setembro 04, 2017

[Segurança] Golpes bancários através de SMS

A prática de SMSishing não é nova, nem aqui nem no mundo. O termo surgiu há vários anos atrás por causa do golpe baseado no envio de mensagens de phishing por celular, através de mensagens de SMS.

A vítima, no caso, recebe uma mensagem em seu celular em nome de alguma empresa conhecida (normalmente um banco), convidando para acessar um site aonde ela vai baixar um código malicioso ou, o que é muito mais comum, ela vai preencher um formulário falso (em nome da empresa) aonde vai passar seus dados para o fraudador.

Por algum motivo, no último ano esse tipo de golpe se intensificou absurdamente no Brasil, usando tanto mensagens de SMS e Whatsapp. O mais provável é que os ciber criminosos brasileiros perceberam que a grande maioria dos usuários bancários já tem smartphones (e, logo, conseguem facilmente acessar sites a partir de links que recebem no celular) e que é mais fácil enganar o usuário final através de uma mensagem de SMS do que uma mensagemd e e-mail, pois afinal as mensagens de SMS não costumam ser muito sofisticadas em termos de design gráfico. Afinal, são apenas mensagens de texto, sem nenhum logo ou design que necessite ser copiado.

A vida do ciber criminoso fica facilitada: basta criar um site simples (mesmo porque a visualização via celular faz com que uma página simples -sem muitas imagens, links nem frames- possa ser facilmente criada para se passar como verdadeira), bolar uma mensagem de texto minimamente convincente e baixar uma lista de números telefônicos (que também pode ser comprada na Internet por R$ 600).

O golpe começa com uma mensagem de SMS enviada ao celular da vítima, normalmente solicitando o recadastramento do seu dispositivo de segurança ou seus dados cadastrais. Para enganar a vítima, os ciber criminosos também podem optar por outras mensagens, como avisando de uma transação que foi realizada e que o usuário tem que ir no link para confirmar ou cancelar.



Ao clicar no link que está na mensagem de SMS, o celular já abre o navegador na página do Phishing, aonde o fraudador vai solicitar os dados do usuário: identificação da conta, senha e as vezes alguns dados cadastrais.



Nesse tipo de golpe também é muito comum que o fraudador peça o cartão de senhas, caso o banco adote este tipo de solução. Nesse caso, o site de phishing já aproveita que a vítima está usando um celular e pede para que ela envie uma cópia de seu cartão de senhas,


No final da história, o ciber criminoso consegue roubar os dados de acesso da vítima (número da conta e senha de login), além de dados cadastrais e, pior ainda, da senha para realizar transações (que em muitos bancos é uma senha variável utilizando o cartão de senhas).

Para evitar cair nesse tipo de golpe, a dica é a mesmade sempre: nunca clicar em links recebidos nessas mensagens. Se você quer verificar se aconteceu algo na sua conta bancária, ligue para o banco, vá na agência ou acesse online através do site real do banco.

Para saber mais, vale a pena dar uma olhada na sessão sobre Phishing na Cartinha do CERT.br.

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.