Tecnoblog
Início » Antivírus e Segurança » Golpe que rouba senha do Nubank e Google pede selfie com RG

Golpe que rouba senha do Nubank e Google pede selfie com RG

Site falso do Nubank tenta roubar senha do Google e pede selfie com RG ou CNH; golpes também ocorrem no Facebook e Instagram

Os golpes envolvendo o Nubank vêm se proliferando no Facebook e Instagram, mas os criminosos ainda apostam em um meio mais tradicional: spam via SMS. Eu recebi uma mensagem para um site de phishing que tenta roubar senhas do Nubank e do Google; ele até pede uma selfie com RG ou CNH duas vezes.

Tudo começou com uma mensagem via SMS: “proprietario [meu número de celular] voce recebeu uma msg importante Nubank vizualize tinyurl.com/xxxxx”. Os erros de grafia e o link encurtado via TinyURL são suficientes para um usuário experiente saber que é golpe, mas resolvi morder a isca.

Site com golpe do Nubank tem cadeado de conexão segura

O link leva a uma página que imita a interface do Nubank, pedindo seu CPF e senha. O navegador mostra o cadeado indicando que a conexão é segura: o certificado é da CloudFlare, que oferece proteção SSL gratuita para sites hospedados no serviço.

Como dissemos antes, o cadeado não quer dizer que o site é seguro: ele significa apenas que as informações trafegarão criptografadas pela internet até chegarem ao seu destino — neste caso, o ponto final é um ladrão de dados.

É possível usar ferramentas online para gerar números válidos de CPF; isso serve para testar software em desenvolvimento ou para investigar golpes de phishing sem ceder dados pessoais. A página exige pelo menos 8 caracteres no campo de senha; depois, ela pede os quatro dígitos da senha do cartão.

A reviravolta, para mim, veio depois que o site pediu meu endereço de e-mail: ele me levou para uma página imitando o Google e solicitando a senha. O golpe dentro do golpe me deixou surpreso.

Site falso do Nubank pede selfie com RG ou CNH

Não parou por aí: a página dizia que meu dispositivo não estava autorizado, por isso tinha que enviar uma selfie com RG ou carteira de motorista (!). Eu acessei o site de phishing duas vezes: no celular, mandei foto da minha mesa; no desktop, enviei uma imagem do novo Xiaomi Mi 10 Pro.

Não importa qual imagem você envie, o site pedirá que você mande outra, dizendo: “a foto em que você deve segurar seu documento ao lado do seu rosto (selfie) deve ser tirada por você mesmo, sem cobrir o seu rosto com o documento”.

Novamente, mandei uma foto da minha mesa (no celular) e do Mi 10 Pro (no desktop). Nos dois casos, apareceu a mesma mensagem: “A sua solicitação do procedimento de verificação Nubank foi concluída com Sucesso”.

Nubank recomenda usar canais oficiais

Caso você suspeite de phishing, o Nubank faz esta sugestão em seu blog oficial: “entre em contato com a empresa pelos canais oficiais de atendimento ou acesse a página pelo seu navegador, e não pelo link enviado”.

A página do golpe tem domínio nubank.ibacesso[.]digital, registrado em dezembro de 2019. Como esse site parece ser novo, o Google Chrome ainda não avisa que é golpe: normalmente, o navegador exibe um alerta em vermelho nesses casos.

No Firefox, eu não consegui abrir a página. Recebi um erro 1020 de acesso negado com um aviso do Cloudflare: “este site está usando um serviço de segurança para se proteger contra ataques online”. É mole?

Comentários da Comunidade

Participe da discussão

Os mais notáveis

Comentários com a maior pontuação