março 28, 2017

[Segurança] Novo golpe de engenharia social assusta clientes bancários brasileiros

Recentemente eu tenho ouvido relatos de diversos colegas sobre uma nova modalidade de fraude bancária, baseada em engenharia social - histórias que também ouvi de outros colegas que trabalham em alguns bancos.

Resumindo o ciber criminoso liga para a vítima se passando pelo área de fraude do seu banco, tenta obter a senha do cliente para, em seguida, realizar a fraude verdadeira.

Tudo começa quando o cliente recebe uma ligação telefônica de alguém que se idenbtifica como funcionário da área de fraude do Banco (nesse momento, ele sabe que a vítima possui conta naquele banco e conhece alguns dados pessoais, para que a ligação pareça real). Então o criminoso informa que o banco recebeu uma notificação de fraude na conta do cliente (ex: uma tentativa de pagamento ou de depósito de um cheque, com divergência de assinatura) e pergunta para a vítima se ela reconhece essa transação. Após a vítima dizer que não fez a tal transação (que não existe), o criminoso segue um procedimento aparentemente normal para fazer a análise do caso e o cancelamento da suposta fraude, porém nessa hora ele pede algumas informações do cliente, incluindo o CPF, endereço IP e, claro, as senhas eletrônicas.

Nesse momento ele vai tentar obter a senha do cliente: o fraudador menos sofisticado pode tentar perguntar a senha por telefone (alguns clientes falam!), mas os relatos que ouvi incluem o caso de enviar um link para um site falso ou, pior ainda, em alguns casos eles redirecionam o cliente para uma simulação do "atendimento automático" aonde ele vai se autenticar. Neste último caso, é realmente uma simulação idêntica do atendimento eletrônico do Banco, aonde uma voz idêntica a utilizada pelo Banco pede a senha e o cliente digita no telefone.



Com os dados acima, o criminoso consegue acessar a conta do cliente e, aí sim, realizar uma fraude de verdade, efetuando pagamentos através da conta da vítima. Esse golpe tem atingido clientes de vários bancos, segundo alguns colegas que em relataram isso (que, inclusive, receberam a ligação imitando o call center e o atendimento eletrônico).

Para evitar cair nesse tipo de golpe, devemos tomar cuidado com ligações recebidas do nosso banco. Sempre que receber esse tipod e ligação, jamais fazer nada que forneça algum dado seu ao atendente. Se o atendente começar  apedir informação, diga que você prefere ligar para o banco e resolver o assunto.

Avançando um pouco mais no nível de paranóia, tenho um conhecido que sempre digita a senha errada na primeira tentativa. Ele também foi alvo dessa tentativa de draude, e quando recebeu a ligação e pediram para ele entrar com a senha no suposto "atendimento eletrônico", ele digitou errado e foi aprovada. Nessa hora ele percebeu que era um golpe.

O interessante é tentar imaginar como os ciber criminosos conseguiram os dados dos clientes para fazer o golpe, pois eles precisam no mínimo cruzar o nome, o telefone, e os dados da conta da vítima (banco, agência e conta). Ou, no mínimo, precisam saber o nome, telefone e que banco o cliente usa. Se pararmos para pensar, há uma dezena de serviços que assinamos no nosso dia-a-dia e que possuem estes dados (empresas, alguns aplicativos no celular ou cadastros diversos), então não deve ser difícil que alguma dessas bases de dados possa ter vazado e caído nas mãos dos criminosos.

2 comentários:

luiz disse...

Sempre que vejo um relato ou artigo do tipo eu me pergunto a mesma coisa: do que adianta todos os dados e até a senha do banco se a pessoa não terá acesso aos tokens de autenticação de transação? Hoje em dia mais nenhum banco se atém somente a senha (PIN)

Fabio Assolini disse...

Tenho uma gravação aqui de uma empresa que quase foi vitima, exatamente nessa mesma modalidade de ataque. Porem o mais interessante é que a funcionária do financeiro dizia repetidamente ao suposto funcionario do banco que o antivirus impedia o acesso ao site que ele solicitava que fosse feito o acesso, ao que forçou o falso funcionário a solicitar a pessoa que pedisse o desbloqueio do site junto ao TI. Infelizmente ataques de engenharia social serão cada vez mais comum, pois as protecoes antiphishing tem melhorado bastante

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.