• Token Dourado
    Segurança

    O golpe do token dourado

    Durante o dia de hoje, você provavelmente recebeu e apagou alguns e-mails fraudulentos que simulavam avisos vindos de diversos bancos, estou certo? Apesar de perigosos e de enganar muita gente todos os dias, esses e-mails são frágeis em um ponto importante: eles não apresentam seus dados pessoais, dessa forma, levantam a dúvida se realmente foi enviado por seu banco. Infelizmente esse não é o que me levou a escrever essa matéria hoje.

    Um novo golpe anda ocorrendo nas últimas semanas e o foco são os correntistas do Banco Itau. A mecânica, apurada com algumas vítimas, é bem similar e a execução é impressionantemente crível. O que é bastante perigoso pois muita gente provavelmente caiu nessa.

    Entenda o golpe

    O golpista liga na casa de um correntista e se faz passar por um atendente do Banco Itau. Informa alguns dos dados pessoais para confirmar se tratar da vítima em potencial e lhe fornece algumas informações a respeito de sua conta. Após isso, diz que o banco está oferecendo, por se tratar de um cliente especial (massageia o ego e baixa a guarda), uma migração para um novo pacote de serviços com várias vantagens. O novo pacote se chamaria Personalité Estrela e não teria custo de mensalidade, taxas anuais do cartão de crédito e uso do cheque especial com 30 dias de carência. As ofertas e nomes de pacotes podem variar de tempos em tempos.

    Após ter seduzido a vítima com uma oferta tão tentadora, fruto do reconhecimento do banco de quão importante esse cliente é, o golpista segue com a confirmação do restante dos dados do correntista. Incrívelmente, ele possui todos os dados necessários e sensíveis, números de documentos, nome da mãe, números e dados da conta, endereço e até mesmo os últimos dígitos do número de série do token de segurança são informados. E é exatamente onde o golpe se concretiza.

    depoimento-marinaO golpista, que já possui todos os seus dados, precisa apenas de duas outras informações para obter sucesso na empreitada: a senha eletrônica do Internet Banking e o código que aparece no token. A desculpa é a mais esfarrapada: eles precisam cancelar o token atual, para enviar um novo, o tal do iToken Dourado que ilustra esse texto (em livre interpretação de algo que não existe). Mas obviamente não é nada disso, e após conseguir os números, executam operações dentro da conta do cliente pela Internet, normalmente TEDs e transferências, além de resgates de possíveis aplicações de investimento.

    Angelo, uma das vítimas entrevistadas, não acreditou quando “caiu a ficha” do golpe. “Chegando em casa de noite tentei acessar o Bankline e também estava bloqueado” – disse ele em seu post no Facebook, onde alerta sobre o golpe. “No caixa eletrônico a mensagem era de que eu devia entrar em contato com o Banco. Foi então que eu soube ter sido vítima de um golpe.”

    Segundo Angelo, quatro semanas após denunciar no banco e desbloquear suas contas, e o seu gerente afirmar que iriam investigar, ele recebeu a mesmíssima ligação, tentando-lhe aplicar o mesmo golpe. Ele anotou tudo que os bandidos falaram, revelou no final ter conhecimento do golpe e ainda foi ameaçado por telefone – afinal, os bandidos tinham até o seu endereço.

    O mesmo apelo foi utilizado para tentar convencer Marina. “Disseram que agora eu era cliente Personalité Estrela, que eles iam me mandar um novo token dourado (que tal?) não pagava mais anuidade e que se eu pegasse empréstimo do meu cheque especial, levaria 30 dias para cobrarem juros” – relatou em entrevista. “Nessa dos juros eu desconfiei. 30 dias? Que banco faz isso? Banco vive de juros“. Marina escapou por pouco, pois estava “distraída, trabalhando e falando no telefone” e foi só aceitando tudo que a golpista falava, mas por esse detalhe dos juros, se tocou e recusou digitar a senha. “Quando falei que não ia digitar senha nenhuma e que preferia ir desbloquear esse novo serviço direto na agência, ela ficou super nervosa“.

    Questionamentos sobre a origem dos dados

    Todo mundo está cansado de saber, já deu em mais de uma matéria do Fantástico, que qualquer um consegue comprar a base de dados da Receita Federal em qualquer esquina da Santa Efigênia (e baratinho). Na base de declarações, todos esses dados de documentos, endereços e até mesmo o número da conta bancária podem ser acessados, ou por quem declarou investimentos ou por quem adicionou como conta para ser depositada a restituição do Leão.

    Isso explicaria uma possível isenção de responsabilidade por parte do banco no vazamento das informações, no entanto, a presença do número serial do token (que é de porte exclusivo do correntista e, segundo o Itau, nem o gerente possui o número completo) é algo que coloca um enorme ponto de interrogação nessa questão. Teriam os dados vazados diretamente da base do Itau? Se os dados vazados foram da Receita, porque o golpe foca no Itau e não se viram relatos similares de outros bancos?

    Em um site que agrega depoimentos de usuários sobre ligações de determinados números, pode-se ver que o golpe está sendo bastante ativo (mais aqui, aqui, aqui, aqui, aqui, aqui…) e são vários os correntistas atingidos.

    O posicionamento oficial do Itau

    O banco já tem ciência do golpe? Estão tomando alguma providência? Quantos correntistas foram lesados? Como esses dados foram parar nas mãos de bandidos? Enviei essas dúvidas ao banco tão logo comecei a investigar esse assunto e conversei por telefone com um dos assessores de imprensa.

    UPDATE 2/07/2014: O retorno oficial por escrito chegou hoje. Copiado abaixo:

    O Itaú vai analisar o caso. Cabe destacar que o banco não pede informações pessoais, senhas ou números de ferramentas de segurança em contatos. Em caso de suspeita, o cliente deve procurar imediatamente a instituição em algum dos canais de atendimento. O Itaú disponibiliza diversas informações de segurança no site: www.itau.com.br/seguranca

    Pelo telefone, durante a composição da matéria, o assessor me disse que infelizmente o banco “nada pode fazer”. Me pediu dados das vítimas para investigação interna, mas não me retornou até a publicação dessa matéria. Alegou que o banco possui um sistema de segurança muito forte e que os dados não poderiam ter vazado das bases do banco ou dos servidores web. Não soube, no entanto, explicar como os golpistas possuem o número do token e responsabilizou uma possível base terceira pelo restante dos dados, incluindo números da conta e valores investidos.

    Segundo a assessoria do Itau, alguns poucos golpes são de responsabilidade de terceiros e o restante (maioria) são de responsabilidade do próprio correntista, seja por não cuidar direito da privacidade de seus dados sensíveis, seja pelo fornecimento voluntário a terceiros ou por terem sido enganados de alguma forma, sendo compelidos a entregarem seus dados (senhas, token, etc).

    Ainda segundo o assessor, o Itau não poderia revelar nem se possui ciência desse golpe em específico e quantos (ou mesmo SE) correntistas já alegaram ter sido vítimas.

    Como se proteger de golpes como esse

    Eu tenho um costume que tem – até agora – me blindado de golpes dessa natureza. Nunca, sob hipótese alguma, eu forneço dados sensíveis por telefone, se não sou eu o originador da ligação. Quando uma empresa me liga e já possui os meus dados, é de se dar meio voto de confiança de que se trata da empresa realmente, mas só meio voto não é o suficiente para que eu forneça minha senha ou o código do meu token de segurança. Jamais!

    Então essa é uma dica importante. Se foi você quem ligou e o telefone é comprovadamente da empresa que você procura falar, e se as informações forem realmente necessárias, tudo bem. Do contrário, duvide sempre, questione sempre, peça para executar as operações direto na agência se for o caso ou um número de retorno para você confirmar depois se é da empresa mesmo.

    Uma outra alternativa, caso você sinta medo de enfrentar o bandido do outro lado da linha (no caso de você já saber se tratar de um golpe) é desligar o telefone imediatamente. A imensa maioria desses bandidos é composta de estelionatários. Eles não se arriscam com crimes mais “físicos” como um sequestro ou assalto, ficam no risco e esforço mínimos.

    E você, já foi vítima de golpe similar? Como resolveu? Relate nos comentários e aproveite para divulgar esse alerta aos seus amigos.

  • Segurança

    Seu CPF apresenta novas pendências

    Uma das estratégias mais utilizadas por golpistas para convencer suas vítimas a acreditar na mensagem e clicar no link malicioso, é ameaçar sua integridade financeira. Logo, emitir um aviso de problemas no SERASA ou SPC, é algo que tem grandes chances de convencimento.

    As dicas para identificar a balela são muito simples e funcionam na grande maioria dos casos, perceba:

    • Verifique que no e-mail em questão, não há nenhum dado pessoal listado. Não há como garantir, com propriedade, que o e-mail tenha sido enviado para você diretamente, e não para uma lista enorme de pessoas com o mesmíssimo conteúdo;
    • Sequer o conteúdo do e-mail é editável, com possibilidade de enviar dados diferentes. Se trata de uma imagem só. Note que existe um “número de autenticação”, para dar mais credibilidade, mas é o mesmo, para todos os recipientes;
    • Dados mais sutis, como o e-mail estar sendo enviado de um domínio genérico da Experian e estar apontando o link para outro domínio, também são muito importantes. Aliás, o link é sempre o mais importante de um e-mail como esse;
    • Por fim, o resultado, ao clicar no link. O endereço final é o download de um arquivo chamado “pendencias-serasa.com” (o mesmo nome do domínio) e não faz nenhum sentido com a mensagem, que diz para clicar e consultar os tais débitos, mas no final faz download de um arquivo executável pelo Windows.
    • É sempre importante lembrar que não se deve clicar em e-mails duvidosos como esse, e principalmente, não se deve executar arquivos baixados aleatoriamente. Sempre confirme antes o remetente e a veracidade das informações nos sites ou órgãos oficiais.

    O site VirusTotal identificou esse arquivo como um Cavalo de Tróia (Trojan) – Trojan-Downloader.Autoit.gen.

    Abaixo a mensagem original, recebida por e-mail em 22 de maio de 2013.

    Mensagem Original de “Seu CPF apresenta novas pendências”

    Seu CPF apresenta novas pendências

  • Segurança

    Engenharia Social (Social Engineering)

    A melhor ferramenta para que o golpista se dê bem não é a tecnologia e sim as pessoas. O usuário é a única falha de segurança que não pode ser coberta por ferramentas, apenas procedimentos.

    Engenharia Social é a arte de enganar. Fazer com que pessoas forneçam os dados necessários, informações preciosas que os levem a outras informações e até mesmo acesso ao que os golpistas pretendem de verdade.

    Bons engenheiros sociais podem levar pessoas a acreditarem que estão falando com seus chefes, donos da empresa, um funcionário que perdeu sua própria senha do e-mail, policiais, etc. A principal arma é se fazer passar por outra pessoa ou representante de um serviço qualquer, e arrancar-lhe informações vitais, que podem passar desapercebidas.

    Você fornece dados pelo telefone? Seu nome, data de nascimento, grau de instrução (usado para encobrir que o golpista quer saber onde você estudou), podem ser para você irrelevantes, mas o criminoso sabe bem como usar esses dados em outros momentos e quem sabe, fazer uma transferência bancária pelo telefone de sua conta corrente.

  • Eventos

    Kevin Mitnick : O elo fraco são as pessoas

    Uma das atrações mais esperadas da Campus Party 2010 aconteceu no iní­cio da tarde de ontem, segundo dia do evento (primeiro, contando que na segunda não houve palestras). Acompanhado por blogueiros, hackers, profissionais de informática e principalmente curiosos, Kevin deu um show falando e fazendo coisas que para ele são corriqueiras.

    De modo muito tranquilo, a lição do autonomeado maior ex-hacker do mundo é de que não importa o quanto você invista em tecnologia, a falha de segurança maior é a humana.

  • Segurança

    Como evitar um golpe apenas não sendo ambicioso

    Recebi nos últimos dias de 2009 um e-mail que considerei SPAM na primeira olhada. Era um anúncio de venda de notebooks baratos. Até aí­, tudo bem, recebo destes diariamente, tanto SPAM mesmo como e-mails de locais que eu assinei e autorizei o recebimento. Depois de ter que marcar o e-mail pela terceira vez (não sei como ele escapa do filtro anti-spam), resolvi ler e constatei que se tratava de um golpe. Resolvi então dar corda e ver onde daria, para poder compartilhar no blog.

    Abaixo o primeiro e-mail recebido, que imaginei ser apenas um SPAM no primeiro momento, todo escrito com letras enormes e palavras-chave (como o preço) em letras vermelhas.