Celebrado no dia 15 de março, o Dia do Consumidor é uma das grandes datas esperada pelos vendedores e clientes. Assim como as grandes marcas, os cibercriminosos também querem fisgar o maior número de pessoas, mas para enganá-las e roubar o máximo de informações pessoais.
Segundo os especialistas da Redbelt Security, a incidência no número de ataques de phishing aumenta durante esse período. Esse golpe tem como finalidade fazer com que a própria vítima entregue seus dados aos golpistas, seja pelo envio de e-mails, mensagens de texto, ligações e até mesmo cópias idênticas de sites de compras online bastante conhecidos onde os criminosos, de forma bem genuína e atrativa, influenciam o consumidor a inserir seus dados pessoais, como login, senhas, e detalhes do cartão de crédito em páginas falsas para efetuar golpes.
Entre as principais descobertas do time de pesquisa da Redbelt, estão:
• Diariamente, no Brasil, são registrados cerca de 15 domínios falsos de sites de e-commerce que são utilizados para aplicar golpes phishing.
• Foram identificadas ofertas de venda de layouts de páginas falsas, tanto de e-commerces quanto de instituições financeiras.
• Destas ofertas, foram verificados até vídeos no Youtube, onde preços variam entre R$ 200,00 e R$ 3.000,00, com alguns dos criminosos oferecendo até mesmo a hospedagem da página.
• Criminosos estão pagando por anúncios para divulgar golpes em mecanismos de pesquisa.
Formas de golpes phishing
Atualmente, os atacantes estão se adaptando e desenvolvendo novas formas de proliferar sites falsos, e aperfeiçoando suas estratégias para conseguir enganar mais pessoas. Alguns dos exemplos destas estratégias são:
1) Anúncios
Nesta forma de phishing, o atacante paga para anunciar em um mecanismo de pesquisa, como o Google, por exemplo, para que o link de um produto anunciado seja exibido para o usuário que procurar por aquele produto. Porém, neste caso, o link é uma cópia de um site legítimo e, devido à falta de controle e verificação da plataforma de anúncios, o usuário pode ser levado a acreditar que está realizando a compra em um conhecido site de e-commerce, quando na verdade, está sendo vítima de um golpe.
2) Operador
Esta modalidade consiste na tradicional página falsa, entretanto, com a ação do atacante em tempo real, enquanto a vítima navega pelo site. O objetivo deste tipo de ataque é burlar os múltiplos fatores de autenticação projetados pelos sites de e-commerce e instituições bancárias. Assim que a vítima entra no site e insere suas credenciais, o operador é notificado, e começa a solicitar diversas informações para que, enquanto a vítima navega pelo site, ele possa realizar compras e transações financeiras.
3) PIX
Com a popularização do PIX como meio de pagamento, e suas características únicas de transferência automática, criminosos preferem cada vez mais utilizá-lo em seus phishings, ao invés de tentar obter dados de cartões de crédito, que possuem diversas formas de segurança, tanto por parte do banco quanto por parte das lojas online. Quando o cliente clica em prosseguir para o pagamento, diferente do site oficial, só é mostrado a opção para pagamento via PIX, normalmente sobre o pretexto de que aquele preço é uma promoção apenas para pagamentos à vista via PIX. Entretanto, ao ler o QR Code e efetuar o pagamento, o dinheiro vai para a conta do criminoso, e a vítima não recebe produto algum.
Cuidados e precauções
Apesar de ser impossível estar completamente imunes a este tipo de ataque, a Redbelt recomenda algumas medidas de segurança que podem ser colocadas em práticas:
1) Analise se as ofertas são reais e se não tiver certeza, não arrisque. O ideal é ir direto ao site oficial da marca e pesquisar o produto desejado.
2) Observe se o site tem protocolo de segurança e certificado HTTPS válido. Estes detalhes são vistos no próprio navegador, a partir da imagem de um cadeado na barra de navegação e do endereço da página.
3) Faça o download de aplicativos nas lojas ou sites oficiais das marcas e esteja ciente de quais informações ou permissões estão serão solicitadas para usá-los.
4) Desconfie de links que venham por e-mail, pelas redes sociais ou outros meios de comunicação.
5) Nos pagamentos via Pix, ao scanear o QR Code, verifique atentamente todos os dados, como o nome da pessoa/empresa e valor, antes de efetivar a operação.
6) Caso seja vítima de um ataque phishing, troque suas credenciais imediatamente e notifique a empresa para que ela possa tomar as medidas necessárias para a remoção imediata do conteúdo, e caso tenha feito uma transação financeira, faço um boletim de ocorrência, desta forma é possível tentar reaver quaisquer perdas e ajudará a polícia a identificar os criminosos.
