Somente nos primeiros seis meses de 2021, foram R$ 2,6 bilhões em fraudes tentadas no Brasil. A maior parte dessas tentativas de golpes dizem respeito ao comércio virtual. Os dados do Mapa da Fraude, desenvolvido pela ClearSale, revelam que no primeiro semestre tivemos mais de 2,6 milhões de transações potencialmente fraudulentas. Os setores mais visados pelos criminosos são o de e-commerce, vendas diretas, telecomunicações e mercado financeiro.
Ao O POVO, o engenheiro de Segurança da Informação na Pagseguro Pag Bank, Ramon Martins, preparou uma lista com as principais artimanhas que os criminosos utilizam para tentar enganar as pessoas que movimentam valores no Pix.
Ele conta que existem diversos "kits de phishing" e que nem os sistemas mais avançados de segurança desenvolvidos pelas instituições são imunes aos golpes por conta do "fator humano". O sucesso dos criminosos vai depender se essas táticas de engenharia social funcionam.
Ramon dá como exemplo de segurança as páginas de internet banking das instituições de maior porte, que contam com diversos dispositivos de segurança, como app guardião e tokens, quanto senhas de seis a oito dígitos.
"Ao direcionar esses tipos de contas, o maior obstáculo para o invasor é que um aplicativo especial deve ser instalado e autenticado antes do login", explica. Tudo isso inicia com um isca, normalmente chegada através de mensagens de texto ou por aplicativos de mensagens instantâneas, mas não somente eles.
Ramon continua: "Então, o invasor convence a vítima a inserir as informações de sua conta bancária fora do aplicativo especial de segurança, utilizando uma página de diagnóstico falsa, que finge verificar se a vítima tem o app do banco instalado. Em seguida, alerta a vítima de que seu aplicativo bancário está desatualizado e deve ser atualizado para a versão mais recente. Assim que a vítima clica no botão 'Atualizar', é redirecionada para uma segunda página projetada para imitar a página legítima de login do banco".
A partir desses movimentos, a vítima está vulnerável, pois a página online em que navega está sob o controle do criminoso. Ramon destaca que, quando chega a esse ponto, as vítimas são direcionadas a um falso espaço em que insere seus dados de login e senhas.
Outras informações pessoais também podem ser obtidas, como telefone celular associado à conta, token, nome do proprietário da conta, além de QR Code para movimentação em transferências por Pix, por exemplo. Com acesso total às informações, os criminosos conseguiram tudo que era necessário para o kit phishing.
"Assim que o código QR for obtido, eles podem enviá-lo para a vítima por meio do kit de phishing para que ela faça a varredura com o aplicativo de banco de seu telefone. Isso gera um código que a vítima digita e envia ao invasor, que pode inseri-lo no site legítimo do banco como se fosse o proprietário da conta", ressalta Ramon.