O phishing financeiro se tornou o campeão de detecções neste ano. De janeiro a julho, as soluções da PSafe, dfndr security e dfndr enterprise, acumularam mais de 5 milhões de detecções. Somente no mês de julho, a categoria foi responsável por mais da metade das detecções de phishing, quando registrou 1.3 milhões de investidas dos golpistas.
“Se formos comparar, mês a mês, com o ano de 2021, o aumento é alarmante. Tendo como base o mês mais recente, julho, quando bloqueamos mais de 1.3 milhões de golpes, registramos um aumento de 600% em relação ao ano passado, quando foram bloqueadas pouco mais de 187 mil no mesmo período”, alerta o CEO da PSafe, Marco DeMello.
Apesar de grande parte dessas investidas serem direcionadas para pessoas físicas, empresas podem amargar prejuízos milionários caso sejam vítimas. “Vamos pensar em um caso que costuma acontecer, inclusive já recebemos aqui, que é o departamento financeiro recebendo um e-mail falso (que pode ser um malware, phishing, boleto falso ou até mesmo um QR Code falso). A mensagem é sempre alarmante e imediatista: realização de pagamento urgente, para que a empresa não seja incluída em um cadastro negativo ou não pague uma conta em atraso. E-mails como esse são disparados aos milhares por segundo, então a probabilidade de fazer todos os dias novas vítimas é muito alta, principalmente porque muitos desses golpes são direcionados e personalizados. Eles têm um alvo certo. E é neste momento que toda a operação da empresa estará em risco”, enfatiza DeMello.
Golpes financeiros mais comuns
Com engenharia social cada vez mais qualificada, os cibercriminosos buscam cada vez mais explorar técnicas e temas que possam atrair mais vítimas, tanto por meio de phishing, quanto por malware. Abaixo, listamos os temas e as abordagens mais comuns:
Golpe do PIX
Esse golpe costuma chegar via aplicativos de mensagens, mas também pode chegar via SMS ou e-mail. Somente neste ano, a PSafe já bloqueou mais de 1.4 milhões tentativas desta temática. E as abordagens são variadas:
• Utilizam datas comemorativas, como o Dia dos Pais, com páginas falsas que prometem transferência imediata, mediante cadastro;
• Mensagem falando que você tem uma quantia para sacar, bastando inserir os dados pessoais para receber o PIX;
• Utilizando o nome de programas governamentais, como o ‘Golpe do Auxílio Brasil’, em que a mensagem avisa que a vítima tem direito ao benefício. Neste momento, solicita dados pessoais da vítima;
• Redes sociais: abordagens por esse meio estão ficando cada vez mais frequentes, como o ‘Robô do PIX’. golpistas abordam as pessoas nas redes sociais ou em aplicativos de mensagens para as vítimas solicitando transferência em PIX com a promessa de que o robô irá retornar um valor até 10 vezes superior ao transferido;
• Para dar credibilidade e a falsa sensação de segurança, está se tornando comum a inserção de depoimentos falsos, em que as pessoas dizem ter recebido o dinheiro na hora.
Clonagem de cartão de crédito
Algumas mensagens de phishing podem solicitar dados de cartão de crédito, como uma compra em um site falso, por exemplo. Neste caso há dois prejuízos: a própria compra, que não chegará à vítima, e os seus dados, que estão nas mãos dos cibercriminosos.
Algumas dicas são essenciais para evitar cair neste golpe:
• Busque sempre sites oficiais;
• Se possível, utilize cartão virtual ao realizar uma compra, pois será mais fácil caso precise cancelar;
• Duvide de qualquer promoção acima da média ou que ofereça uma vantagem muito grande;
• Se clicar em um link visto em redes sociais ou aplicativos de mensagens, verifique o endereço na barra do navegador, pois às vezes os golpistas podem alterar apenas uma letra.
Atualização de cadastro
Outra tentativa bastante comum é solicitação de atualização de cadastro. Os golpistas encaminham e-mails ou SMS solicitando atualização cadastral, com a ameaça de que a conta poderá ser encerrada caso não realize.
Em decorrência dos constantes vazamentos de dados, muitas vezes essas mensagens chegam totalmente personalizadas, com o nome e dados pessoais da vítima, identidade visual do banco da pessoa, números de central de atendimento, entre outros detalhes que tornam difícil distinguir se é ou não real.
• Desconfie de qualquer mensagem com a mensagem de que sua conta será cancelada, bloqueada, ou outro tipo de ameaça que tente fazê-lo clicar de imediato;
• Na dúvida, entre em contato diretamente com seu banco para verificar se a atualização é necessária e qual o canal para fazê-la;
• Não clique ou compartilhe links de procedência duvidosa.
Golpe do boleto falso
Há dois tipos de golpe do boleto falso. No primeiro, os golpistas tentam se passar por fornecedores ou empresas prestadoras de serviço enviando boletos falsos, cujo beneficiário será alguma conta ligada ao criminoso.
Assim como no golpe anterior, eles enviam e-mails idênticos aos originais, utilizando logo, cores e formatos das empresas, endereçado nominalmente para as pessoas que poderiam se tornar potencialmente uma vítima, como o responsável pelo departamento financeiro de uma empresa.
Outro tipo de fraude envolvendo boleto falso é o bolware, malware conhecido como vírus do boleto, ainda mais difícil de identificar. Pode ser baixado por meio de links, sites maliciosos, software piratas ou até mesmo invasão de rede.
Assim que instalado, o criminoso consegue acesso à máquina da vítima e detecta quando há a geração de um boleto. O malware consegue alterar os dados da linha digitável (que fica na primeira linha), trocando números para direcionar o pagamento para a conta dos criminosos.
Neste caso, alguns cuidados são essenciais para identificar um boleto falso:
• Verifique o valor, data de validade e nome do fornecedor;
• Confira se não há erros de ortografia;
• Verifique os 4 primeiros dígitos da última parte do código digitável (se forem 0, o boleto não tem data de validade);
• Se houver qualquer divergência ou qualquer dúvida, não baixe o arquivo e procure uma segunda via do boleto nos canais oficiais da empresa.
Golpe do QR Code Falso
No golpe do QR Code Falso, a digitalização do código em si não afeta o telefone, nem baixa malwares automaticamente em segundo plano, mas podem redirecionar o usuário a sites fraudulentos, projetados para obter contas bancárias, cartões de crédito ou outras informações pessoais.
Esse golpe também pode aparecer em forma de phishing, principalmente por e-mail. Ao receber faturas e cobranças, as vítimas podem se deparar com o QR Code como única forma de pagamento ou serem convidadas a receber um desconto, caso optem por essa maneira de transferir o dinheiro.
Alguns cuidados podem ser adotados com o uso do QR Code:
• Antes de efetuar o pagamento, sempre verificar as informações;
• Ao pagar a uma empresa com o uso do QR Code, confira o nome e os dados de quem vai receber o seu dinheiro. Se aparecer o nome de uma pessoa física, desconfie;
• Não confie em um código QR que foi supostamente enviado por e-mail por um amigo (cuja conta pode ter sido invadida) ou que apareceu em um texto, postagem online ou mensagem de alguma rede social;
• Em vez disso, use um navegador e visite um site usando um nome de domínio que você sabe que é legítimo;
• Existem aplicativos que permitem ao usuário analisar o link do QR Code para saber se ele é seguro ou malicioso.