Novo golpe com cartão de crédito pré-pago e publicidade online já soma R$ 10 milhões

Uma nova modalidade de golpe que utiliza cartões de crédito pré-pagos e campanhas relâmpago na internet tem feito uma série de vítimas por todo o Brasil. Sofisticado, o esquema se dá a partir da criação de domínios e páginas falsas, em que os criminosos armazenam conteúdos maliciosos utilizados nos ataques. As campanhas hackers envolvem os softwares TeamViewer, Google Chrome e o BlueStacks — emulador de Android.

A fraude foi desvendada pela equipe de resposta a incidentes de segurança (CSIRT) da Real Protect, empresa especializada em segurança da informação, que calcula em mais de 3 mil o número de pessoas atingidas e um prejuízo que já soma a casa dos R$ 10 milhões.

Conforme explica o líder da equipe do CSIRT, Theo Vital Brazil, os hackers se utilizam de campanhas falsas no Google Adwords — a plataforma de publicidade do Google — para ter acesso às contas correntes das vítimas e, após acessá-las, emitem boletos bancários falsos para transferir os valores para cartões pré-pagos.

O Adwords é uma das ferramentas preferidas de profissionais da área de marketing digital para criação de anúncios de alto impacto que aparecem nas páginas do buscador, conhecidos como links patrocinados. Para anunciar, a empresa precisa ter uma conta no Google. Os golpistas clonam a site da vítima, usando scripts automatizados, e exibem uma URL falsa, bastante parecida com a original. Assim, quando o usuário digita algum termo específico que o criminoso colocou na campanha do Adwords ele é redirecionado para a URL maliciosa, que, por sua vez, o encaminha para o download do arquivo do malware hospedado no Dropbox.

A hospedagem o arquivo do malware no Dropbox tem como objetivo dificultar que ele seja identificado e barrado. O malware em questão simula os aplicativos de bancos conhecidos, como Itaú e Bradesco, induzindo o usuário a digitar informações de conta e senha. Esta técnica, bastante utilizada atualmente por ser de difícil detecção, é baseada no conceito conhecido como reputação de URLs — que teoricamente diz se ela possui código malicioso ou não.

De posse dos dados bancários coletados pelo malware, os criminosos criam contas falsas em operadoras de cartões de débito e crédito pré-pagos com o objetivo de desviar dinheiro para essas contas e realizar o saque em terminais físicos. A “transferência” é feita por meio da geração de boletos de pagamentos para que não possa ser rastreada. Ou seja, o estelionatário usa a conta bancária da vítima para pagar o boleto e gerar saldo no cartão pré-pago falso. Assim que o dinheiro entra na conta, é sacado imediatamente.  

Vital Brazil diz que esse tipo de golpe não havia sido identificado até agora, pois, segundo ele, o padrão dos criminosos cibernéticos até então sempre foi a realização de compras online via contas falsas em serviços como PagSeguro e PayPal. “Essa nova modalidade mostra uma sofisticação ainda maior dos golpes e mais um método para que os criminosos obtenham lucro”, observa.

Para evitar ser mais uma vítima deste tipo de ataque, a equipe do CSIRT da Real Protect dá algumas dicas que servem tanto para usuários finais quanto para empresas:

. Mantenha seu antivírus, sistema operacional e outros programas sempre atualizados.

. Evite baixar aplicativos fora das páginas principais dos fabricantes. Neste caso, isso era parte do ataque.

. Verifique com muita atenção e-mails recebidos e reporte imediatamente os spams e fraudes.

. Utilize buscadores conhecidos como Google, Bing, Yahoo Search, além de sempre verificar o endereço completo do link que irá clicar e se certificar que se trata do destino esperado. A grafia é muito importante, também em caso de acessos diretos aos sites de interesse, pois os atacantes exploram erros de digitação comuns para os nomes de domínios legítimos, como por exemplo, “dominioo.com.br” ou “donimio.com.br” e que, consequentemente, leva o usuário ao destino malicioso.