São Paulo - A ESET, empresa de detecção proativa de ameaças virtuais, analisa um novo caso de fraude bancária. Seu objetivo é roubar credenciais de acesso ao homebanking - também conhecido em alguns países como banco eletrônico ou banco online - que além de serem usados para esvaziar a conta bancária com pequenas transferências para outras contas, também servem para solicitar empréstimos pré-aprovados em nome da vítima para roubar o valor concedido. Com o golpe, a vítima fica sem dinheiro, com parcelas do empréstimo a pagar e uma disputa judicial com o banco para tentar provar que não realizou as referidas transações.
Em outubro de 2020, a empresa já havia alertado sobre golpistas que usavam perfis falsos do Instagram para se passar por canais de atendimento ao cliente de bancos. Embora não houvesse um perfil definido das vítimas, o objetivo era aproveitar as pessoas que utilizavam as redes sociais para se comunicarem com sua entidade bancária devido à dificuldade de ir a uma agência pessoalmente ou por telefone, em decorrência da pandemia de Covid-19.
“Mandei uma mensagem privada para a conta do banco no Instagram. Poucos minutos depois, eles me responderam, também por mensagem privada, mas de outra conta chamada ‘Atendimento ao Cliente’ que também tinha o logotipo do banco. A partir dessa conta, me pediram um número de telefone de contato e que um consultor iria entrar em contato comigo. Como não consegui me comunicar com o banco pela manhã, deixei meu telefone nesta conta e eles me ligaram na hora, supostamente do banco. Foi aí que caí”, comentou uma vítima à equipe de investigação da ESET.
Mensagem privada
A maioria dos usuários das redes sociais começa a seguir uma instituição financeira quando precisa enviar uma mensagem privada para fazer uma reclamação ou consulta. Ou seja, a ação de seguir essa conta e enviar uma mensagem ocorre quase que instantaneamente. O que acontece nesse golpe é que a conta falsa que contatou a vítima na verdade detectou que havia começado a seguir a conta bancária oficial há apenas alguns minutos.
O “web scraping” (ou “raspagem” web) é uma técnica para extrair informações de sites da web de forma massiva e por meio de scripts automatizados. Se a técnica de scraping for aplicada às redes sociais, todos os tipos de informações públicas podem ser obtidos em massa, como curtidas de uma publicação ou mesmo a lista de seguidores de uma conta pública. A empresa esclarece que, embora o uso dessas técnicas vá contra os termos e condições da maioria das redes sociais, a verdade é que não há nenhuma medida técnica que impeça esse uso.
Os atacantes usam um script de scraping para obter a lista de seguidores das contas oficiais de bancos e instituições financeiras. Minutos depois executam esse script novamente e comparam as duas listas para identificar novos usuários. Automaticamente, um 'bot' de uma conta falsa que finge ser a instituição financeira entra em contato com esses usuários se passando por consultores virtuais e pede que enviem seus dados. Como provavelmente muitos desses usuários, além de seguirem a conta oficial, enviaram uma mensagem privada, eles caem no golpe quando a conta falsa os contata.
Ao realizar alguns testes, o Laboratório da ESET observou que poucos minutos após começar a acompanhar diferentes entidades financeiras no Instagram, o primeiro contato veio de uma conta falsa: uma saudação calorosa de um consultor de atendimento ao cliente solicitando o número de telefone para contato. Não importa o motivo da consulta, o invasor continuará insistindo para obter o número do telefone e poderá continuar o golpe por telefone.
Foram detectados mais de 15 contatos de contas falsas se passando por pelo menos 4 instituições financeiras argentinas. Embora várias dessas contas falsas tenham pouco ou nenhum seguidor, muitas outras têm um grande número de seguidores, que provavelmente foram comprados ou obtidos de forma fraudulenta. Além disso, todas as publicações são copiadas - roubadas - da conta oficial do banco cuja identidade foi falsificada, o que a torna extremamente semelhante ao original.
“As contas funcionam sempre da mesma forma: assim que a vítima começa a seguir a conta oficial, o falso conselheiro comunica por mensagem privada oferecendo uma grande variedade de tópicos a consultar. Se a vítima responder ao recado, o conselheiro pedirá um número de telefone para contato, seja qual for o motivo da consulta. Em menos de uma hora após o envio do número, o golpista se comunica por telefone e usa informações sobre a vítima obtidas em sua rede social e outros sites da Internet (como RG, endereço, local de trabalho, etc.) para fazê-lo acreditar que ele é um consultor de banco que o ajudará. Em seguida, pede informações sigilosas, como nome de usuário e senha do banco online, números dos cartões de crédito e débito, ou ainda vai ao caixa eletrônico mais próximo e realiza determinadas operações”, esclarece Cecilia Pastorino, pesquisadora que analisou o golpe.
Falha
A empresa considera uma falha o fato de a lista de seguidores não poder ser escondida em contas públicas de redes sociais como Instagram ou Twitter, para adicionar opções de privacidade às contas públicas, principalmente as oficiais ou verificadas. Do ponto de vista das instituições bancárias, é possível colaborar com campanhas de sensibilização e educação para os seus clientes, com lembretes de boas práticas, políticas de comunicação claras e também um bom atendimento. Muitos dos golpes nas redes sociais são eficazes porque os próprios clientes do banco não conseguem se comunicar pelos canais oficiais quando têm um problema e acessam as redes sociais.
Por fim, como clientes de bancos e usuários de redes sociais, é extremamente importante estarmos atentos a esse tipo de golpe. Sempre verifique se uma mensagem está sendo recebida de uma conta bancária verificada (símbolo azul) e não forneça dados confidenciais, como códigos bancários, tokens ou códigos de segurança de cartão de crédito ou débito. Além disso, nunca vá a caixas eletrônicos ou realize operações que sejam solicitadas por telefone ou forneça dados sigilosos. Em caso de dúvida, o melhor é entrar sempre no homebanking pelo site oficial do banco e não por meio de um link recebido por e-mail ou mensagem.
SAIBA MAIS
Se você foi vítima desse tipo de golpe ou forneceu dados confidenciais, deve notificar imediatamente o banco ou instituição financeira e avisar sobre o que aconteceu para bloquear o acesso à conta e às transações de cibercriminosos. A maioria dessas contas falsas dura apenas alguns dias, até que sejam denunciadas e removidas da rede social. No entanto, nesse curto período de tempo, os cibercriminosos conseguem entrar em contato com centenas de usuários. Portanto, é importante denunciar contas fraudulentas para que sejam excluídas o mais rápido possível.
Saiba Mais
- Queda do WhatsApp pode gerar indenização a usuários prejudicados
- WhatsApp, Instagram e Facebook começam a voltar após 6 horas de pane mundial
- Site aponta instabilidade em Whatsapp, Facebook e Instagram no mundo
- MP que altera o Marco Civil da Internet será apreciada nesta semana
- Pesquisa inédita aponta aumento de crianças expostas às telas durante a pandemia
Leia outras notícias em Imirante.com. Siga, também, o Imirante nas redes sociais Twitter, Instagram, TikTok e canal no Whatsapp. Curta nossa página no Facebook e Youtube. Envie informações à Redação do Portal por meio do Whatsapp pelo telefone (98) 99209-2383.