Novo golpe induz vítima a enviar selfie segurando seu documento

Cibercriminosos estão se adaptando às práticas do mercado para aplicar novos golpes e conseguir informações pessoais da população.

Alguns bancos e serviços online de pagamento têm solicitado selfies dos clientes segurando um documento de identidade (RG ou CNH) para a abertura de conta bancária ou emissão de um cartão de crédito. O que era para ser uma forma descomplicada para autenticar a identidade dos clientes e evitar deslocamentos e filas de espera, acabou virando uma nova forma de enganar as pessoas.

Cirbercriminosos enviam e-mails de phishing se passando por um banco, empresa de pagamentos ou redes sociais. As mensagens pedem que, por medidas de segurança, os usuários confirmem sua identidade por meio de link. Ao clicar, a vítima é redirecionada à uma página de um formulário que solicita informações pessoais como endereço e número de telefone, além do upload de uma selfie com um documento de identidade oficial visível – até mesmo foto com cartão de crédito ou passaporte.

“Com os dados das vítimas em mãos, eles podem criar contras bancárias visando a troca de criptomoedas, por exemplo – que servirá para lavar dinheiro de suas atividades. Além disso, é importante frisar que uma selfie com um documento de identidade tem um valor muito alto no mercado negro em comparação com uma imagem digitalizada do mesmo documento”, explicou Fabio Assolini, analista sênior de segurança da Kaspersky, empresa produtora de softwares de segurança para a Internet.

Como se proteger

A Kaspersky divulgou uma lista de erros que os criminosos normalmente cometem para que os usuários se atentem e não sejam vítimas desses golpes. Confira:

• É muito provável que o texto do e-mail enviado, bem como as informações disponibilizadas no link tenha erros gramaticais, palavras omitidas e erros de ortografia.

• Os e-mails fraudulentos normalmente possuem endereços registrados em provedores gratuitos ou pertencem a empresas que não têm relação nenhuma com a mencionada no corpo da mensagem. Verifique de onde vem a mensagem e para onde o link leva.

• Embora o endereço do remetente pareça legítimo, é provável que o host do formulário de phishing esteja hospedado em um domínio mal-intencionado ou não relacionado. Às vezes, o endereço pode ser muito parecido (mas ainda assim existem diferenças); em outros, a diferença é notória.

• Muitas vezes, os autores desses e-mails tentam por todos os meios apressar o destinatário e, por exemplo, eles afirmam que o link expirará após 24 horas. Os cibercriminosos frequentemente recorrem a essa técnica já que a falsa sensação de urgência faz com que muitos usuários ajam sem pensar.

• Sempre verifique se já tiver fornecido pelo menos algumas das informações solicitadas – por exemplo, endereço de e-mail ou número de telefone. No caso dos bancos, sua identidade foi confirmada quando você abriu a conta. Então, por que você teria que verificá-la novamente sob o pretexto de uma “segurança adicional”?. Neste caso, é importante procurar informações no site oficial da empresa.

• Muitas soluções oferecem opções avançadas – incluindo de segurança – em troca de informações pessoais; mas na sua conta pessoal na web, não por e-mail. E, normalmente, é uma oferta que pode ser recusada. Porém, na forma em que o link de e-mail fraudulento é enviado, há apenas um botão como se sugerisse que não há outra opção além de enviar uma selfie. Em caso de dúvida, ligue para o atendimento ao cliente. Mas não use o número fornecido na mensagem: encontre-o no site oficial da empresa.