Anúncio falso do Itaú no Facebook rouba senhas bancárias de internautas
Vítima é redirecionada a site falso e induzida a digitar senha e número do token, utilizados depois por criminosos para roubar dinheiro
Conforme os internautas migram do e-mail para as redes sociais, os bandidos vão atrás e as fraudes que normalmente se propagavam por e-mail agora usam sites como Orkut, Twitter e Facebook para ameaçar suas vítimas. Este movimento já chegou ao Brasil, e nesta terça-feira a reportagem da Geek flagrou nos anúncios do Facebook uma tentativa de fraude direcionada a clientes de um banco nacional.
Mesmo com cores “apagadas”, o logotipo e o slogan do banco nacional permitem o reconhecimento imediato pela potencial vítima, que ao clicar será conduzida a um site que tenta roubar suas senhas bancárias.
A propaganda do site enganoso não é feita por mensagens transmitidas “boca a boca” e nem se trata de um vírus, como já ocorreu no Facebook anteriormente. Neste caso, o fraudador adquiriu espaço publicitário convencional no Facebook e teve a “isca” para sua fraude exposta junto a anúncios perfeitamente legítimos. Para isso, ele só precisou fazer um pequeno cadastro e preencher alguns formulários simples.
Também é importante salientar que não há muito o que o Itaú possa fazer para evitar golpes como este, conhecidos como “phishing” e que são essencialmente o roubo de sua identidade por estelionatários. O Facebook, que transmitiu a mensagem e lucra com a publicidade, é quem efetivamente pode tomar ações para evitar a propaganda e identificar os responsáveis pelo mau uso de seu sistema de anúncios.
A propaganda do site enganoso não é feita por mensagens transmitidas “boca a boca” e nem se trata de um vírus, como já ocorreu no Facebook anteriormente. Neste caso, o fraudador adquiriu espaço publicitário convencional no Facebook e teve a “isca” para sua fraude exposta junto a anúncios perfeitamente legítimos. Para isso, ele só precisou fazer um pequeno cadastro e preencher alguns formulários simples.
Também é importante salientar que não há muito o que o Itaú possa fazer para evitar golpes como este, conhecidos como “phishing” e que são essencialmente o roubo de sua identidade por estelionatários. O Facebook, que transmitiu a mensagem e lucra com a publicidade, é quem efetivamente pode tomar ações para evitar a propaganda e identificar os responsáveis pelo mau uso de seu sistema de anúncios.
Porém, não há maneira fácil de denunciar uma propaganda como sendo fraudulenta – as opções vão de “Desinteressante” a “Repetitivo”, mas para denunciar um golpe é preciso preencher manualmente o formulário. A Geek entrou em contato com o Facebook na manhã desta terça-feira, mas ainda não obteve resposta do site.
Anatomia da fraude
Para compreender melhor a fraude, a Geek “caiu” nela, acessando o site e digitando dados falsos sempre que pedido. Ao clicar no anúncio fraudulento, a vítima é conduzida a um site idêntico ao do banco. Afim de adquirir certa verossimilhança, os links da página conduzem ao site original do Itaú, mas ao preencher os dados para acessar sua conta o usuário continua dentro do site de phishing.
Neste momento algumas diferenças aparecem: o sistema original sempre exibe o nome do titular da conta, mas esta informação não está disponível pelo bandido, que improvisa. Outros esquemas de segurança do site também precisam ser alterados para perpretar a fraude, e o teclado de 5 botões agora tem 10 botões – o original, com 2 números por botão, torna impossível saber qual seria a senha original digitada.
Claro que o site não tem como saber se a senha é verdadeira, e independentemente do código digitado, a vítima é conduzida a uma página que tenta burlar o cartão de senhas ou o token digital. No primeiro caso, o bandido tenta obter todas as senhas do cartão de papel cuja função é justamente evitar este tipo de fraude, enquanto no segundo caso ele solicita o código exibido no momento pela versão eletrônica da proteção de senha. Para terminar, o site ainda tenta roubar a última proteção do cliente, que é a senha do seu cartão real.
O site fraudulento não tenta burlar em nenhum momento qualquer esquema de criptografia ou autenticação – o usuário poderia perceber o problema ao observar que o cadeado do navegador não indicava que o site era confiável. Ele também não instala vírus ou qualquer tipo de malware, e tudo se baseia na simples ilusão ao mostrar uma aparência familiar ao internauta.
Anatomia da fraude
Para compreender melhor a fraude, a Geek “caiu” nela, acessando o site e digitando dados falsos sempre que pedido. Ao clicar no anúncio fraudulento, a vítima é conduzida a um site idêntico ao do banco. Afim de adquirir certa verossimilhança, os links da página conduzem ao site original do Itaú, mas ao preencher os dados para acessar sua conta o usuário continua dentro do site de phishing.
Neste momento algumas diferenças aparecem: o sistema original sempre exibe o nome do titular da conta, mas esta informação não está disponível pelo bandido, que improvisa. Outros esquemas de segurança do site também precisam ser alterados para perpretar a fraude, e o teclado de 5 botões agora tem 10 botões – o original, com 2 números por botão, torna impossível saber qual seria a senha original digitada.
Claro que o site não tem como saber se a senha é verdadeira, e independentemente do código digitado, a vítima é conduzida a uma página que tenta burlar o cartão de senhas ou o token digital. No primeiro caso, o bandido tenta obter todas as senhas do cartão de papel cuja função é justamente evitar este tipo de fraude, enquanto no segundo caso ele solicita o código exibido no momento pela versão eletrônica da proteção de senha. Para terminar, o site ainda tenta roubar a última proteção do cliente, que é a senha do seu cartão real.
O site fraudulento não tenta burlar em nenhum momento qualquer esquema de criptografia ou autenticação – o usuário poderia perceber o problema ao observar que o cadeado do navegador não indicava que o site era confiável. Ele também não instala vírus ou qualquer tipo de malware, e tudo se baseia na simples ilusão ao mostrar uma aparência familiar ao internauta.
Itaú investiga fraude
Em nota, o banco Itaú informou que já está ciente do link que direciona os clientes para um site falso. "Providências estão sendo tomadas para a retirada deste falso anúncio, bem como para evitar a propagação de fraudes deste tipo."
O Itaú recomenda que os usuários acessem o endereço oficial do banco diretamente pela barra de endereços do navegador e alerta que nunca pede que os clientes digitem todos os números do cartão ou token em operações bancárias na internet. Outro conselho é conferir se o seu nome está correto antes de digitar sua senha.
Nenhum comentário:
Postar um comentário