Roubo de dados bancários aumenta 80% na pandemia; saiba como se proteger

Bancos registraram aumento de 80% nas tentativas de ataques de phishing e 70% no golpe do falso funcionário

Postado em: em Segurança

Dados da Febraban (Federação Brasileira de Bancos) trazem realidade alarmante sobre golpes digitais contra serviços bancários durante a pandemia. 

Bancos registraram aumento de 80% nas tentativas de ataques de phishing (roubo de dados por e-mail), alta de 70% na fraude do falso funcionário e crescimento de 65% no golpe do motoboy.

Cerca de 70% das fraudes estão vinculadas à engenharia social, que consiste na manipulação psicológica do usuário para que ele lhe forneça informações confidenciais, como senhas e números de cartões para os criminosos.

“Seja pelo telefone, por e-mail, pelas mídias sociais, SMS, o fraudador solicita dados pessoais do cliente, como números de cartões e senhas, em troca de algo, ou ainda induz o usuário a ter medo de alguma situação”, alerta Adriano Volpini, diretor da Comissão Executiva de Prevenção a Fraudes da FEBRABAN.

“Os dados pessoais do cliente jamais são solicitados ativamente pelas instituições financeiras. Na dúvida, sempre procure seu banco para obter esclarecimentos.” 

O movimento chamou atenção, inclusive, da IBM Security, braço de segurança da gigante informática.

Em relatório, especialista da marca aponta o Trojan chamado Vizom como a ferramenta criminosa da vez. Limor Kessem, executiva de Security Advisor de IBM Security, explica como se proteger. 

O que é Vizom e como ele ataca?​

O Vizom é um Trojan bancário. É um software malicioso que chega aos dispositivos das pessoas e fixa automação para monitorar o que elas fazem online. 

O objetivo do Vizom é despertar quando a vítima potencial acessa seu site de banco online, para que um invasor possa assumir o controle de sua sessão em tempo real.

É possível saber a origem desses ataques?​

A origem dos ataques de malware no Brasil são tipicamente atores e facções locais do crime cibernético. 

O malware normalmente chega às vítimas potenciais por meio de um spam no e-mail contendo links maliciosos para sites de phishing ou em anexos maliciosos que ocultam o malware. 

Depois que eles abrem o site ou anexo, o malware é implantado em sua máquina.

Ele deixa algum rastro ou tem algum padrão que permite a identificação?​

A maioria dos malwares deixa rastros e permite a identificação, mas isso pode levar algum tempo e, na maioria dos casos, não é detectado até que a atividade maliciosa tenha ocorrido. 

No caso do Vizom, o malware usa arquivos legítimos de empresas legítimas para plantar código malicioso, para evitar a detecção dos controles de segurança.

Existe alguma forma de prevenção contra o malware por parte dos usuários?​

Spam é a principal forma de entrega de malware, especialmente no Brasil. Os usuários podem realizar várias etapas para fortalecer sua segurança:

*Nunca abrir anexos e links de fontes desconhecidas. Eles também devem manter seus antivírus, sistema operacional e aplicativos atualizados regularmente e evitar o uso de software pirata.

*Outra ferramenta útil é usar a autenticação multifator em tudo aquilo que for protegido por senha. 

Por exemplo, se você tiver isso instaurado em sua conta bancária e alguém tentar fazer login, a pessoa não poderá acessar a conta sem o código de autenticação adicional. 

O sistema bancário brasileiro tem alguma fragilidade específica que permite esse tipo de golpes?​

Este ataque não reflete problemas com sistemas bancários, mas sim a infecção de usuários diariamente que inadvertidamente abrem e-mails maliciosos e têm seus dispositivos comprometidos.

O código malicioso opera no dispositivo do usuário e permite que o invasor se faça passar por ele, roube dinheiro de sua conta e evite que acessem a conta até que a fraude seja concluída.

Bancos podem detectar a tomada de conta em casos de sessões controladas remotamente ou sessões geradas a partir de um dispositivo diferente usando controles de segurança e fraude.

Golpes comuns

Golpe do Falso Funcionário do banco​

O fraudador entra em contato com a vítima se passando por um falso funcionário do banco ou empresa com a qual o cliente tem um relacionamento ativo. 

O criminoso informa que há irregularidades na conta ou que os dados cadastrados estão incorretos. 

A partir daí, solicita os dados pessoais e financeiros da vítima. Com os dados em mãos, o fraudador realiza transações fraudulentas em nome do cliente.

Phishing (pescaria digital)​

O phishing, ou pescaria digital, é uma fraude eletrônica cometida pelos engenheiros sociais que visa obter dados pessoais do usuário. 

A forma mais comum de um ataque de phishing são as mensagens e e-mails falsos que induzem o usuário a clicar em links suspeitos. 

Também existem páginas falsas na internet que induzem a pessoa a revelar dados pessoais.

Os casos mais comuns de phishing são e-mails recebidos de supostos bancos com mensagens que afirmam que a conta do cliente está irregular, ou o cartão ultrapassou o limite, ou que necessita revalidar seus pontos nos programas de fidelidade, atualizar token ou, ainda, que existe um novo software de segurança do banco que precisa ser instalado imediatamente pelo usuário.

Golpe do falso motoboy​

O golpe começa com uma ligação ao cliente, de uma pessoa que se passa por funcionário do banco, e diz que o cartão foi clonado, informando que é preciso bloqueá-lo. 

Para isso, diz o golpista, bastaria cortá-lo ao meio e pedir um novo pelo atendimento eletrônico.

O falso funcionário pede que a senha seja digitada no telefone, e fala que, por segurança, um motoboy irá buscar o cartão para uma perícia. 

O que o cliente não sabe é que, com o cartão cortado ao meio, o chip permanece intacto, e é possível realizar diversas transações.

Golpe do falso leilão​

O fraudador envia um link à vítima que simula um falso leilão. Para que possa ser dado um lance, a vítima tem que preencher formulários com seus dados pessoais e financeiros ou depositar um valor na conta do fraudador. 

Com dados como senha, número do cartão e CPF, o fraudador consegue fazer transações fraudulentas em nome do cliente.

Golpe do WhatsApp​

Os golpistas descobrem o número do celular e o nome da vítima de quem pretendem clonar a conta de WhatsApp. 

Com essas informações em mãos, os criminosos tentam cadastrar o WhatsApp da vítima nos aparelhos deles. 

Para concluir a operação, é preciso inserir o código de segurança que o aplicativo envia por SMS sempre que é instalado em um novo dispositivo.

Os fraudadores enviam uma mensagem pelo WhatsApp fingindo ser do Serviço de Atendimento ao Cliente do site de vendas ou da empresa em que a vítima tem cadastro. 

Eles solicitam o código de segurança, que já foi enviado por SMS pelo aplicativo, afirmando se tratar de uma atualização, manutenção ou confirmação de cadastro.

Com o código, os bandidos conseguem replicar a conta de WhatsApp em outro celular. 

A partir daí, os criminosos enviam mensagens para os contatos da pessoa, fazendo-se passar por ela, pedindo dinheiro emprestado.

Golpe do extravio do cartão​

No trâmite de entrega do cartão até a vítima, fraudadores furtam a correspondência contendo este cartão. 

Depois, ligam para a vítima se passando por um funcionário do respectivo banco informando que houve problemas na entrega do cartão. 

Para a resolução deste suposto problema, solicitam à vítima a senha deste cartão. Com os dados descobertos, fazem transações em nome da vítima.

Golpe do delivery​

O cliente faz seu pedido via aplicativo. O entregador apresenta uma maquininha com o visor danificado ou de uma forma que impossibilite a visualização do preço cobrado na tela, sendo um valor acima do real cobrado. 

Só depois de algum tempo, a vítima percebe que efetuou um pagamento elevado.

*Informações CNN Business


Artigos Relacionados