Início » Antivírus e Segurança » Golpe que rouba senha do Nubank e Google pede selfie com RG

Golpe que rouba senha do Nubank e Google pede selfie com RG

Site falso do Nubank tenta roubar senha do Google e pede selfie com RG ou CNH; golpes também ocorrem no Facebook e Instagram

Felipe Ventura Por

Os golpes envolvendo o Nubank vêm se proliferando no Facebook e Instagram, mas os criminosos ainda apostam em um meio mais tradicional: spam via SMS. Eu recebi uma mensagem para um site de phishing que tenta roubar senhas do Nubank e do Google; ele até pede uma selfie com RG ou CNH duas vezes.

Nubank

Tudo começou com uma mensagem via SMS: “proprietario [meu número de celular] voce recebeu uma msg importante Nubank vizualize tinyurl.com/xxxxx”. Os erros de grafia e o link encurtado via TinyURL são suficientes para um usuário experiente saber que é golpe, mas resolvi morder a isca.

Site com golpe do Nubank tem cadeado de conexão segura

O link leva a uma página que imita a interface do Nubank, pedindo seu CPF e senha. O navegador mostra o cadeado indicando que a conexão é segura: o certificado é da CloudFlare, que oferece proteção SSL gratuita para sites hospedados no serviço.

Nubank

Como dissemos antes, o cadeado não quer dizer que o site é seguro: ele significa apenas que as informações trafegarão criptografadas pela internet até chegarem ao seu destino — neste caso, o ponto final é um ladrão de dados.

É possível usar ferramentas online para gerar números válidos de CPF; isso serve para testar software em desenvolvimento ou para investigar golpes de phishing sem ceder dados pessoais. A página exige pelo menos 8 caracteres no campo de senha; depois, ela pede os quatro dígitos da senha do cartão.

A reviravolta, para mim, veio depois que o site pediu meu endereço de e-mail: ele me levou para uma página imitando o Google e solicitando a senha. O golpe dentro do golpe me deixou surpreso.

Nubank

Site falso do Nubank pede selfie com RG ou CNH

Não parou por aí: a página dizia que meu dispositivo não estava autorizado, por isso tinha que enviar uma selfie com RG ou carteira de motorista (!). Eu acessei o site de phishing duas vezes: no celular, mandei foto da minha mesa; no desktop, enviei uma imagem do novo Xiaomi Mi 10 Pro.

Não importa qual imagem você envie, o site pedirá que você mande outra, dizendo: “a foto em que você deve segurar seu documento ao lado do seu rosto (selfie) deve ser tirada por você mesmo, sem cobrir o seu rosto com o documento”.

Novamente, mandei uma foto da minha mesa (no celular) e do Mi 10 Pro (no desktop). Nos dois casos, apareceu a mesma mensagem: “A sua solicitação do procedimento de verificação Nubank foi concluída com Sucesso”.

Nubank

Nubank recomenda usar canais oficiais

Caso você suspeite de phishing, o Nubank faz esta sugestão em seu blog oficial: “entre em contato com a empresa pelos canais oficiais de atendimento ou acesse a página pelo seu navegador, e não pelo link enviado”.

A página do golpe tem domínio nubank.ibacesso[.]digital, registrado em dezembro de 2019. Como esse site parece ser novo, o Google Chrome ainda não avisa que é golpe: normalmente, o navegador exibe um alerta em vermelho nesses casos.

No Firefox, eu não consegui abrir a página. Recebi um erro 1020 de acesso negado com um aviso do Cloudflare: “este site está usando um serviço de segurança para se proteger contra ataques online”. É mole?

Nubank

Comentários da Comunidade

Participe da discussão
10 usuários participando

Os mais notáveis

Comentários com a maior pontuação

Andre Kittler (@Andre_Kittler)
Site com golpe do Nubank tem cadeado de conexão segura

Bem feito a todos!
Já sabemos que “EssaSenhaAqui” é infinitamente superior a “[email protected]!” e mais fácil de decorar, mas imbecis mundo aforma por décadas insistiram na abobrinha.
Já sabemos que trocar senha mandatoriamente a cada x meses é desnecessário e apenas faz pessoas anoratem a merda da senha em post it, mas imbecis mundo aforma por décadas insistiram na abobrinha.
Hora de colocar certificado em tudo que é site. Pois “é seguro”. Se um blog estático, imutável, e apenas para consulta não tiver certificado… danger! danger!! Vamos avisar que é perigoso, vamos dificultar de achar no google.

O usuário não entende, não precisa entender, não VAI entender. Cabe a area técnica saber o que é melhor NO MUNDO REAL, não dentro do cérebro ideal que apenas um mané e seus colegas vivem.
Pois pelo contrário o resultado é esse.

Vítor Gomes (@vctgomes)

O q mais me deixa nervoso é que muito desses golpes se espalham pelo Facebook e Instagram. É muito, mas muito comum ver anúncios do gênero através das redes do Mark e até o momento, nunca vi nenhum problema para o Facebook.

Além disso, o Nubank deveria começar a notificar os seus clientes sobre esses golpes, que de alguns meses pra cá, aumentaram consideravelmente.

­Monika (@JustMonika)

Sempre bom lembrar da tirinha do XKCD : https://www.xkcd.com/936/

ADILSON JOSE NOGUEIRA (@ajnogueira)

O que mais me assusta não é o golpe e sim a quantidade de pessoas que ainda caem neste tipo de golpe…Fota RG com selfie é o cumulo do golpe falso…

Leandro Alves (@KILLME)

Trabalho com internet desde 2002 e pensava assim tbm, como as pessoas caem neste tipo de golpe.

Até que um dia recebi um e-mail falando que tinham invadido minha conta de um serviço e era para trocar a senha, entrei rapidamente pelo link, no desespero já estava começando a mudar a senha, quando parei e percebi que o site era um golpe.

Mesmo com muita experiência uma hora ou outra você será levado pela emoção e ficará cego em certas situações. O ser humano vai errar, pode não ser na mesma frequência de outras pessoas, mas essa hora chega.

ADILSON JOSE NOGUEIRA (@ajnogueira)

Exato !!! Por isso que assusta.

Lucas Blassioli (@olucaslab)

O que me irrita é que esses golpes tem anúncio no Instagram, Facebook e Twitter. Feito especialmente para as pessoas acreditarem em tudo.

­Monika (@JustMonika)

Mas o Nubank realmente pede uma foto assim…

@Rogerio.Neves

Sim. Ninguém escapa de um vacilo, por mais que conheça os golpes aplicados.