A engenharia social sem dúvida é um dos métodos mais eficazes para os cibercriminosos obterem lucro com a manipulação dos usuários desprevenidos para que executem algum código malicioso. Ou ainda, como no caso que iremos abordar neste post, que entreguem todas as informações de seu cartão de crédito, como seu número completo, data de expiração, código de segurança, nome e sobrenome do titular e número de CPF.
Mediante a falsa promessa sobre um concurso associado à marca do cartão de crédito, os criminosos atraem a vítima em potencial para que entregue as informações citadas anteriormente, tudo através de três passos para não levantar suspeitas. Primeiramente, solicitam os primeiros seis dígitos do cartão de crédito. Em seguida, os outros dígitos restantes e mais dados como data de expiração e código de segurança. Finalmente, a vítima é levada a inserir seu CPF. Uma vez completadas as etapas da fraude, o usuário recebe uma confirmação de registro para o suposto concurso, incluindo um número falso como forma de passar ideia de legitimidade ao processo.
A seguir, mostramos as três etapas em que é solicitado ao usuário que insira seus dados e a quarta que afirma que o registro foi realizado com sucesso:
Ainda que para muitos usuários mais bem informados e precavidos este tipo de phishing, em que se solicita uma grande quantidade de informação sensível de forma tão direta, possa parecer absurdo, fraudes similares aparecem diariamente. Isso indica que a prática continua sendo uma tática bem sucedida, considerado que, geralmente, esse tipo de e-mail é propagado massivamente para aumentar a probabilidade de que vários usuários se tornem vítimas.
Se algum usuário chega a entregar informações bancárias sensíveis como dados de cartão de crédito, credenciais de acesso para trâmites financeiros, entre outros dados, ele deve contatar sua instituição financeira imediatamente para bloquear o cartão e mudar as senhas. Uma forma simples de prevenir ataques de phishing como este é lembrar-se que jamais um banco ou instituição séria irá pedir informações comprometedoras através de e-mail, redes sociais ou qualquer meio similar, não importa o motivo alegado. Geralmente os criminosos virtuais recorrem à tática do scareware, ou seja, amedrontam o usuário para que ele entregue informações que não entregaria de outra maneira, ou ainda oferecem prêmios ou algo tentador em troca. Com base nisso, é imprescindível acessar o site do banco escrevendo o endereço correto diretamente na barra de navegação, e não seguir links.
Por outro lado, uma conduta precavida e informada somada à implementação de uma solução antivírus com capacidade de detecção proativa diminuirá consideravelmente o risco de que uma pessoa seja afetada por alguma ameaça digital.
André Goujon
Especialista de Awareness & Research