Tema: Segurança

O golpe do token dourado

Token Dourado

Durante o dia de hoje, você provavelmente recebeu e apagou alguns e-mails fraudulentos que simulavam avisos vindos de diversos bancos, estou certo? Apesar de perigosos e de enganar muita gente todos os dias, esses e-mails são frágeis em um ponto importante: eles não apresentam seus dados pessoais, dessa forma, levantam a dúvida se realmente foi enviado por seu banco. Infelizmente esse não é o que me levou a escrever essa matéria hoje.

Um novo golpe anda ocorrendo nas últimas semanas e o foco são os correntistas do Banco Itau. A mecânica, apurada com algumas vítimas, é bem similar e a execução é impressionantemente crível. O que é bastante perigoso pois muita gente provavelmente caiu nessa.

Entenda o golpe

O golpista liga na casa de um correntista e se faz passar por um atendente do Banco Itau. Informa alguns dos dados pessoais para confirmar se tratar da vítima em potencial e lhe fornece algumas informações a respeito de sua conta. Após isso, diz que o banco está oferecendo, por se tratar de um cliente especial (massageia o ego e baixa a guarda), uma migração para um novo pacote de serviços com várias vantagens. O novo pacote se chamaria Personalité Estrela e não teria custo de mensalidade, taxas anuais do cartão de crédito e uso do cheque especial com 30 dias de carência. As ofertas e nomes de pacotes podem variar de tempos em tempos.

Após ter seduzido a vítima com uma oferta tão tentadora, fruto do reconhecimento do banco de quão importante esse cliente é, o golpista segue com a confirmação do restante dos dados do correntista. Incrívelmente, ele possui todos os dados necessários e sensíveis, números de documentos, nome da mãe, números e dados da conta, endereço e até mesmo os últimos dígitos do número de série do token de segurança são informados. E é exatamente onde o golpe se concretiza.

depoimento-marinaO golpista, que já possui todos os seus dados, precisa apenas de duas outras informações para obter sucesso na empreitada: a senha eletrônica do Internet Banking e o código que aparece no token. A desculpa é a mais esfarrapada: eles precisam cancelar o token atual, para enviar um novo, o tal do iToken Dourado que ilustra esse texto (em livre interpretação de algo que não existe). Mas obviamente não é nada disso, e após conseguir os números, executam operações dentro da conta do cliente pela Internet, normalmente TEDs e transferências, além de resgates de possíveis aplicações de investimento.

Angelo, uma das vítimas entrevistadas, não acreditou quando “caiu a ficha” do golpe. “Chegando em casa de noite tentei acessar o Bankline e também estava bloqueado” – disse ele em seu post no Facebook, onde alerta sobre o golpe. “No caixa eletrônico a mensagem era de que eu devia entrar em contato com o Banco. Foi então que eu soube ter sido vítima de um golpe.”

Segundo Angelo, quatro semanas após denunciar no banco e desbloquear suas contas, e o seu gerente afirmar que iriam investigar, ele recebeu a mesmíssima ligação, tentando-lhe aplicar o mesmo golpe. Ele anotou tudo que os bandidos falaram, revelou no final ter conhecimento do golpe e ainda foi ameaçado por telefone – afinal, os bandidos tinham até o seu endereço.

O mesmo apelo foi utilizado para tentar convencer Marina. “Disseram que agora eu era cliente Personalité Estrela, que eles iam me mandar um novo token dourado (que tal?) não pagava mais anuidade e que se eu pegasse empréstimo do meu cheque especial, levaria 30 dias para cobrarem juros” – relatou em entrevista. “Nessa dos juros eu desconfiei. 30 dias? Que banco faz isso? Banco vive de juros“. Marina escapou por pouco, pois estava “distraída, trabalhando e falando no telefone” e foi só aceitando tudo que a golpista falava, mas por esse detalhe dos juros, se tocou e recusou digitar a senha. “Quando falei que não ia digitar senha nenhuma e que preferia ir desbloquear esse novo serviço direto na agência, ela ficou super nervosa“.

Questionamentos sobre a origem dos dados

Todo mundo está cansado de saber, já deu em mais de uma matéria do Fantástico, que qualquer um consegue comprar a base de dados da Receita Federal em qualquer esquina da Santa Efigênia (e baratinho). Na base de declarações, todos esses dados de documentos, endereços e até mesmo o número da conta bancária podem ser acessados, ou por quem declarou investimentos ou por quem adicionou como conta para ser depositada a restituição do Leão.

Isso explicaria uma possível isenção de responsabilidade por parte do banco no vazamento das informações, no entanto, a presença do número serial do token (que é de porte exclusivo do correntista e, segundo o Itau, nem o gerente possui o número completo) é algo que coloca um enorme ponto de interrogação nessa questão. Teriam os dados vazados diretamente da base do Itau? Se os dados vazados foram da Receita, porque o golpe foca no Itau e não se viram relatos similares de outros bancos?

Em um site que agrega depoimentos de usuários sobre ligações de determinados números, pode-se ver que o golpe está sendo bastante ativo (mais aqui, aqui, aqui, aqui, aqui, aqui…) e são vários os correntistas atingidos.

O posicionamento oficial do Itau

O banco já tem ciência do golpe? Estão tomando alguma providência? Quantos correntistas foram lesados? Como esses dados foram parar nas mãos de bandidos? Enviei essas dúvidas ao banco tão logo comecei a investigar esse assunto e conversei por telefone com um dos assessores de imprensa.

UPDATE 2/07/2014: O retorno oficial por escrito chegou hoje. Copiado abaixo:

O Itaú vai analisar o caso. Cabe destacar que o banco não pede informações pessoais, senhas ou números de ferramentas de segurança em contatos. Em caso de suspeita, o cliente deve procurar imediatamente a instituição em algum dos canais de atendimento. O Itaú disponibiliza diversas informações de segurança no site: www.itau.com.br/seguranca

Pelo telefone, durante a composição da matéria, o assessor me disse que infelizmente o banco “nada pode fazer”. Me pediu dados das vítimas para investigação interna, mas não me retornou até a publicação dessa matéria. Alegou que o banco possui um sistema de segurança muito forte e que os dados não poderiam ter vazado das bases do banco ou dos servidores web. Não soube, no entanto, explicar como os golpistas possuem o número do token e responsabilizou uma possível base terceira pelo restante dos dados, incluindo números da conta e valores investidos.

Segundo a assessoria do Itau, alguns poucos golpes são de responsabilidade de terceiros e o restante (maioria) são de responsabilidade do próprio correntista, seja por não cuidar direito da privacidade de seus dados sensíveis, seja pelo fornecimento voluntário a terceiros ou por terem sido enganados de alguma forma, sendo compelidos a entregarem seus dados (senhas, token, etc).

Ainda segundo o assessor, o Itau não poderia revelar nem se possui ciência desse golpe em específico e quantos (ou mesmo SE) correntistas já alegaram ter sido vítimas.

Como se proteger de golpes como esse

Eu tenho um costume que tem – até agora – me blindado de golpes dessa natureza. Nunca, sob hipótese alguma, eu forneço dados sensíveis por telefone, se não sou eu o originador da ligação. Quando uma empresa me liga e já possui os meus dados, é de se dar meio voto de confiança de que se trata da empresa realmente, mas só meio voto não é o suficiente para que eu forneça minha senha ou o código do meu token de segurança. Jamais!

Então essa é uma dica importante. Se foi você quem ligou e o telefone é comprovadamente da empresa que você procura falar, e se as informações forem realmente necessárias, tudo bem. Do contrário, duvide sempre, questione sempre, peça para executar as operações direto na agência se for o caso ou um número de retorno para você confirmar depois se é da empresa mesmo.

Uma outra alternativa, caso você sinta medo de enfrentar o bandido do outro lado da linha (no caso de você já saber se tratar de um golpe) é desligar o telefone imediatamente. A imensa maioria desses bandidos é composta de estelionatários. Eles não se arriscam com crimes mais “físicos” como um sequestro ou assalto, ficam no risco e esforço mínimos.

E você, já foi vítima de golpe similar? Como resolveu? Relate nos comentários e aproveite para divulgar esse alerta aos seus amigos.

Possível falha na Ingresso.com expõe dados de usuários

Ontem recebi um e-mail daqueles bem suspeitos sobre eu ter ganho uma promoção qualquer da Ingresso.com na Copa do Mundo no Brasil. Claro que eu não concorri em nenhuma promoção do tipo e li o e-mail apenas como material de estudo. Acontece que o que eu vi, me deixou pra lá de curioso.

phishingO e-mail veio em nome da Ingresso.com, site em que eu tenho cadastro e já utilizei dos seus serviço há alguns anos. Sem muita firula visual, o e-mail apresentava como imagens apenas a marca do referido site e um logo antigo da Copa no Brasil, o que foi utilizado na candidatura do país para sediar os jogos. No entanto, isso não me chamou a atenção.

Apesar de exibir uma URL genérica (o que obviamente eu não iria clicar pra conferir), o e-mail também exibia a URL correta da Ingresso.com, dados de contato de quem enviou o e-mail e um texto relativamente fácil de acreditar. Mas o problema começou já no início da mensagem: ela continha dados pessoais verdadeiros e bem completos.

Nome, data de nascimento, RG, CPF, nome da minha mãe e meu endereço completo. Um endereço antigo, mas exatamente onde eu morava quando fiz o meu cadastro na Ingresso.com, o que me leva a acreditar que esses dados foram retirados realmente da base da Ingresso.com. Continue lendo “Possível falha na Ingresso.com expõe dados de usuários”

Parceria caracu injeta código malicioso em seu blog

The Million Dollar Homepage

Está rolando por aí uma cópia bem zoada de uma página que fez muito sucesso nos primórdios da Internet. A página original, chamada de The Million Dollar Homepage, vendia “pixels” por 1 dólar cada. Então você poderia comprar, digamos, um quadradinho de 10 x 10 pixel por 100 dólares e colocar a imagem e o link que você quisesse ali. O compromisso do criador era nunca tirar o site do ar (ele existe até hoje e já encontrou uma forma de ganhar ainda mais dinheiro, vendendo posters do próprio site).

Na época isso foi um sucesso estrondoso, saiu em tudo que é site de notícia, revistas digitais, impressas, etc. Ao longo do tempo surgiram diversas cópias exatas, outras apenas parecidas. Alguns tinham a cara de pau de chamar de “a página de um milhão de reais” e afins. Cópias exatas do modelo do rapaz, que foi um sucesso e vendeu tudo em pouquíssimo tempo.

Divulga Blog Site

Agora surgiu uma cópia muito zoada do modelo, mas se utilizando de técnicas anti-éticas e perigosas para se auto-promover. O tal DivulgaBlogSite . com solicita a inserção de um script no site do “parceiro”, com a desculpa de trazer mais visitas, aumentar sua relevância no Google e etc, mas na verdade o script injeta uma janela invisível na qual carrega o próprio site Divulga Blog. Resumindo, ele usa uma técnica proibida pelo Google (e que pode fazer com que o SEU blog seja punido) para promover o próprio site.

Como ele faz isso? Simples, ele fornece um código encriptado em JavaScript para o blogueiro inserir no seu blog. Esse código se transforma em um IFRAME de tamanho 0px com o endereço de uma página do site dele. A desculpa é carregar páginas de parceiros aleatórios, num esquema de “troca de links” bizarro, mas não é o que acontece. É auto-promoção descarada e passível de punição pelo Google mesmo.

Muito cuidado com scripts externos

Parcerias como essa surgem o tempo todo. Pessoas vivem acreditando que a famosa “troca de links” vai ajudar de alguma forma no Google, mas no máximo pode ajudar a divulgar seu blog aos leitores do outro blog. No máximo. O que você deve ter muito cuidado é ao inserir códigos de terceiros em seu blog.

Um JavaScript malicioso bem programado pode fazer muito estrago em seu site. Ele pode injetar códigos em seu blog, fazer com que as visitas de um determinado referer (Google por exemplo) sejam redirecionadas para outro local, pode injetar cookies de afiliados para ganhar dinheiro, pode injetar links ruins que ele vendeu para clientes ruins, pode até mesmo fazer coisas piores como roubar sua sessão de navegador e ter acesso a seu admin do blog, além de outros serviços que você usa e que possam ser menos seguros.

Lembre-se: um código javascript inserido por você em seu blog é o mesmo que dar uma procuração para o autor. Você não sabe com toda a certeza o que ele vai fazer no seu blog, então precisa mesmo confiar e até pesquisar na Internet antes de aplicar. Tem muitos sites por aí que oferecem widgets gratuitos, muitos deles super bacanas. Já conferiu o que eles fazem?

Espalhe a palavra e ajude a deixar a Internet mais segura 😉

Lulu, Tubby e privacidade no Facebook

Lulu vs Tubby

O assunto mais comentado nas redes sociais das duas ou três últimas semanas está relacionado a exposição na Internet. Logo após alguns tristes episódios veiculados pela mídia, acerca do suicídio de meninas que tiveram videos e fotos íntimas disponibilizadas publicamente na Internet, um aplicativo polêmico caiu no gosto das brasileiras. Quase que ganhando força com as tragédias, o Lulu, um aplicativo que tem o propósito de “avaliar homens” para consulta pública pelas mulheres, virou alvo de muitas discussões acerca de exposição, incoerência, vingança e – principalmente – privacidade.

Existem 2 focos no Lulu, claramente: as mulheres que usam o aplicativo para “se vingar” de ex-ficantes/namorados/noivos/maridos e homens que usam o aplicativo para autopromoção. Sim, é possível acessá-lo sendo homem, no entanto não é possível alterar, filtrar ou controlar que tipo de informação é divulgada em seu perfil. Perfil esse, criado a sua revelia e disponível publicamente, com pontuações atribuídas de acordo com os julgamentos das mulheres, e hashtags que indicam traços da personalidade dos homens (personalidade numa visão mais ampla, pois são expostos aspectos socio-econômicos, atributos físicos, emocionais e comportamentais através das hashtags – consideradas por muitas como “engraçadas”). Continue lendo “Lulu, Tubby e privacidade no Facebook”

Falso anúncio da NASA engana muita gente

Remember 13th November

Vi pela primeira vez isso ontem, circulando pelo Facebook (claro), e hoje resolvi entrar pra ver do que se tratava. Um hotsite muito bonito e atraente, com a marca da NASA, dizia que no dia 13 de novembro haveria um anúncio bombástico, algo que abalaria as estruturas da Terra e nossa história nunca mais seria a mesma. Com vários botões de compartilhamento, o site pedia que você divulgasse e, claro, para receber em primeira mão, você poderia cadastrar o seu e-mail.

É uma óbvia balela. Todo mundo que se inscreveu até agora certamente será bombardeado de SPAM após alguns dias ou semanas, ou mesmo receber um e-mail explicando que tudo se tratava de algum marketing viral. O certo é: É MENTIRA!

Porque o anúncio da NASA é FALSO

Existem vários motivos para concluir que se trata de algum viral ou scam mesmo, para capturar e-mails. Vamos aos fatos, para que você também tenha certeza e não coloque lá seu endereço eletrônico e não mais divulgue esse embuste:

Anúncio no site da NASA

1. A NASA está com atividades paralisadas desde o início da semana, por conta dos problemas com o Orçamento do Governo Americano. Por isso, apenas alguns funcionários e serviços indispensáveis à sobrevivência dos astronautas que estão em missão fora da Terra ainda estão ativos. Todo o resto foi desativado temporariamente, incluindo (pasmem!) O SITE. TODO o site da NASA está fora do ar, com uma mensagem explicando o motivo (grana). Assim sendo, a NASA não deixaria um único hotsite disponível, fora dos seus servidores, sem que isso fosse absolutamente necessário (já que o site principal está fora).

2. O tal site não foi desenvolvido pela NASA. Um WordPress qualquer, usando um tema do Theme Forest, foi instalado num hosting de dedicados (Dacentec) e o domínio foi registrado no NameCheap. Não, por mais que a NASA esteja sem grana, eles não registrariam algo no NameCheap.

Registro do dominio3. O site é assinado como “Bilderbergs; FEMA; NASA”. Procure por “Bilderbergs” no Google. Coisas como Iluminatti, pessoas que governam o mundo, baboseiras de maçonaria, irão surgir. Tire suas próprias conclusões se a NASA assinaria algo assim. Ah, e FEMA é a Agência que regula emergências no âmbito federal, nos EUA.

PS: Há relatos na Internet de que no código havia nomes de “Bynens & Brian Mcallister” como desenvolvedores, mas eu não encontrei isso nem no cache do Google.

4. Esse é subjetivo, mas você se lembra da NASA ter feito algo parecido desde que você se conhece por gente? Exato, eles não fazem “teaser” de descobertas, simplesmente anunciam elas. Sem estardalhaço, sem palhaçada. Muitas vezes, coisas muito legais e importantes passam desapercebidas, sem anúncios, e só quem se interessa pelo tema fica sabendo pelo site.

O próprio formato do site, mais o fato de o site oficial estar desativado e não poder negar rapidamente, os criadores usarem a curiosidade como forma de atração e divulgação do site (viraliza rápido), já mostra que a intenção é a coleta dos e-mails, talvez difusão de algum malware, talvez apenas promover alguma marca depois. Quem sabe? O importante é que é mentira, não espalhe, não se cadastre, e para todo mundo que compartilhar isso, mostre esse texto aqui.

PS: A verdade está lá fora 😉