Vírus & Cia

› Tecnologia › Vírus & Cia

Vírus & Cia

Phishing phone é uma forma mista de golpe virtual

Giordani Rodrigues

A Microsoft reportou em seu site a detecção de um novo tipo de golpe que mistura duas formas já conhecidas de fraude: por e-mail e por telefone. Batizado de "phishing phone", o golpe começa por e-mail, como um phishing scam usual, mas termina por telefone. O usuário de computador recebe por e-mail uma mensagem fraudulenta e, em vez de ser direcionado a um link para um site falso, é orientado a ligar para um número de telefone, supostamente pertencente a uma empresa idônea (banco, operadora de cartão de crédito, loja de departamentos, ou qualquer outra que possa dar credibilidade à fraude).

À primeira vista, pode parecer estranho que um golpista lance mão de algo ágil e de amplo alcance, como um e-mail, para depois direcionar vítimas potenciais para um meio mais antigo, como o telefone. Mas uma análise mais detalhada do golpe mostra que a técnica pode ter vantagens para os atacantes:

  • O alcance do e-mail serve para fazer uma espécie de pré-seleção das vítimas mais suscetíveis, num amplo espaço e de uma só vez. Aqueles que resolverem pegar o telefone e ligar para o número indicado já estão "a meio caminho" de serem lesados, e basta um "engenheiro social" hábil para conseguir convencê-los a fornecer quantos dados privados forem necessários para a consumação da fraude. (Na abordagem apenas por telefone são os fraudadores que tomam a iniciativa de ligar para a casa das vítimas, sem "aviso prévio", o que pode provocar suspeitas em muitas delas).

  • Ao ligar para o número falso, a vítima fornece diretamente aos golpistas seus dados, sem que seja preciso captá-los por programas como trojans, enviá-los por e-mail ou armazená-los num servidor. Isso evita programas antivírus e também elimina parte das evidências eletrônicas que podem ajudar as autoridades a rastrearem e localizarem os golpistas. A Microsoft informa que, embora os números telefônicos também possam ser rastreados, os criminosos costumam usar celulares pré-pagos, roubados ou clonados, para dificultar a ação da polícia. Além disso, o golpe pode ser levado a cabo também com aparelhos de fax e VoIP (telefonia via Internet).

    A Microsoft dá algumas orientações para que se evite cair nestas armadilhas. São elas:

    1. Trate toda mensagem de e-mail (e chamada telefônica) não solicitada com desconfiança, e evite clicar em links contidos nestas mensagens.

    2. Fique atento a códigos de discagem estranhos e pesquise-os junto a operadoras telefônicas legítimas, evitando chamadas de longa distância e internacionais.

    3. Verifique o site oficial das organizações para confirmar os números de telefone do serviço de atendimento ao cliente. Mas atenção: ao fazer isso, não clique em links presentes em mensagens de e-mail, sempre digite você mesmo o endereço do site no seu navegador.

    4. Se possível, verifique registros antigos de ligações ou correspondências, em busca de números de telefones legítimos e outras informações. Os telefones dos serviços de atendimento a clientes também costumam constar no verso dos cartões de crédito.

    5. Mantenha-se atualizado sobre as últimas técnicas para roubo de identidade, por meio de boletins, sites de segurança e outras fontes confiáveis.

    6. Analise mensagens de e-mail recebidas em busca de sinais de phishing scam, como gramática pobre, erros de digitação, endereços Web estranhos, ou qualquer outra coisa que pareça suspeito.

    7. Encaminhe às autoridades e grupos especializados as mensagens suspeitas que receber. No Brasil, os endereços abaixo estão disponíveis para receber denúncias:

    crime.internet@dpf.gov.br - E-mail da Polícia Federal para denúncias de crimes na Internet.

    cert@cert.br - E-mail do Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil, que tem feito um trabalho de combate a golpes de phishing scam, coordenado com os sites que estão hospedando programas maléficos, com algumas instituições financeiras e empresas antivírus.

    phishing@cais.rnp.br - Endereço do Centro de Atendimento a Incidentes de Segurança (CAIS) da Rede Nacional de Ensino e Pesquisa (RNP) para envio de mensagens relacionadas com páginas falsas, principalmente de instituições financeiras.

    artefatos@cais.rnp.br - Endereço do CAIS para recebimento de denúncias sobre aplicativos suspeitos (cavalos-de-tróia e outros programas maléficos usados nos golpes online).

    Além das dicas da Microsoft, recomenda-se também o uso de um bom programa anti-spam, capaz de fazer uma pré-análise das características das mensagens recebidas pelos usuários e classificá-las como legítimas ou spam (mensagens não solicitadas enviadas em massa).

    InfoGuerra

    • Busque outras notícias no Terra