Grupo faz roubo milionário usando senhas e QR Code de banco
Criminosos roubavam senhas e dados bancários de clientes, e usavam engenharia social para obter QR Code de token no celular
O MPDFT (Ministério Público do Distrito Federal e Territórios) denunciou à Justiça 22 integrantes de uma quadrilha que roubava dados bancários de clientes e usava engenharia social para convencer as vítimas a enviar um QR Code que permite realizar transações no smartphone. O prejuízo foi de R$ 1,1 milhão só no DF.
- Por que Warsaw, plugin de segurança de bancos, bloqueia sites
- Como reforçar a segurança da verificação em duas etapas
Os indivíduos são acusados de crimes como furto mediante fraude, lavagem de dinheiro e invasão de dispositivo. A denúncia foi feita pelo Ncyber (Núcleo Especial de Combate a Crimes Cibernéticos), ligado ao MPDFT, e partiu da Operação XCoderX deflagrada pela Polícia Civil do DF em fevereiro.
A quadrilha atuava no Distrito Federal, Paraíba, Santa Catarina e São Paulo, de acordo com o Ministério Público, e era dividida em células:
- alguns dos integrantes ficavam encarregados de obter dados de contas bancárias — incluindo saldo, limites de empréstimo e senha de acesso — com a ajuda de programadores que desenvolviam malware;
- outros membros do grupo faziam a engenharia social, fingindo serem funcionários do banco e alegando a necessidade de realizar operações de segurança;
- além disso, algumas pessoas emprestavam as próprias contas bancárias para receber o dinheiro roubado das vítimas; elas ganhavam uma comissão, ficando com parte do valor.
Quadrilha usava spoofing e roubava QR Code
O delegado Giancarlos Zuliani, da Polícia Civil do DF, explica em comunicado que os criminosos usavam spoofing para exibir o número de “um banco tradicional do Distrito Federal” no celular das vítimas durante as chamadas telefônicas. O nome da instituição financeira não foi revelado.
“Durante as ligações, os criminosos se passavam por funcionários do banco e questionavam as vítimas sobre transações bancárias suspeitas”, disse Zuliani. Elas “acabavam digitando os números de suas contas e as senhas no teclado de seus telefones, sendo que tais dados eram capturados pelos criminosos”.
O golpe ia além: as vítimas eram orientadas a irem até um caixa eletrônico para gerar um QR Code e enviá-lo por WhatsApp. Alguns bancos exigem que você use esse código para validar o token de acesso no smartphone. Os criminosos já tinham o número da conta e a senha; com mais essa informação, eles eram capazes de fazer transferências através do app para celular.
“Nesta etapa, a organização criminosa simulava o protocolo de atendimento telefônico da instituição, inclusive, com o uso do número oficial utilizado pelo banco para contato com seus correntistas”, diz Leonardo Otreira, promotor de Justiça e coordenador do Ncyber, em comunicado.
A Polícia Civil identificou 37 vítimas no Distrito Federal, com prejuízo estimado em R$ 1,1 milhão. Como o golpe afetou pessoas em outros estados, o valor total certamente é maior. Por exemplo, uma das contas usadas para receber dinheiro das vítimas movimentou mais de R$ 6 milhões.
Os criminosos faziam transferências fracionadas para diversas contas, a fim de dificultar a descoberta; e usavam uma gráfica e uma loja de vidros para justificar a origem do dinheiro.
![Como funciona o roubo de WhatsApp por QR Code [QRLJacking]](https://files.tecnoblog.net/wp-content/uploads/2019/07/social-media-2786261_1280-340x191.jpg)
![O que é e como usar o iCloud Keychain [Chaves]](https://files.tecnoblog.net/wp-content/uploads/2020/04/icloud-keychain-340x191.jpg)
