Golpe das milhas usa SMS com link falso para roubar dinheiro de usuários
Ataque de phishing envolve mensagens disparadas em massa, engenharia social para apressar vítima e sites falsos que somem em questão de dias
Ataque de phishing envolve mensagens disparadas em massa, engenharia social para apressar vítima e sites falsos que somem em questão de dias
Um SMS chega ao seu celular dizendo que uma quantidade enorme de milhas expira nos próximos dias. Para você resgatá-las, você deve clicar no link da mensagem e, lá, digitar dados do seu cartão de crédito. Só que o site é falso, e a mensagem, também. É golpe — e nós explicamos como ele é feito.
Muita gente nem sabe direito o que o cartão oferece, os pontos costumam vencer mesmo, e bem, quem não quer aproveitar para conseguir alguma coisa que está ali disponível e prestes a se perder, não é mesmo?
As milhas só estão lá para isso mesmo: chamar a atenção. Apesar disso, o objetivo não é roubar seus pontos do cartão. “O que estes criminosos costumam fazer é utilizar estes golpes para terem acesso aos dados financeiros de suas vítimas e assim rentabilizar o ataque”, explica Daniel Barbosa, especialista em segurança da informação da ESET, ao Tecnoblog.
Como geralmente estão associadas a um cartão de crédito, é um jeito de chegar aos dados dele sem provocar grandes suspeitas.
Barbosa comenta que essa é só uma das formas de fisgar a vítima em potencial. “Os artifícios para isso são os mais variados. Por vezes são tópicos mais sazonais, como algum feriado religioso ou data comemorativa, mas existem também os golpes que abordam temas mais constantes como vacinas de COVID, promoções de lojas, atualizações cadastrais e claro, milhas.”
E por falar em vacina, a ESET diz ter registrado um aumento significativo de ataques de phishing na pandemia.
Um ponto em comum a muitas dessas mensagens é fingir urgência — lembra que o SMS dizia que as milhas venceriam em poucos dias, amanhã ou até hoje mesmo? Isso faz parte do truque: não dar tempo para a vítima pensar.
“Essa técnica de pressionar as vítimas com a sensação de urgência infelizmente funciona muito pois mexe com características psicológicas do ser humano”, comenta o especialista.
Apressar o alvo não é a única maneira de forçar a fazer o que o criminoso quer. “Existem diversas outras formas, como se fazer passar por uma empresa ou pessoa que a vítima confie, induzir a vítima a acreditar que ela fez algo errado ou despertar a curiosidade sobre determinado tema.”
Talvez você pense que esses golpes são muito desleixados. Afinal de contas, você nunca vai clicar em um link se não tem conta no banco X, o cartão Y ou o programa de milhas Z mencionados no SMS.
A questão aqui é a escala: é mais fácil enviar a mesma mensagem para o maior número de pessoas possível, sem tentar filtrar quem é cliente de cada empresa. E essa estratégia é também mais eficaz para os aproveitadores.
“Muitos ataques são realizados em larga escala para aumentar as chances dos criminosos fazerem novas vítimas, e eles sabem que muitas vítimas caem nesses golpes, mesmo sem serem clientes das empresas que os criminosos fingem ser”, explica Barbosa.
O Tecnoblog coletou alguns prints de mensagens desse tipo recebidas em diferentes datas. Os sites falsos usam nomes de empresas e programas — “livelo”, “bb”, “itau”, “pontos”, “resgate” e por aí vai — e combinam os termos para parecer que são sites reais.
Acessar essas páginas, porém, é mais difícil: praticamente todas já saíram do ar. Serviços como o Wayback Machine, que registra um histórico dos sites, também não guardaram cópia. Segundo a ESET, isso pode ser uma ação dos provedores, mas também faz parte do modus operandi dos criminosos.
“Boa parte das campanhas não chega nem a durar semanas, algumas delas ficam no ar apenas por algumas horas, e ainda assim este tempo é o suficiente para que vítimas caiam no golpe”, diz o especialista da ESET.
Barbosa lista uma série de comportamentos e atitudes que ajudam a evitar que você, em um momento de descuido, se torne mais uma vítima.
A primeira é não seguir os procedimentos indicados na mensagem. O especialista lembra que empresas de verdade geralmente não mandam clicar no link, mas sim procurar seus canais oficiais de atendimento, como telefone, site e apps.
Depois, vale a pena desconfiar. Golpistas vão fazer de tudo para chamar sua atenção e forçar você a agir rápido: milhas que expiram logo, dívidas altas no seu nome e necessidades imediatas de atualizações cadastrais são algumas das formas de fazer você agir logo e cair na armadilha.
A regra é pensar duas vezes até se a instrução vier de um amigo ou familiar. “Muitos golpes instruem as vítimas a repassar links pelo WhatsApp/e-mail, portanto desconfie mesmo que receba algo de pessoas conhecidas.”
Outras soluções incluem ter um antivírus atualizado, que pode ajudar a detectar atividades suspeitas nos seus aparelhos, e ficar por dentro das notícias sobre os golpes mais recentes que vem sendo aplicados.