Contas inativas do FGTS e afins continuam sendo utilizadas para fazer novas vítimas. Já alertamos a respeito de phishing com supostos calendários de saque do FGTS, que foram lançados antes mesmo do calendário. Agora, com a divulgação oficial e tanta procura sobre o tema, a tendência é que os golpes sejam intensificados.

Página falsa sobre o pré-cadastro de conta do FGTS

Com base em notícias reais divulgadas no portal G1 e no Jornal Hoje, cibercriminosos montaram um site falso que se passa pela Caixa Econômica Federal, com links para páginas falsas da Caixa e de outros bancos. Veja a lista de bancos afetados:

  • Caixa Econômica Federal
  • Banco do Brasil
  • Bradesco
  • Santander
  • Itaú

A página falsa tenta se passar por um comunicado da Caixa Econômica Federal, responsável por administrar o FGTS. Ao entrar na página, um vídeo de uma matéria do Jornal Hoje é automaticamente reproduzido. Além disso, há trechos de notícias retiradas do G1 informando que os trabalhadores poderão transferir o saldo de contas inativas do FGTS para contas correntes ou poupança de qualquer banco.

page

A matéria é verdadeira, no entanto, logo abaixo das notícias, a página apresenta opções para a realização de um pré-cadastro para o recebimento do FGTS inativo, o que é falso.

FGTS (2)

Cada um dos ícones contêm um link que leva a uma página falsa correspondente a cada um dos bancos. Esses sites ilegítimos servem justamente para capturar as credenciais bancárias daqueles que tentarem se logar (acreditando ser um passo necessário para o pré-cadastramento a fim de realizar a transferência do FGTS inativo).

FGTS (3)

Uma decisão interessante dos cibercriminosos que montaram essa página, foi a utilização de links encurtados que redirecionam as vítimas para os sites falsos.

Provavelmente a motivação de utilizar links encurtados é o fato de ser possível acompanhar o número de cliques obtidos em cada uma das páginas. No entanto, essa opção permitiu estancar o golpe de uma forma muito mais fácil, após terem reportado ao bitly (plataforma utilizada para encurtar os links) que o conteúdo das páginas apontadas pelos links era malicioso.FGTS

Malware continuam se passando por cronograma de saque do FGTS

Recentemente vimos outro malware detectado pela ESET como VBS/DNSChanger.AA, sendo distribuído de forma comprimida sob o nome de “Cronograma_do_saque_do_FGTS_disponível.rar”.

FGTS (6)

O malware consiste em um script simples para mudar a configuração de DNS do computador. Dessa forma, toda vez que a vítima faz uma requisição para alguma página, o servidor DNS malicioso pode redirecioná-la às páginas falsas (de bancos ou redes sociais, por exemplo) a fim de obter alguma vantagem ou causar dano.

DNS Changer

No exemplo da figura acima, há dois cenários no qual o usuário deseja acessar o site em www.banco.com.br (exemplo fictício). Quando o usuário informa a URL do site que deseja acessar, o navegador fica incumbido da tarefa de encontrar o IP onde a página está hospedada. Para isso, seu navegador realiza consultas no servidor DNS que foi configurado em seu computador.

Na parte superior, representa-se o caso em que seu computador foi comprometido por um malware do tipo DNSChanger. Ao consultar o DNS (malicioso) sobre o IP de www.banco.com.br, ao invés de receber o IP correto como resposta, outro IP é respondido no lugar, fazendo com que a conexão seja estabelecida com a página falsa.

 

Mantenha-se seguro!

Vimos como o calendário de saque do FGTS vem sendo utilizado como isca para convencer as pessoas a abrirem arquivos (que na verdade são malware) em suas máquinas, ou acessarem páginas falsas que tentam roubar credenciais bancárias. Essa não é a primeira vez e não será a última que cibercriminosos se valem de temas de grande interesse para lançarem campanhas maliciosas.

Portanto, para manter-se seguro é importante sempre estar atento ao navegar pela Internet. E quando se está lidando com temas com grande potencial de interesse das pessoas, o cuidado deve ser redobrado.

E como aplicar esses cuidados no dia a dia? Algumas alternativas (não mutuamente excludentes) envolvem acompanhar as notícias e alertas relacionadas a segurança da informação, mais do que não clicar em links estranhos, reportar sempre que possível para ajudar a combater essas atividades maliciosas na Internet; nesse caso, vimos como reportar para o bitly foi importante para conter os acessos às páginas falsas dos bancos, informar parentes e amigos sempre que verificar algo que possa ajudá-los a navegar na Internet com mais segurança, além de muitas outras ações que contribuem para a segurança de todos na Internet.

Além desses cuidados, é sempre bom contar com outras camadas de proteção que ajudem a prevenir que algum tipo de malware comprometa o seu computador (ou mesmo dispositivo móvel) e que permitam navegar com segurança pela Internet.

Ameaças como o comunicado falso do FGTS que abordamos neste post, não buscam instalar nada no computador das vítimas, mas sim atraí-las a sites falsos, onde os cibercriminosos roubam seus dados de acesso bancário. Ou seja, são ameaças que podem fazer vítimas em qualquer plataforma com acesso à internet e têm um enorme potencial de dano às vítimas. Utilizar soluções antimalware, principalmente quando dispõem de proteção contra phishing, certamente pode ajudar a evitar muitos problemas na Internet.