Mercado fechado

Golpe no Nubank era divulgado em anúncios do Instagram

Felipe Demartini

Um novo golpe de phising contra usuários do Nubank foi divulgado ao longo da última semana por meio do sistema de anúncios do Instagram. Em meio aos Stories da rede social, propagandas de uma falsa promoção usando o nome do banco poderiam surgir, prometendo 35% de desconto em postos de gasolina em troca de um cadastro voltado, na realidade, para roubar dados pessoais, a senha do cartão de crédito e também credenciais de acesso a serviços de e-mail.

Assim que clicava no anúncio, o usuário era levado a uma página na qual deveria incluir CPF e senha, em um ambiente que tenta simular a tela do aplicativo do Nubank. Toda a fraude, aliás, tenta passar uma aparência de legitimidade ao copiar o estilo visual da fintech, o que inclui também as artes da suposta promoção “Eu fecho com tecnologia”, que não existe oficialmente.

Golpistas inseriram falsa promoção em anúncios exibidos entre Stories do Instagram, levando usuários a sites que simulava aparência oficial do Nubank (Imagem: Reprodução/Alef de Lima)

A inserção de dados falsos permitia acesso às páginas seguintes do golpe, com as informações sendo catalogadas e ficando à disposição dos criminosos. Após a inserção do CPF e credencial de acesso ao aplicativo do Nubank, também eram solicitados da possível vítima a senha do cartão e também uma sincronização com uma conta de e-mail, cujas credenciais também eram catalogadas.

Aqui, vale a pena citar um toque arrojado aplicado no golpe, já que a interface de suporta sincronização com um endereço de e-mail também passava a assumir o estilo do serviço usado pela vítima. Erros de português indicavam que tudo não passava de um golpe, além da URL falsa, é claro, mas para indivíduos com pouco conhecimento, tais páginas poderiam muito bem se passar como verdadeiras.

Todas as páginas estavam hospedadas no GoDaddy, assim como a URL da fraude, também registrada junto ao serviço de domínios da empresa. O conjunto foi retirado do ar na última quinta-feira (30), enquanto o perfil utilizado para divulgar a falsa promoção no Instagram não pode mais ser encontrado, um indicativo de que ele, também, foi bloqueado. Não se sabe, entretanto, por quanto tempo o esquema esteve ativo e o número de vítimas.

Como parte do golpe, bandidos também tentavam roubar credenciais de acesso a e-mails indicando a necessidade de integração entre contas (Imagem: Reprodução/Alef de Lima)

Em comunicado enviado ao Canaltech, o Nubank afirmou manter um monitoramento constante de tentativas de golpe como estas, além de contar com um time de segurança focado em tratar e prevenir esse tipo de ação. A fintech afirmou, ainda, que colabora com as autoridades no combate aos crimes de phishing e recomenda que os usuários não cliquem em links suspeitos nem forneçam dados pessoais fora dos ambientes oficiais da instituição.

Apoio dos usuários

Na declaração, o Nubank pede ainda que os clientes que visualizarem tentativas de phishing como a relatada nesta reportagem reportem a situação à empresa para que as medidas devidas possam ser tomadas e o conteúdo redirecionado para o time de especialistas. A abordagem é a mesma utilizada pelo Instagram, que, em contato com o Canaltech, também afirmou contar com o suporte dos utilizadores como forma de coibir crimes que usem a rede social como vetor.

Comentando o caso, a empresa afirmou que atividades fraudulentas violam suas políticas e que um conjunto de sistemas automatizados ajuda a identificar contas suspeitas, bem como remover infrações que sejam identificadas. A plataforma ressalta ainda que, por meio da opção “...”, localizada na parte inferior direita da tela de visualização dos Stories, é possível acessar a opção de denúncia, que marca conteúdos irregulares para análise e remoção pela companhia.

Cuidado redobrado

De acordo com especialista da Kaspersky, golpes que usam sistemas de anúncios não são novidade, mas podem ser detectados com observações simples

O trabalho dos golpistas em dar aparência de legitimidade ao golpe dificulta sua identificação como tal, mas, mesmo assim, era possível identificar a fraude por meio de algumas observações simples. O Instagram também compartilhou um guia de melhores práticas para que os usuários da plataforma não sejam vítimas de fraudes que possam aparecer na plataforma, seja por meio de publicações comuns ou Stories.

Observar a identidade de quem está compartilhando o conteúdo, indica a empresa, é o melhor caminho para separar informações reais das falsas. Selos de verificação azuis, por exemplo, indicam que uma conta foi verificada e efetivamente pertence à companhia ou figura pública indicada. Datas de criação de perfis, contas que se dizem oficiais, mas têm poucas postagens e comentários, por outro lado, são sinal de perigo.

O Instagram aponta ainda para alguns comportamentos comuns de golpistas, como a exigência de seguir ou compartilhar conteúdos para participar de promoções ou o encaminhamento de usuários para sites externos. Era exatamente o caso da fraude citada aqui, com os anúncios publicados na rede social servindo apenas como isca para levar as possíveis vítimas diretamente ao ambiente do golpe.

Thiago Marques, analista de segurança da Kaspersky, explica que tentativas desse tipo nem mesmo são inéditas e já haviam sido analisadas pela empresa antes, usando também plataformas como Facebook e Google como vetor: “A busca por informações oficiais é o melhor caminho para se proteger, já que os sistemas de anúncios nem sempre conseguem coibir essas fraudes”.

Para as vítimas, recomendações envolvem trocar senhas de acesso ao banco, e-mail e outros serviços, além de prestar atenção em faturas em busca de movimentações suspeitas

O ideal, sempre, é desconfiar de ofertas mirabolantes ou que pareçam boas demais para serem verdade — normalmente, elas não são. “Desconfiar desde o início é sempre o ideal”, aponta Marques, que aconselha o acesso ao site oficial do banco ou empresa para verificação sobre a veracidade da promoção. “Uma pesquisa pode resolver, já que, muitas vezes, essas oportunidades só existem nos anúncios.”

Observar o domínio oficial do serviço e o comparar com a URL usada para cadastros e coleta de dados pessoais também é um bom caminho para descobrir fraudes. Por outro lado, o especialista pede atenção nesse ponto, já que golpistas sempre podem cadastrar sites com endereços muito parecidos com os oficiais, de forma a dificultar a identificação do golpe. “O melhor caminho, sempre, é buscar meios oficiais para verificar as promoções”.

Às vítimas do golpe, porém, Marques tem uma má notícia. “Para dados como CPF, cópias de documentos e fotos, infelizmente, não há nada que se possa fazer a não ser monitorar o uso dessas informações de forma indevida”, explica, indicando também um olho vivo a faturas de cartões de crédito em busca de gastos indevidos.

Quanto a senhas, o caminho para recuperar a proteção das contas é alterar todas as credenciais que tenham sido informadas e, também, aquelas de contas que compartilhem os mesmos segredos, como redes sociais e e-mails. “Aqui, também, o ideal é ficar atento a tentativas de acesso indevido e agir rápido para fazer as alterações”, completa.


Fonte: Canaltech

Trending no Canaltech: