Transações digitais estão cada dia mais presentes na rotina dos brasileiros. A pandemia iniciada em 2020 fez muita gente migrar do presencial para o digital quase que de forma obrigatória. Isso provocou um aumento nas ofertas por serviços online e, consequentemente, o fluxo de pessoas consumindo esses serviços. Essa forma de trabalho possibilitou novas oportunidades de lucro para as empresas, mas também expôs empresas e clientes a novos riscos de fraudes.
Essa migração off/online atraiu a atenção de criminosos e fez com que aumentasse ainda mais os casos de fraudes nos canais digitais. Segundo a Febraban (Federação Brasileira de Bancos), até setembro de 2020 os casos de tentativas de ataques de phishing - que é baseada no envio de emails que carregam vírus ou links e que direcionam o usuário a sites falsos - tiveram um aumento de 80% segundo o apurado. Esse é um dos tipos de crime que mais causou vítimas no ano que passou, pois dele os criminosos podem desdobrar em diversos outros crimes de fraudes, inclusive os de identidade.
Essas fraudes sempre vem acompanhadas da má intenção de utilizar informações e dados pessoais para ações ilegais ou que irão de alguma forma prejudicar as vítimas. Infelizmente, muitos usuários e empresas podem ter prejuízos pela ingenuidade ou falhas de segurança de um sistema.
O que é phishing?
Phishing é um termo originado do inglês (fishing), que traduzido para o português traz o sentido de "pescar". O crime segue o nome: a ação fraudulenta consiste em roubar dados ou informações das vítimas através de iscas, sejam elas por e-mail, whatsapp, redes sociais ou telefone.
Para por a ação em prática o fraudador pode utilizar muitas ferramentas como isca. Normalmente, é realizado por falsificação de e-mail ou mensagem instantânea, e muitas vezes direciona os usuários a inserir informações pessoais em um site falso, que corresponde à aparência do site legítimo.
Duas ondas de ataque de phishing acabaram muito famosas em 2020: no uso do Caixa Tem, aplicativo do Governo de saque de auxílios, por onde era disponibilizado o Auxílio Emergencial e o FGTS, e no lançamento do PIX, o novo sistema de transferência de dinheiro do Banco Central.
Nos dois casos, dados de brasileiros oriundos da Dark Web ou de ações pontuais como os e-mails falsos de confirmação ou até mesmo SMS, onde a possibilidade de utilizar dados básicos de identificação dos usuários possibilita a fraude. Antes mesmo do PIX ir ao ar já eram identificados casos de phishing com uma estratégia de e-mail que roubava dados e senhas com o pretexto de um pré-cadastro na ferramenta.
Atualmente, essa tentativa de fraude é muito comum, e infelizmente muitos usuários caem, até mesmo os mais atentos. Vale ressaltar que esses fraudadores estão sempre buscando soluções para melhorar o golpe, então todo cuidado é pouco.
Como funciona o phishing?
Se engana quem acha que para prática do phishing não requer planejamento. Primeiramente, os criminosos buscam a vítima ideal que provavelmente cairá no golpe. Fazem uma engenharia social para saber a forma ideal de se comunicar com a vítima e definem o objetivo: conseguir dados pessoais, dados bancários, criar contas em nome da vítima, transferir dinheiro para uma outra conta bancária, etc.
Durante a preparação, o foco é elaborar uma "isca" para "pescar" os dados da vítima. São elaboradas as mensagens, os e-mails, os sites e os links que serão utilizados durante o crime. Na etapa de ataque, ocorre o envio das mensagens elaboradas. Elas podem ser enviadas através de e-mail, sites, malwares, ou aplicativos de mensagens instantâneas para contatos que são extraídos de forma irregular de bancos de dados.
Após o ataque são coletados os dados, os mesmos são preparados para finalizar o golpe. E assim, os dados são utilizados para acessar uma conta, criar novas identidades, roubar dinheiro ou realizar algum outro tipo de crime utilizando-se de dados da vítima.
Na etapa final, o golpista destrói os mecanismos para a criação e execução do ataque com o objetivo de eliminar evidências. Onde envolve dinheiro, pode ocorrer formas de lavagem para dificultar qualquer tipo de investigação policial.
Como proteger usuários e empresas do phishing?
A primeira informação é importante para as empresas que utilizam dados de clientes em transações, principalmente bancos. É muito importante uma educação do usuário para que ele conheça bem os canais de comunicação e a forma como é feita pela instituição. Dessa forma, caso o usuário receba mensagens ou e-mails diferente do habitual e que não tenham sido solicitados ele poderá desconfiar e verificar a veracidade.
Para os usuários, é preciso desconfiar de mensagens que solicitam dados pessoais: mesmo que tenha recebido de uma pessoa ou empresa que acredita ser legítima, fique atento. Se você receber algo do tipo, pedindo algum tipo de informação de conta, exclua-o imediatamente e ligue para a empresa ou pessoa para confirmar se está tudo certo.
Reforce questões de segurança de dados com seus contatos: Em muitos casos de Phishing as vítimas relatam que alguém próximo foi hackeado ou teve uma conta pessoal de mensagens clonada. Vindo de uma pessoa de confiança fica muito mais fácil aplicar o golpe. Por isso, não basta apenas você tomar os cuidados, mas também todos ao seu redor.
Utilize um software de segurança de Internet: É muito importante o uso de um software gratuito de proteção contra vírus e antispam. Assim você pode se proteger melhor contra mensagens maliciosas que podem ser enviadas ao seu computador.
Quais outros tipos de fraudes e como evitar?
Em 2020, só aqui na CAF conseguimos evitar mais de 7 mil tentativas de fraude de identidade, o que economizou para empresas clientes CAF, mais de R$45 milhões. Para esse tipo de fraude, existem três tipos de tentativa mais comuns, identificados pela nossa equipe e todos podem resultar do phishing, como formas de uso dos dados “pescados” na ação.
A adulteração de foto do portador é a forma mais comum e ocorre em todos os tipos de documentos de identificação (RG, CNH, CLT…). A tentativa é simples: o fraudador usa um documento real, geralmente furtado, com dados reais e apenas faz uma ‘colagem’ de uma foto em cima do documento. Essa é a forma de tentar se passar por outra pessoa no processo de verificação de identidade e pode ser barrada pela empresa logo no Onboarding do novo usuário, através de uma análise documental. A mais eficiente para barrar esse tipo de ação acaba sendo a documentoscopia.
Outro tipo bem comum é a impressão de formulários (papel do RG, da CNH, por exemplo) falsos. Na internet existem templates disponíveis para geração de documentos falsos. Nesse caso, tudo é falso: dados, fotos, papel… Tudo para que o falsificador consiga acesso a empréstimos, contas bancárias e diversos outros serviços. Geralmente o nosso sistema semi-automatizado consegue identificar esse tipo de tentativa de primeira, já que são vários pontos no documento para seguir e conseguir uma fraude perfeita. Se o sistema não identifica, o perito final identifica e barra a fraude.
Já no terceiro caso mais comum, a adulteração de dados nos documentos de identificação (nome da mãe, data de nascimento, data de expedição, número do CPF, RG), apenas alguns dados são substituídos no documento.
.svg)
.svg)
.svg)
.svg){kind=logo}
.svg){kind=logo}