Desde que o PIX foi disponibilizado pelo Banco Central, no final do ano passado, já tem sido alvo de fraudes online para roubar dados pessoas e até dinheiro dos brasileiros. Agora, um novo golpe tem utilizado o nome de bancos populares para atrair mais vítimas.

O Detetive TudoCelular recebeu o relato de um novo golpe que explora a Caixa Econômica Federal e o Nubank, como forma de chamar mais a atenção e induzir ao clique. Confira os detalhes a seguir:

Um e-mail tem sido enviado com um falso comprovante de envio de um PIX para um correntista da Caixa Econômica Federal. Para simular o logotipo do banco, usa fonte Arial Black em caixa alta, com mudança de cores no “X”, para ficar similar ao original.

A mensagem ainda coloca um nome comum de remetente e finge ter vindo de uma conta do Nubank, também para disfarçar o golpe. No número da transação, insere uma combinação que faz parecer com uma chave aleatória do “PIX Copia e Cola”. Confira a seguir:

Como é possível observar na captura acima, há um botão com os dizeres “Desbloquear crédito”, para insinuar que você deve clicar ali se quiser receber o suposto dinheiro transferido. Quando entrar na página, a armadilha deverá te pedir uma série de dados, ou até simular o acesso à sua conta, para obter conhecimento dos seus dados bancários.

Ao conferir o link sem acessá-lo, já é possível perceber que o destino não consiste em algo oficial da Caixa. Além disso, o próprio e-mail do remetente já mostra não ser proveniente do banco.

Ao consultar no site Vírus Total, o domínio do e-mail – “agrif.org” – constatou spam por meio do StopForumSpam, o que mostra diretamente a atuação maliciosa dos cibercriminosos que enviam mensagens por ele.

Um ponto importante a se ressaltar sobre o PIX é que ele não exige qualquer confirmação do tipo pra ser concluído. Entre as principais características da nova forma de pagamento, está justamente a instantaneidade das transações e recebimento imediato.

Além disso, as instituições bancárias sempre ressaltam que não enviam qualquer aviso do tipo para os seus clientes, seja por e-mail, mensagem SMS ou em apps mensageiros como o WhatsApp.

O Detetive TudoCelular já abordou o PIX com todas as explicações sobre o novo método de pagamento brasileiro no ano passado. Você pode tirar suas dúvidas neste link.

Phishing se trata do nome dado a essas armadilhas que usam “iscas” para atrair as vítimas. Já a chamada “engenharia social” é uma prática frequente dos cibercriminosos. Eles estudam suas vítimas para passar armadilhas que contenham elementos nos quais poderá criar uma identificação.

Neste caso, dado o aumento do número de clientes da Caixa após o auxílio emergencial, o criminoso aproveitou que seriam milhões de pessoas com conta na instituição bancária, para escolhê-la na hora de criar a mensagem.

Outra estratégia está ao enganar com um suposto PIX em um momento sem o benefício, o que poderia ser uma forma de levar mais usuários a “aceitar” o falso depósito. Entenda mais sobre os trojans bancários na coluna dedicada ao assunto.

O uso de um nome de remetente comum e a indicação de origem pelo Nubank são outras formas de se estabelecer uma espécie de “confiança” da vítima no ato.

A principal dica para se proteger de assuntos do tipo é sempre desconfiar de tudo o que receber por e-mail, mensagens de texto e redes sociais. Não clique em links suspeitos e procure investigar o endereço eletrônico do remetente antes de acreditar no que recebe.

Além disso, evite passar os seus dados pessoais a desconhecidos ou em supostos cadastros acessados de locais que não sejam os oficiais. Como já mencionado mais acima, as instituições bancárias não costumam procurar os seus clientes por esse tipo de ferramenta, o que facilita para reconhecer uma tentativa de golpe sempre que receber uma mensagem como a exibida nesta coluna.

Uma pesquisa da Kaspersky no ano passado mostrou que três em cada dez brasileiros não sabem reconhecer um e-mail falso. Somente no terceiro trimestre de 2020, foram enviados mais de 50 milhões de correios eletrônicos com arquivos maliciosos a nível global, com alvos brasileiros em 3,5% deles – o que coloca o país como oitavo no mundo.

“Alguns desses e-mails são fáceis de detectar, pois incluem erros ortográficos, gramática inadequada, imagens gráficas pouco profissionais e abordagens excessivamente genéricas. No entanto, detectamos e-mails mais sofisticados, capazes de enganar até os usuários mais cautelosos. Portanto, é importante ficar atento e não baixar a guarda, principalmente ao receber e-mails ou mensagens que pareçam vir de entidades oficiais e comunicam uma urgência, como uma oferta disponível para um número limitado de usuários ou que ameacem o destinatário com multas, caso ele não execute a ação necessária o mais rápido possível.”

Fabio Assolini

Analista de segurança sênior da Kaspersky

Você chegou a receber o e-mail ou conhece alguém que foi vítima desse tipo de golpe na internet? Relate o seu caso para a gente no espaço abaixo.