principalmente das bancárias”, comenta Camilo Gutiérrez Amaya, Chefe do Laboratório de Pesquisa da ESET Latinoamérica.
Para saber mais sobre segurança da informação, visite o portal de notícias ESET. A ESET também convida você a conhecer o Conexão Segura, seu podcast para descobrir o que está acontecendo no mundo da segurança da informação. Para ouvir, acesse o link.
Sobre a ESET
Desde 1987, a ESET® desenvolve soluções de segurança que ajudam mais de 100 milhões de usuários a aproveitar a tecnologia com segurança. Seu portfólio de soluções oferece às empresas e consumidores de todo o mundo um equilíbrio perfeito entre desempenho e proteção proativa. A empresa possui uma rede global de vendas que abrange 180 países e possui escritórios em Bratislava, San Diego, Cingapura, Buenos Aires, Cidade do México e São Paulo. Para mais informações, visite nosso site ou siga-nos no LinkedIn, Facebook e Twitter.
Copyright © 1992 – 2023. Todos os direitos reservados. ESET e NOD32 são marcas registradas da ESET. Outros nomes e marcas são marcas registradas de suas respectivas empresas.
Contatos para Imprensa:
(11) 98933-4840
Byanka Mendes – byankamendes@aboutcom.com.br
Leonardo Nascimento – leonardonascimento@aboutcom.com.br
Manuel Quilarque – manuelquilarque@aboutcom.com.br