Está circulando uma nova campanha de smishing (ou seja, phishing disseminado através de mensagens SMS) que visa roubar dados bancários dos internautas brasileiros.
O golpe está ativo desde o início de dezembro de 2020 — sendo que a primeira detecção foi registrada no dia 06 de tal mês — e está ativa até agora, personificando o Banco do Brasil e usando como mote seu programa de fidelidade, o Livelo.
Como ele se propaga
O golpe se inicia com o recebimento de uma mensagem de texto, quase sempre de um número registrado em São Paulo capital (DDD 11). O golpista se passa pela instituição financeira e informa que o destinatário possui uma quantidade aleatória de pontos no programa Livelo (em nosso caso, mais de 230 mil pontos) que precisam ser resgatados o mais rápido possível, já que estariam próximos de seu vencimento.
SMS enviado pelo golpista que se passa pelo Banco do Brasil.
Ao clicar no link que acompanha o SMS, o internauta é direcionado para uma página bem simples, que nem sequer tenta reproduzir a identidade visual do Banco do Brasil ou do programa Livelo.
Analisando o golpe
É interessante ressaltar que os criminosos foram espertos o suficiente para programar a página falsa de forma que ela só possa ser aberta em dispositivos móveis; caso você copie o link e tente abri-lo em um desktop, não terá sucesso.
Prosseguindo com a análise da página falsa em si, os estelionatários tentam dar maior credibilidade ao golpe inserindo um texto que fala sobre consentimento para coleta de dados, fazendo parecer que você realmente está em um site legítimo.
Na primeira etapa, o smishing pede que você selecione uma dentre as opções “Pessoa Física” e “Pessoa Jurídica”.
Primeira etapa do golpe.
Em seguida, a página solicita os números de sua agência bancária e de sua conta corrente, tal como sua senha de oito dígitos. Examinando o código-fonte dessa etapa, é possível constatar que os criminosos simplesmente limitaram a quantidade e tipo de caracteres em cada campo de texto, não aceitando entradas com menos de quatro dígitos para a agência, quatro dígitos para a conta e oito dígitos para a senha.
Solicitação de informações bancárias.
Apesar disso, qualquer sequência numérica será aceita pelo site, visto que não há uma checagem em tempo real se os dados fornecidos são realmente válidos. Em seguida, o golpe requisita ainda seu número de celular e a sua senha de seis dígitos utilizada para realizar compras com o cartão de débito.
Solicitação do número de celular e senha de 6 dígitos.
Novamente, basta olhar o código-fonte para descobrir que qualquer sequência será aceita, desde que tenha a quantidade mínima de números estabelecida pelos fraudadores.
Por último, usando como desculpa um suposto erro de autenticação “com o servidor de seu cartão”, o golpe requisita a sua senha de letras, que é utilizada no Banco do Brasil para confirmar transações em caixas eletrônicos. Aqui, os formulários foram configurados para aceitar duas letras cada; combinações aleatórias como Aa, Bb e Cc serão aceitas como válidas pelo sistema fraudulento.
Solicitação da senha de letras.
Após colher todos esses dados bancários, a página parabeniza a vítima e garante que os pontos Livelo serão creditados em até 30 dias úteis. Há até mesmo um código de protocolo (falso, sendo reutilizado em todas as vezes que você preencher o formulário) e um script que puxa a data do dispositivo móvel para usar como “data da solicitação”.
O golpe é finalizado com o redirecionamento do usuário para o site legítimo da Livelo, que, no momento em que o golpe foi analisado, encontrava-se em manutenção. Tentei identificar o responsável pelo domínio usado para hospedar o formulário malicioso, porém, suas informações de registros estavam protegidas.
Riscos ao usuário
Esta campanha é um tanto similar àquela recentemente detectada personificando o banco Itaú; desta vez, porém, os criminosos resolveram se passar pelo Banco do Brasil e não se preocuparam em elaborar um site tão fiel à identidade visual da instituição.
Ainda assim, os riscos ao usuário final são altíssimos. Com tais dados em mãos, os criminosos são capazes de acessar sua conta bancária, transferindo valores pelo internet banking, sacando dinheiro vivo em caixas eletrônicos ou realizando compras com seu cartão de crédito e/ou débito.
Como se proteger
Eis algumas dicas básicas de segurança que devem ser seguidas para evitar não apenas este, mas qualquer outro golpe via SMS elaborado para roubar informações bancárias.
- Não confie em números pessoais: instituições financeiras e grandes empresas não utilizam números de telefone celular pessoais (compostos por DDD e nove dígitos) para enviar mensagens SMS. Elas empregam serviços específicos, que utilizam números com menos dígitos (geralmente, de três a seis). Sendo assim, desconfie caso receba um torpedo de um destinatário com tais características.
- Sempre cheque a URL: no caso, bastaria que o usuário prestasse atenção ao endereço do site para perceber o golpe, visto que o domínio em questão não tem absolutamente nenhuma semelhança com aqueles utilizados pelo Banco do Brasil e pelo Livelo.
- Não informe dados pessoais: a menos que você realmente esteja em seu internet banking ou em um caixa eletrônico, sua instituição bancária jamais lhe pedirá sua senha, seja ela numérica ou de letras.
- Mantenha seus softwares atualizados: muitas ameaças da web se aproveitam de falhas em aplicativos e sistemas operacionais; eis a importância de garantir que esses programas estejam sempre atualizados, com os mais recentes patches de segurança devidamente instalados.
- Use uma solução de segurança: contar com a ajuda de um aplicativo capaz de detectar esse tipo de ameaça e bloqueá-la da forma mais ágil possível é sempre uma recomendação importante.
Caso tenha alguma dúvida a respeito desta campanha maliciosa ou possua dúvidas sobre segurança pessoal na web, sinta-se convidado a interagir conosco no campo de comentários desta publicação.
Autor do post: Ramon de Souza - Escritor, jornalista especializado, palestrante e consultor em segurança da informação. Editor-chefe da The Hack, repórter do Canaltech e fundador da Tietê Security.
