Nas últimas semanas, empresas de segurança eletrônica notaram um crescimento nos golpes que circular por meios como WhtsApp, e-mail e redes sociais. De acordo com as companhias especializadas em proteção online Check Point, Kaspersky, ESET e FS Security, o distanciamento social e a pandemia viraram iscas para atrair vítimas.
Leia mais:
Insônia, raiva, ansiedade? Conheça sites que ajudam a lidar com emoções difíceis
10 podcasts para estimular o autoconhecimento
5 aplicativos de meditação para você começar agora a ter uma vida mais zen
O 33Giga reuniu os principais golpes que circulam pela internet. Veja a seguir e se proteja.
Vacina
Com a corrida pela vacina do coronavírus, uma praga se disseminou por email, de acordo com a Check Point. Os cibercriminosos estão se aproveitado dos últimos avanços das pesquisas para lançar uma campanha de malspam, cujo assunto da mensagem é “CARTA DE INFORMAÇÃO URGENTE: COVID-19 NOVAS VACINAS APROVADAS”.
Esses e-mails contam ainda com arquivos Excel anexados que, ao serem baixados, instalam um software malicioso capaz de capturar informações como dados de acesso, nomes do usuário e suas respectivas senhas.
Seguindo a mesma lógica, detectou-se ainda uma campanha de phishing que enviava e-mails intitulados “O esforço pela vacina contra o Coronavírus no Reino Unido se desenvolve inadequadamente, provocando consequências de maior gravidade aos pacientes”. Esta corrente de e-mails continha um link malicioso, agora já desativado segundo os pesquisadores da Check Point, o qual direcionava os usuários a um site falso de uma farmacêutica canadense.
Quer ficar por dentro do mundo da tecnologia e ainda baixar gratuitamente nosso e-book Manual de Segurança na Internet? Clique aqui e assine a newsletter do 33Giga
INSS
O INSS anunciou 500 mil beneficiários participarão do projeto-piloto de prova de vida por biometria facial. Esse é um procedimento obrigatório para que os segurados comprovem que estão vivos e dá mais segurança não só ao próprio, mas também ao Estado brasileiro evitando fraudes e pagamentos indevidos de benefícios.
A prova de vida será feita por reconhecimento facial com o uso da câmera do celular, por meio do aplicativo do Meu INSS e do aplicativo do Governo Digital (Meu gov.br), que vai indicar se aquela é a pessoa cujo CPF foi informado no cadastro do INSS. Com a tecnologia mais uma vez possibilitando desburocratizar a necessidade de uma comprovação presencial, vem também a oportunidade para que ladrões cibernéticos enxerguem um novo caminho para aplicarem os seus golpes.
“Esse é um projeto ainda em teste e é fundamental que as pessoas fiquem muito atentas se estão acessando o aplicativo correto e que mantenham o seu celular protegido de ataques, já que será necessário o uso da câmera”, indica Marcus Garcia, vice-presidente de produtos da FS Security, empresa líder em tecnologia e soluções digitais com expertise no desenvolvimento de aplicativos de segurança.
“Principalmente agora, no início, poderão surgir muitas mensagens pedindo para clicar em links que podem te direcionar para um aplicativo falso e que seja muito parecido com o verdadeiro. É fundamental que a pessoa faça esses downloads somente da fonte oficial. Se ficar na dúvida quando estiver na loja digital, sugiro que vá no site do INSS e faça todo esse caminho por lá. Pode ser mais demorado, mas será mais seguro”, diz Marcus. “Caso a pessoa tenha dificuldades no processo, é importante que alguém de confiança a auxilie neste acesso”, completa.
Dicas para se proteger
– Para evitar cair em fraudes, proteja celulares e tablets com soluções eficazes e que defendam principalmente a conexão. O antivírus ajuda, mas é preciso também ativar a VPN;
– Antivírus gratuito pode ser um começo, mas o usuário deve estar ciente de que este sofre menos atualização e não é tão completo quanto um produto pago;
– Cheque se as versões do software e o antivírus estão 100% atualizados tanto no celular quanto no computador;
– Muito cuidado no wi-fi público. Fora de casa, VPN sempre;
– Ative a confirmação em duas etapas do seu aplicativo de conversas;
– Baixe e instale em seus dispositivos, somente aplicativos de lojas autorizadas e oficiais. Foque sempre em fabricantes de confiança;
– Não ‘clicar em link’ ou preencher formulário que receber por e-mail, redes sociais ou aplicativos de mensagens;
– Se, mesmo assim, você clicou em um link e foi para alguma página, repare se tem algum erro de português ou palavras repetidas neste link. Pode ser um site falso;
– Não dissemine mensagens sobre doações, sorteios, compras, realização de exames em casa, entre outros. Principalmente se for para um site que você não conhece. Elas podem conter links maliciosos;
– Desconfie se uma pessoa conhecida enviar mensagens pedindo ajuda financeira ou com links suspeitos. Ela pode ter sido clonada e é o golpista que está do outro lado. Na dúvida, ligue para quem te mandou e confirme a veracidade.
Máquina de Nespresso
De acordo com a ESET, foi iniciada a circulação ativa via WhatsApp de uma nova versão de uma campanha fraudulenta já relatada em abril de 2019. A ameaça personifica a identidade da marca Nespresso para fazer as vítimas em potencial acreditarem que podem ganhar uma cafeteira se responderem a um questionário de três perguntas.
Se o usuário clicar no link da mensagem, ele será levado a uma suposta página de prêmios e promoções que possui um certificado SSL. No entanto, a URL do navegador não está relacionado a um site oficial da empresa.
Como em campanhas semelhantes, para que o usuário não tenha muito tempo para analisar as informações e seguir em frente, a quantidade de itens disponíveis – no caso, máquinas de café – para doar cai rapidamente a partir do momento em que o usuário acessa o link.
Concluída a pesquisa, a campanha segue com uma suposta validação das respostas e informa ao usuário que ele está em condições de receber o prêmio. Nesse caso, pede ao usuário que encaminhe a mensagem sobre a promoção falsa para um mínimo de 30 contatos do WhatsApp.
Uma vez que o estágio de distribuição da mensagem for concluído, será feita uma tentativa de instalar o adware no dispositivo da vítima para que ela receba notificações e anúncios do tipo PUSH (automático em uma base regular).
O engano não é concluído, mas o usuário é informado de que se qualifica para outro benefício. Desta vez, um computador MacBook de graça, com o mesmo procedimento de pesquisa, mas no final envolve mensagens SMS.
Esse engano busca se monetizar de forma muito mais ativa, pois quando a vítima chega à última resposta da pesquisa, o que ela realmente faz é se inscrever em serviços premium de mensagens SMS. Depois de responder a última pergunta, a opção de enviar a resposta via SMS para 13 números diferentes abre no telefone.
Fique esperto!
– É importante estar atento e aprender a reconhecer esses tipos de mensagens fraudulentas antes de clicar ou compartilhar. Recomenda-se revisar cuidadosamente o URL da mensagem ou fazer uma pesquisa na web para ver se há mais informações sobre a promoção.
– Desconfie de ofertas muito boas e que chegam por meios não oficiais. As empresas costumam divulgar ofertas e promoções por meio dos canais oficiais, seja no site ou nas redes sociais.
– Evite clicar em links suspeitos, mesmo que tenham sido enviados por alguém que você conhece. Esta campanha é distribuída graças ao fato de os próprios usuários compartilharem a mensagem com seus contatos.
– Instale uma solução de segurança em cada um dos dispositivos conectados à Internet que você utiliza, mantenha seus dispositivos atualizados e evite compartilhar informações, links ou arquivos sem ter certeza de sua origem.
Emprego fácil
Com a alta do índice de desemprego no Brasil – que atingiu 13,3% no segundo trimestre, de acordo com o IBGE –, a Kaspersky alerta sobre os cuidados para não cair em falsas ofertas de trabalho que circulam na internet. Desde 2019, a empresa de cibersegurança tem detectado um elevado número de e-mails spam que utilizam este tema como isca para roubar dados sigilosos das vítimas.
Um dos métodos mais usados são mensagens que levam os usuários a instalar trojans bancários em seus dispositivos. Uma vez ativados, esses malware capturam informações privadas e financeiras que permitem aos criminosos cometer diversas fraudes.
O analista sênior de segurança da Kaspersky, Fabio Assolini, ressalta que, neste momento de grande sensibilidade, os golpes utilizando a temática do emprego tendem a ser ainda mais frequentes. Segundo o especialista, os cibercriminosos brasileiros são conhecidos por adaptar rapidamente os seus ataques aos assuntos em alta no momento.
Como exemplo, ele lembra do crescimento dos ataques de phishing nas primeiras semanas de pandemia, que, em grande parte, aproveitavam-se do desespero da população para disseminar falsas ofertas de serviços e até mesmo de auxílios do governo.
“O contexto da pandemia trouxe duas situações favoráveis para o aumento deste golpe: mais pessoas estão à procura de emprego e os contatos estão sendo feitos quase sempre pela internet”, explica Assolini. As ferramentas de recrutamento online vêm ajudando muitas pessoas a se realocarem no mercado neste momento de crise. Porém, como tudo que permeia a comunicação na internet, exige maior atenção contra pessoas mal intencionadas.”
Evite ciladas
Para evitar cair em golpes como esses, o especialista da Kaspersky recomenda alguns cuidados na hora de lançar as candidaturas em rede:
– Preferencialmente, cadastre o seu currículo apenas em sites de recrutamento certificados e que sigam protocolos de privacidade, ou nos próprios canais de comunicação das empresas contratantes.
– Não forneça dados pessoais – como endereço, e-mail, telefone ou data de nascimento –em espaços públicos, como grupos abertos em redes sociais. Além de permitir que cibercriminosos utilizem essas informações para aplicar os seus golpes, pode levar o usuário a correr o risco de ter a sua identidade roubada.
– Caso deseje compartilhar o seu currículo em mídias digitais, aplique os filtros necessários para controlar quem pode acessá-lo. Inclua neste documento apenas dados pessoais básicos, e coloque como contato apenas e-mail e telefone profissionais, ou links para outros perfis em redes sociais. Assim, o candidato evita que os seus contatos particulares, endereço ou data de nascimento caiam em mãos erradas.
– Se receber ou encontrar uma vaga em qualquer outro canal (mídia social ou e-mail), antes de abrir ou baixar qualquer arquivo, pesquise a empresa e o recrutador com quem você tem contato para verificar se as informações fornecidas são verdadeiras.