Não é de hoje que falamos para o nosso público sobre os perigos que alguns eventos sazonais trazem, e o fim de ano é um prato cheio para os cibercriminosos já que temos duas datas significativas e bastante próximas: a Black Friday, que foi amplamente adotada no Brasil, e o Natal.

Mesmo sendo bem diferente da Black Friday Americana, a proposta é a mesma: na última sexta-feira do mês de novembro, as lojas fazem grandes promoções de seus produtos para atrair mais clientes.

Sabendo disso, os criminosos preparam golpes específicos para essa época, procurando atrair as vítimas que estão atrás de ofertas imperdíveis. Os golpes têm certas semelhanças entre si, mas se observarmos atentamente será possível evitar essas ameaças.

Propagação

As ameaças relacionadas à Black Friday podem chegar até as vítimas de muitas formas, e não só por e-mail como muitos pensam. O phishing, nome dado ao golpe de engenharia social aplicado via e-mail é um meio bastante comum, mas existem diversas outras formas que os criminosos podem utilizar. São elas:

  • Spams e Phishing: mensagens recebidas por e-mail, sejam criadas para serem propagadas em larga escala ou de forma mais direcionada.
  • Malvertising: propagandas exibidas em sites, sejam eles legítimos ou não, que visam atrair a atenção das vítimas e redirecioná-las para páginas ou arquivos maliciosos.
  • Vishing: Ligações telefônicas que visam extrair informações ou fazer com que as vítimas sigam determinado procedimento.
  • SMShing/mensagens de texto: uma versão reduzida e muito eficiente do phishing. Através desse método, a vítima recebe um SMS ou mensagem de WhatsApp solicitando um acesso a um determinado link.

Veja também: Você sabe como evitar ataques de phishing?

Golpes

As formas com as quais os golpes se apresentam nos métodos de propagação descritos acima costumam ser bem variadas, mas o ponto em comum é que todas essas fraudes costumam trazer uma mensagem de urgência. Por se tratar da Black Friday, o mais comum é que a informação passada seja a de uma oferta imperdível. Um televisor 4k custando R$ 2 mil a menos, um notebook com 60% de desconto e outras ofertas que se fossem reais seriam um excelente negócio, mas abordagem não se atem apenas a ofertas, a urgência pode ser sobre uma dívida falsa que precisa ser regularizada ou uma excelente linha de crédito em algum banco. Tudo para atrair a atenção e chegar no ponto pretendido pelos criminosos: a interação com a ameaça.

Ameaças

Ao cair em um dos golpes citados acima, a vítima costuma ter dois principais resultados: uma página de cadastro ou um arquivo para download. Veja:

Página de Cadastro

Pode ser apresentada exatamente com a aparência de sites conhecidos, como Americanas e Submarino, ou simplesmente em uma página que esconda seu endereço, mas com o mesmo intuito, fazer com que as vítimas preencham seus dados pessoais e de cartões de crédito, onde uma vez armazenados ficam à disposição dos criminosos.

Fonte: ReclameAqui

Os dados mais solicitados são: usuário e senha de acesso ao site, endereço, telefone, e-mail, número do cartão, nome de exibição do cartão, data de validade e CVV, código validador - normalmente encontrado na parte de trás do cartão de crédito.

Em posse desses dados, o criminoso tem praticamente tudo sobre a vítima e pode realizar novos cadastros em lojas, efetuar compras em sites reais, alimentar bancos de dados de informações ou até mesmo vender esses dados para outros criminosos.

Arquivo para download

Apesar dos ataques que mais tenho visto serem os que possuem formulários de cadastro em sua composição, não é raro encontrar campanhas maliciosas que fornecem um arquivo para que a vítima realize o seu download.

Os pretextos também são diversos, uma falsa fatura que precisa ser paga, um documento que precisa ser preenchido para participar de uma promoção ou obter desconto, ou quaisquer outros argumentos convincentes que os criminosos usam para fazer com que a vítima baixe o arquivo.

O arquivo pode conter quaisquer tipos de ameaças, desde trojans destinados ao monitoramento do equipamento das vítimas até ransomwares.

Proteções

Para que você possa aproveitar a Black Friday sem transtornos, separamos algumas dicas de segurança que podem te ajudar a estar protegido dos cibercriminosos:

  • Desconfie de promoções via WhatsApp: as empresas que disponibilizam atendimento via aplicativo, fazem isso mediante solicitação dos clientes, como é o caso das empresas que possuem atendimento automático via WhatsApp. Se um número de telefone enviar uma mensagem com alguma promoção ou solicitando que algum site seja acessado, é melhor ficar atento, pois pode ser um golpe.
  • Proteja seus dispositivos: smartphones, tablets e computadores devem ter um antivírus de confiança instalado e atualizado em cada um deles, boa parte do que usamos hoje passa tanto pelos computadores quanto pelos smartphones, para que o ambiente se mantenha protegido todos devem usufruir de proteção.
  • Cuidado com anexos e links: não baixe anexos nem acesse links de origens desconhecidas. Caso alguém que você conheça lhe envie um link sem falar nada antes ou caso a mensagem pareça meio genérica, confirme com a pessoa a origem do link. Muitos golpes disfarçados de promoção exigem que as vítimas compartilhem o link malicioso com seus contatos em troca de um suposto desconto.
  • Sempre valide informações por meios oficiais da empresa: se você receber informações sobre promoções em seu e-mail, essa mesma informação deve estar disponível no site da empresa. Caso seja uma promoção destinada à um grupo específico de clientes dessa empresa, entre em contato por telefone, site ou e-mail para validar se as informações são realmente válidas.
  • Fique atento a ligações que solicitam dados: os golpes mais comuns aplicados por telefone são os do falso sequestro e de supostos atendentes que solicitam dados cadastrais. Recentemente, chegou até mim a informação sobre um golpe no qual a vítima recebe uma ligação se fazendo passar pela administradora de cartão de crédito - a pessoa ao telefone informa que fizeram compras indevidas no cartão da vítima e que para cancelar essas compras antes que a fatura seja paga, a vítima precisaria confirmar todos os dados do cartão. Empresas sérias que precisam fazer algum tipo de validação por telefone sempre fornecem uma parte da informação e pedem que o cliente informe apenas os dados que faltam. Por exemplo, o atendente informa que a data de nascimento do cliente é dia 31/10 e pede a confirmação do ano. Normalmente, os atendentes também solicitam dados como os cinco primeiros dígitos do CEP e pedem que o cliente informe os últimos três. As validações nunca devem ser feitas com RG, CPF, número de cartão ou quaisquer dados que sejam mais sensíveis.

Esperamos que as informações possam ser úteis para evitar esses tipos de golpes.

Caso tenha ficado com alguma dúvida ou queira enviar sugestões de temas relacionados à segurança da informação, utilize o espaço para comentários deste artigo logo abaixo.