Golpe das milhas usa SMS com link falso para roubar dinheiro de usuários

Ataque de phishing envolve mensagens disparadas em massa, engenharia social para apressar vítima e sites falsos que somem em questão de dias

Giovanni Santa Rosa
• Atualizado há 3 anos e 1 mês

Um SMS chega ao seu celular dizendo que uma quantidade enorme de milhas expira nos próximos dias. Para você resgatá-las, você deve clicar no link da mensagem e, lá, digitar dados do seu cartão de crédito. Só que o site é falso, e a mensagem, também. É golpe — e nós explicamos como ele é feito.

Milhas são a isca

Muita gente nem sabe direito o que o cartão oferece, os pontos costumam vencer mesmo, e bem, quem não quer aproveitar para conseguir alguma coisa que está ali disponível e prestes a se perder, não é mesmo?

Mensagem falsa alegando que o cliente tem pontos a vencer no Banco do Brasil
Mensagem falsa alegando que o cliente tem pontos a vencer no Banco do Brasil (Imagem: Reprodução/Tecnoblog)

As milhas só estão lá para isso mesmo: chamar a atenção. Apesar disso, o objetivo não é roubar seus pontos do cartão. “O que estes criminosos costumam fazer é utilizar estes golpes para terem acesso aos dados financeiros de suas vítimas e assim rentabilizar o ataque”, explica Daniel Barbosa, especialista em segurança da informação da ESET, ao Tecnoblog.

Como geralmente estão associadas a um cartão de crédito, é um jeito de chegar aos dados dele sem provocar grandes suspeitas.

Mensagem falsa sobre atualização cadastral
Mensagem falsa sobre atualização cadastral (Imagem: Reprodução/Tecnoblog)

Barbosa comenta que essa é só uma das formas de fisgar a vítima em potencial. “Os artifícios para isso são os mais variados. Por vezes são tópicos mais sazonais, como algum feriado religioso ou data comemorativa, mas existem também os golpes que abordam temas mais constantes como vacinas de COVID, promoções de lojas, atualizações cadastrais e claro, milhas.”

E por falar em vacina, a ESET diz ter registrado um aumento significativo de ataques de phishing na pandemia.

Sem tempo para pensar

Um ponto em comum a muitas dessas mensagens é fingir urgência — lembra que o SMS dizia que as milhas venceriam em poucos dias, amanhã ou até hoje mesmo? Isso faz parte do truque: não dar tempo para a vítima pensar.

Mensagem falsa alega que pontos do Itaú vencem na semana seguinte
Mensagem falsa alega que pontos do Itaú vencem na semana seguinte (Imagem: Reprodução/Tecnoblog)

“Essa técnica de pressionar as vítimas com a sensação de urgência infelizmente funciona muito pois mexe com características psicológicas do ser humano”, comenta o especialista.

Apressar o alvo não é a única maneira de forçar a fazer o que o criminoso quer. “Existem diversas outras formas, como se fazer passar por uma empresa ou pessoa que a vítima confie, induzir a vítima a acreditar que ela fez algo errado ou despertar a curiosidade sobre determinado tema.”

Quanto mais alvos, melhor

Talvez você pense que esses golpes são muito desleixados. Afinal de contas, você nunca vai clicar em um link se não tem conta no banco X, o cartão Y ou o programa de milhas Z mencionados no SMS.

A questão aqui é a escala: é mais fácil enviar a mesma mensagem para o maior número de pessoas possível, sem tentar filtrar quem é cliente de cada empresa. E essa estratégia é também mais eficaz para os aproveitadores.

“Muitos ataques são realizados em larga escala para aumentar as chances dos criminosos fazerem novas vítimas, e eles sabem que muitas vítimas caem nesses golpes, mesmo sem serem clientes das empresas que os criminosos fingem ser”, explica Barbosa.

Vida curta

O Tecnoblog coletou alguns prints de mensagens desse tipo recebidas em diferentes datas. Os sites falsos usam nomes de empresas e programas — “livelo”, “bb”, “itau”, “pontos”, “resgate” e por aí vai — e combinam os termos para parecer que são sites reais.

Site falso do Banco do Brasil e do Smiles pede dados de cartão de crédito
Site falso do Banco do Brasil e do Smiles pede dados de cartão de crédito (Imagem: Reprodução/Twitter)

Acessar essas páginas, porém, é mais difícil: praticamente todas já saíram do ar. Serviços como o Wayback Machine, que registra um histórico dos sites, também não guardaram cópia. Segundo a ESET, isso pode ser uma ação dos provedores, mas também faz parte do modus operandi dos criminosos.

“Boa parte das campanhas não chega nem a durar semanas, algumas delas ficam no ar apenas por algumas horas, e ainda assim este tempo é o suficiente para que vítimas caiam no golpe”, diz o especialista da ESET.

Dicas para não cair no golpe das milhas (e em outros)

Barbosa lista uma série de comportamentos e atitudes que ajudam a evitar que você, em um momento de descuido, se torne mais uma vítima.

A primeira é não seguir os procedimentos indicados na mensagem. O especialista lembra que empresas de verdade geralmente não mandam clicar no link, mas sim procurar seus canais oficiais de atendimento, como telefone, site e apps.

Depois, vale a pena desconfiar. Golpistas vão fazer de tudo para chamar sua atenção e forçar você a agir rápido: milhas que expiram logo, dívidas altas no seu nome e necessidades imediatas de atualizações cadastrais são algumas das formas de fazer você agir logo e cair na armadilha.

A regra é pensar duas vezes até se a instrução vier de um amigo ou familiar. “Muitos golpes instruem as vítimas a repassar links pelo WhatsApp/e-mail, portanto desconfie mesmo que receba algo de pessoas conhecidas.”

Outras soluções incluem ter um antivírus atualizado, que pode ajudar a detectar atividades suspeitas nos seus aparelhos, e ficar por dentro das notícias sobre os golpes mais recentes que vem sendo aplicados.

Leia | O que é pharming?

Relacionados

Escrito por

Giovanni Santa Rosa

Giovanni Santa Rosa

Repórter

Giovanni Santa Rosa é formado em jornalismo pela ECA-USP e cobre ciência e tecnologia desde 2012. Foi editor-assistente do Gizmodo Brasil e escreveu para o UOL Tilt e para o Jornal da USP. Cobriu o Snapdragon Tech Summit, em Maui (EUA), o Fórum Internacional de Software Livre, em Porto Alegre (RS), e a Campus Party, em São Paulo (SP). Atualmente, é autor no Tecnoblog.