Cibercriminosos disparam phishing com órgãos públicos como isca, mostra estudo

 ISH Tecnologia coleta exemplos de e-mails exigindo pagamentos de taxas e multas fraudulentas

Compartilhar:

Mensagens e cobranças falsas de órgãos públicos como Correios, Polícia Federal, DETRAN e Supremo Tribunal Federal estão sendo produzidas por cibercriminosos para enganar vítimas no Brasil. É o que mostra um levantamento feito pela ISH Tecnologia.

 

Os ataques, na maioria das vezes disparados por e-mail, visam a coleta de credenciais e números de cartão de crédito das vítimas, além da realização de pagamentos fraudulentos para contas falsas, que redirecionam o dinheiro aos criminosos. São ataques que se aproveitam tanto da autoridade de comunicações supostamente oficiais de órgãos públicos como do senso de urgência, vindo da necessidade de pagamentos de multas e cobranças.

 

Em um caso coletado pela ISH, os criminosos se passam pelo DETRAN, cobrando o pagamento da multa por uma suposta infração de trânsito cometida pela vítima.

 

A investigação do exemplo já traz alguns indícios de que se trata de uma tentativa de golpe, e que devem servir de alerta para os usuários. O endereço que enviou o e-mail utiliza um domínio aleatório (detran @smtplw-15[.com]), que não corresponde ao oficial utilizado pelo órgão. Além disso, o CPF da vítima não é informado, podendo assim ter sido enviado a qualquer um. Ao clicar no botão azul, para suposta visualização da multa, o usuário é redirecionado a um site fraudulento, que tentará roubar suas informações.

 

A ISH também traz dois outros exemplos coletados: no primeiro, uma campanha maliciosa utiliza a identidade visual dos Correios para induzir o usuário ao suposto pagamento de uma taxa para que sua encomenda saia da alfândega. Já o segundo, disparado contra uma empresa, afirma que ela possui pendências tributárias que precisam ser quitadas imediatamente.

 

Nos dois casos, algumas “pistas” se repetem, como o endereço de e-mail suspeito e o senso de urgência. Além disso, no segundo exemplo, o título do e-mail possui erros de formatação (“Altera􀳦􀳦o do T􀳦tulo… Vencimento…”), mais um indício de que não se trata de uma comunicação oficial.

 

A ISH revela que, em campanhas como essas, é comum que os atores de ameaça recrutem “laranjas” – pessoas que servem como intermediárias para o recebimento das quantias fraudulentas. Essas pessoas recebem uma porcentagem do valor obtido na fraude e, posteriormente, os criminosos utilizam sistemas de cascata para realizar lavagem de dinheiro, dificultando o rastreamento dos valores pagos pelas vítimas.

 

Esses tipos de golpes mostram como os atores de ameaça sofisticam suas táticas, aproveitando-se da confiança nos órgãos públicos para induzir pagamentos indevidos. A inserção de boletos falsos em documentos PDF reforça a necessidade de vigilância contínua por parte das organizações e dos usuários, demonstrando a importância de verificar a autenticidade das comunicações recebidas e de implementar medidas de segurança que possam reduzir o impacto dessas campanhas fraudulentas.

 

Prevenção

Por fim, a ISH lista algumas recomendações para que os usuários não caiam em golpes como os apresentados:

 

– Verificar sempre o domínio dos e-mails recebidos, e desconfiar dos que trazem endereços pessoais;

 

– Em caso de dúvida, contatar o órgão em questão diretamente por telefone ou site oficial, e nunca pelos dados fornecidos no e-mail;

 

– Tomar cuidado com erros de ortografia e/ou formatação nos textos, além de uma urgência excessiva;

 

– Nunca responder a e-mails desse tipo, para evitar confirmar a identidade ao atacante. Serviços como Gmail e Outlook também possuem uma opção de “reportar phishing”;

 

– Em caso de vazamento confirmado, trocar imediatamente as senhas comprometidas, informar colaboradores e, se necessário, órgãos reguladores.

 

Conteúdos Relacionados

Security Report | Overview

Golpes em plataformas de hospedagem miram roubo de dados bancários

A ESET identificou o Telekopye, um kit de ferramentas que opera como um bot do Telegram entre golpistas, visando plataformas...
Security Report | Overview

Ramsomware à prova de Quantum Computing deve chegar em 2025, alerta estudo

Fraudes financeiras em smartphones e ransomware avançado devem ser os maiores desafios para as empresas no próximo ano
Security Report | Overview

Pesquisa alerta para malwares fraudadores em devices Android e iOS brasileiros

ISH Tecnologia revela que softwares maliciosos são capazes de monitorar atividades online e coletar dados sensíveis...
Security Report | Overview

Black Friday: Mais de 100 páginas falsas são criadas por dia para aplicar golpes

Especialistas indicam que a taxa de geração de sites maliciosos pode triplicar até a chegada do dia de promoções, marcado...