|
Fraudes
Normalmente, não é uma tarefa simples atacar e fraudar dados em um
servidor de uma instituição bancária ou comercial. Então, atacantes têm
concentrado seus esforços na exploração de fragilidades dos usuários,
para realizar fraudes comerciais e bancárias através da Internet.
Para obter vantagens, os fraudadores têm utilizado amplamente
e-mails com discursos que, na maioria dos casos, envolvem
engenharia social e que tentam persuadir o usuário a fornecer seus dados
pessoais e financeiros. Em muitos casos, o usuário é induzido a instalar
algum código malicioso ou acessar uma página fraudulenta, para que dados
pessoais e sensíveis, como senhas bancárias e números de cartões de
crédito, possam ser furtados. Desta forma, é muito importante que
usuários de Internet tenham certos cuidados com os e-mails que
recebem e ao utilizarem serviços de comércio eletrônico ou Internet
Banking.
Sumário
Golpes (Scams)
Um dos fatos marcantes na história do spam tem sido sua
utilização para disseminação de golpes. Os
antigos, já praticados por meio de cartas ou
ligações telefônicas, migraram para a Internet,
propagados via spam. Um exemplo é o Golpe da Nigéria,
também conhecido como golpe do 419 ou do 171, os famosos
"contos do vigário".
Os golpes nigerianos são classificados como AFF
(advance fee fraud), ou seja, fraude da
antecipação de pagamentos. Utilizando engenharia social,
são elaboradas mensagens longas, contando histórias
mirabolantes e pedindo que o usuário envie determinada
quantidade de dinheiro, prometendo altas recompensas no futuro, quando
o objetivo colocado na história for concretizado. Esses
objetivos são tão diversos quanto a quantidade de golpes
nigerianos. Entre eles, o financiamento para a
construção de aeroportos na Nigéria, o resgate da
fortuna de um parente ex-ditador da Nigéria ou outro
país africano, e o resgate de um astronauta perdido numa base
espacial.
Ao responder a este tipo de mensagem e efetivar
o pagamento antecipado, você não só perderá o dinheiro investido, mas
também nunca verá os milhares ou milhões de dólares prometidos como
recompensa.
Normalmente, estas mensagens apresentam
quantias astronômicas e abusam da utilização de palavras capitalizadas
(todas as letras maiúsculas) para chamar a atenção do
usuário. Palavras como "URGENT" (urgente) e "CONFIDENTIAL"
(confidencial) também são comumente usadas no assunto da mensagem para
chamar a atenção do usuário.
Você deve se perguntar por que foi escolhido
para receber estes "milhares ou milhões" de dólares, entre os inúmeros
usuários que utilizam a Internet.
Phishing: situações em que pode ocorrer este tipo de fraude
Phishing, também conhecido como phishing scam ou
phishing/scam, foi um termo originalmente criado para descrever o
tipo de fraude que se dá através do envio de mensagem não solicitada,
que se passa por comunicação de uma instituição conhecida, como um
banco, empresa ou site popular, e que procura induzir o acesso a
páginas fraudulentas (falsificadas), projetadas para furtar dados
pessoais e financeiros de usuários.
A palavra phishing (de "fishing") vem de uma analogia
criada pelos fraudadores, onde "iscas" (e-mails) são usadas para
"pescar" senhas e dados financeiros de usuários da Internet.
Atualmente, este termo vêm sendo utilizado também para se referir aos
seguintes casos:
- mensagem que procura induzir o usuário à instalação de códigos
maliciosos, projetados para furtar dados pessoais e financeiros;
- mensagem que, no próprio conteúdo, apresenta formulários para o
preenchimento e envio de dados pessoais e financeiros de usuários.
Novas formas de phishing podem surgir, portanto é muito
importante que você se mantenha informado sobre os tipos de
phishing que vêm sendo utilizados pelos fraudadores, através
dos veículos de comunicação, como jornais, revistas e sites
especializados.
Também é muito importante que você, ao identificar um caso de fraude via
Internet, notifique a instituição envolvida, para que ela possa tomar as
providências cabíveis.
Mensagens que contêm links para programas maliciosos
Você recebe uma mensagem por e-mail ou via serviço de troca
instantânea de mensagens, onde o texto procura atrair sua atenção,
seja por curiosidade, por caridade, pela possibilidade de obter alguma
vantagem (normalmente financeira), entre outras. O texto da mensagem
também pode indicar que a não execução dos procedimentos descritos
acarretarão conseqüências mais sérias, como, por exemplo, a inclusão
do seu nome no SPC/SERASA, o cancelamento de um cadastro, da sua conta
bancária ou do seu cartão de crédito, etc. A mensagem, então, procura
induzí-lo a clicar em um link, para baixar e abrir/executar um
arquivo.
Alguns exemplos de temas e respectivas descrições dos textos encontrados
em mensagens deste tipo são apresentados na tabela 1.
Tabela 1: Exemplos de temas de mensagens de phishing.
Tema |
Texto da mensagem |
Cartões virtuais |
UOL, Voxcards, Humor Tadela, O Carteiro, Emotioncard, Criança Esperança, AACD/Teleton. |
SERASA e SPC |
débitos, restrições ou pendências financeiras. |
Serviços de governo eletrônico |
CPF/CNPJ pendente ou cancelado, Imposto de Renda (nova versão ou correção para o programa de declaração, consulta da restituição, dados incorretos ou incompletos na declaração), eleições (título eleitoral cancelado, simulação da urna eletrônica). |
Álbuns de fotos |
pessoa supostamente conhecida, celebridades, relacionado a algum fato noticiado (em jornais, revistas, televisão), traição, nudez ou pornografia, serviço de acompanhantes. |
Serviço de telefonia |
pendências de débito, aviso de bloqueio de serviços, detalhamento de fatura, créditos gratuitos para o celular. |
Antivírus |
a melhor opção do mercado, nova versão, atualização de vacinas, novas funcionalidades, eliminação de vírus do seu computador. |
Notícias/boatos |
fatos amplamente noticiados (ataques terroristas, tsunami, terremotos, etc), boatos envolvendo pessoas conhecidas (morte, acidentes ou outras situações chocantes). |
Reality shows |
BigBrother, Casa dos Artistas, etc -- fotos ou vídeos envolvendo cenas de nudez ou eróticas, discadores. |
Programas ou arquivos diversos |
novas versões de softwares, correções para o sistema operacional Windows, músicas, vídeos, jogos, acesso gratuito a canais de TV a cabo no computador, cadastro ou atualização de currículos, recorra das multas de trânsito. |
Pedidos |
orçamento, cotação de preços, lista de produtos. |
Discadores |
para conexão Internet gratuita, para acessar imagens ou vídeos restritos. |
Sites de comércio eletrônico |
atualização de cadastro, devolução de produtos, cobrança de débitos, confirmação de compra. |
Convites |
convites para participação em sites de relacionamento (como o orkut) e outros serviços gratuitos. |
Dinheiro fácil |
descubra como ganhar dinheiro na Internet. |
Promoções |
diversos. |
Prêmios |
loterias, instituições financeiras. |
Propaganda |
produtos, cursos, treinamentos, concursos. |
FEBRABAN |
cartilha de segurança, avisos de fraude. |
IBGE |
censo. |
|
Cabe ressaltar que a lista de temas na Tabela 1 não
é exaustiva, nem tampouco se aplica a todos os casos. Existem outros
temas e novos temas podem surgir.
Como o fraudador consegue acesso ao seu computador
Ao clicar no link de uma mensagem ou de um site que faz parte
de um esquema de fraude, será apresentada uma janela, solicitando que
você salve o arquivo. Depois de salvo, se você abrí-lo ou executá-lo,
será instalado um programa malicioso (malware) em seu
computador, por exemplo, um cavalo de tróia ou outro tipo de
spyware, projetado para furtar seus dados pessoais e
financeiros, como senhas bancárias ou números de cartões de crédito.
Caso o seu programa leitor de e-mails esteja configurado para
exibir mensagens em HTML, a janela solicitando que você salve o
arquivo poderá aparecer automaticamente, sem que você clique no
link.
Ainda existe a possibilidade do arquivo/programa malicioso ser baixado
e executado no computador automaticamente, ou seja, sem a sua
intervenção, caso seu programa leitor de e-mails ou ou seu
navegador possua vulnerabilidades.
Esse tipo de programa malicioso pode utilizar
diversas formas para furtar dados de um usuário, dentre elas: capturar
teclas digitadas no teclado; capturar a posição do cursor e a tela ou
regiões da tela, no momento em que o mouse é clicado; sobrepor
a janela do browser do usuário com uma janela falsa, onde os
dados serão inseridos; ou espionar o teclado do usuário através da
Webcam (caso o usuário a possua e ela esteja apontada para o
teclado). Mais detalhes sobre algumas destas técnicas podem ser obtidos na Cartilha de Segurança para Internet – Capítulo 4: Códigos Maliciosos (Malware), seção 4.4. Spyware.
Depois de capturados, seus dados pessoais e financeiros serão enviados
para os fraudadores. A partir daí, os fraudadores poderão realizar
diversas operações, incluindo a venda dos seus dados para terceiros, ou
utilização dos seus dados financeiros para efetuar pagamentos,
transferir valores para outras contas, etc.
Como identificar
Seguem algumas dicas para identificar este tipo de mensagem fraudulenta:
- leia atentamente a mensagem. Normalmente, ela conterá diversos
erros gramaticais e de ortografia;
- os fraudadores utilizam técnicas para ofuscar o real link
para o arquivo malicioso, apresentando o que parece ser um link
relacionado à instituição mencionada na mensagem. Ao passar o cursor
do mouse sobre o link, será possível ver o real endereço
do arquivo malicioso na barra de status do programa leitor de
e-mails, ou navegador, caso esteja atualizado e não possua
vulnerabilidades. Normalmente, este link será diferente do
apresentado na mensagem;
- qualquer extensão pode ser utilizada nos nomes dos arquivos
maliciosos, mas fique particularmente atento aos arquivos com
extensões ".exe", ".zip" e ".scr", pois estas são as mais utilizadas.
Outras extensões freqüentemente utilizadas por fraudadores são ".com",
".rar" e ".dll";
- fique atento às mensagens que solicitam a instalação/execução de
qualquer tipo de arquivo/programa;
- acesse a página da instituição que supostamente enviou a mensagem e procure por informações relacionadas com a mensagem que você recebeu. Em muitos
casos, você vai
observar que não é política da instituição enviar e-mails
para usuários da Internet, de forma indiscriminada,
principalmente contendo arquivos anexados.
Recomendações
- no caso de mensagem recebida por e-mail, o remetente
nunca deve ser utilizado como parâmetro para atestar a
veracidade de uma mensagem, pois pode ser facilmente forjado pelos
fraudadores;
- se você ainda tiver alguma dúvida e acreditar que a mensagem pode
ser verdadeira, entre em contato com a instituição para certificar-se
sobre o caso, antes de enviar qualquer dado, principalmente
informações sensíveis, como senhas e números de cartões de crédito.
Mais informações sobre golpes e fraudes na Internet podem ser encontradas na Cartilha de Segurança para Internet – Capítulo 2: Golpes na Internet.
|
|