Os cibercriminosos usam uma variedade de métodos para obter as credenciais bancárias de suas vítimas. Neste artigo, analisaremos suas cinco principais técnicas e como você pode se proteger contra o roubo dessas informações confidenciais e críticas.
As credenciais bancárias representam um dos ativos mais valiosos para as pessoas: para os criminosos cibernéticos, obtê-las significa ter a chave para abrir um cofre virtual em suas mãos e poder dispor do dinheiro de suas vítimas como bem entenderem. Para isso, eles empregam uma variedade de técnicas que, se encontrarem usuários desprotegidos, desavisados ou descuidados, muitas vezes compensam.
Neste artigo, veremos as cinco principais estratégias usadas pelo crime cibernético para roubar senhas bancárias e como você pode se proteger contra esses ataques.
Sites falsos
Os fraudadores usam um URL que inclui o nome do banco e até se parece com o oficial. O nome do site geralmente é quase idêntico ao nome que o banco usa em suas contas do Twitter e do Instagram, com apenas uma pequena diferença (às vezes, apenas uma letra). De fato, uma pesquisa no Google pode levar a esses sites fraudulentos que conseguem aparecer entre os primeiros resultados da pesquisa, geralmente na forma de anúncios.
Uma vez no site falso, a estética e o design são idênticos aos do site oficial. E, para acessar o suposto homebanking, ele inclui campos nos quais as vítimas devem inserir credenciais de login, que, na realidade, viajarão sem parar para as mãos dos cibercriminosos.
Depois que a pessoa digita seu nome de usuário e senha, o site geralmente finge verificar os dados fornecidos, quando na realidade os cibercriminosos estão fazendo login com as credenciais roubadas no site legítimo do banco.
Um dos casos mais recentes analisados no WeLiveSecurity abrange os detalhes de dois sites falsos que se fazem passar pelo site oficial do Banco Itaú (uma entidade bem conhecida com presença em vários países da América Latina), com o objetivo de roubar as credenciais bancárias de clientes no Brasil e também na Argentina. Em casos como esse, é necessário esclarecer que o banco também é uma vítima, pois seu nome é usado para enganar seus clientes. De fato, em seu site oficial, o banco compartilha várias dicas para evitar que as pessoas caiam em diferentes tipos de fraude em seu nome.
Sites comprometidos anteriormente
Outra maneira usada pelos cibercriminosos é comprometer os sites com antecedência para obter as credenciais bancárias dos usuários. Para isso, eles podem explorar uma vulnerabilidade em scripts ou plug-ins que não tenham sido atualizados ou falhas de segurança que não tenham sido descobertas. Em seguida, eles podem adicionar um redirecionamento do site da vítima para o site do invasor, a partir do qual podem obter as tão desejadas credenciais.
Por outro lado, os invasores geralmente criam uma página falsa dentro do site oficial, mascarando-se como uma entidade. Quando as vítimas entram nessas páginas falsas, é muito provável que elas sejam solicitadas a inserir seus dados bancários.
Malware
Assim como a tecnologia, o malware também evoluiu aos montes. De fato, existem no mercado diferentes tipos de códigos maliciosos projetados especificamente para roubar informações. Como eles fazem isso? Alguns registram as teclas digitadas pela vítima enquanto ela digita as senhas bancárias em um site de comércio eletrônico ou bancário.
Os Trojans bancários merecem um parágrafo à parte, pois estão espalhados por toda a região e causaram danos no valor de 110 milhões de euros. Mekotio, Casbaneiro,Amavaldo ou Grandoreiro são apenas algumas das famílias capazes de realizar diferentes ações maliciosas, mas que se destacam principalmente por se fazerem passar por bancos por meio de pop-ups falsos e, assim, roubar informações confidenciais das vítimas.
A próxima pergunta é: como os cibercriminosos colocam esse malware em nossos computadores? E há várias respostas. Por um lado, por meio de e-mails de phishing ou mensagens de texto. Também por meio de anúncios mal-intencionados, do comprometimento de um site que recebe muitas visitas (determinados códigos mal-intencionados são automaticamente baixados e instalados no computador assim que o usuário visita o site) e podem até mesmo estar ocultos em aplicativos móveis mal-intencionados que fingem ser legítimos.
Chamadas telefônicas
As chamadas telefônicas representam outro vetor por meio do qual os cibercriminosos conseguem obter os dados bancários da vítima. Como os cibercriminosos são profissionais em seu campo e geralmente contam histórias muito convincentes, eles usam a engenharia social para enganar e roubar informações confidenciais, como senhas bancárias.
Os invasores podem entrar em contato com a vítima por meio de chamadas telefônicas em massa, com o único objetivo de obter uma comunicação mais pessoal do que por e-mail: isso torna a manipulação muito mais fácil de ser realizada. As desculpas usadas? Para relatar um problema específico com a conta bancária ou uma transação fraudulenta associada à vítima. Para a suposta resolução, eles solicitarão informações pessoais e senhas da conta.
Na verdade, vários bancos alertam sobre essa ameaça em seus sites e fornecem informações de prevenção muito úteis para seus usuários.
Perfis falsos em redes sociais
Outra tática comum e muito eficiente para os cibercriminosos é criar perfis falsos nas redes sociais (ou seja, Facebook, Instagram ou Twitter) e, a partir daí, aplicar o golpe que termina com a obtenção de credenciais bancárias de vítimas desavisadas ou desinformadas.
De fato, há muitos casos no Twitter e no Instagram que mostram como os fraudadores monitoram os comentários feitos pelos usuários com determinadas palavras-chave ou ao marcar um perfil verificado. Eles se aproveitam da urgência que essas mensagens geralmente carregam (geralmente são reclamações ou algum tipo de inconveniente a ser resolvido) e, por meio desses perfis falsos (sem marca de verificação), enviam mensagens diretas fingindo ser a conta oficial do banco.
Tanto que usam o mesmo logotipo e uma variação do nome oficial, e até oferecem o contato do serviço de atendimento ao cliente ou pedem um número de contato. O fim é conhecido: as vítimas são contatadas por falsos representantes do atendimento ao cliente que tentarão extrair informações como senhas, tokens ou outros dados para obter acesso às suas contas e esvaziá-las.
Scraping
Nunca ouviu falar de scraping? Bem, o scraping funciona de forma muito simples: quando uma pessoa começa a seguir a conta oficial de um banco nas redes sociais para fazer uma consulta, os cibercriminosos entram em contato com ela de forma privada, imediatamente, fingindo ser o banco em questão. Se a vítima responder à mensagem sem verificar se é uma conta real ou falsa, o suposto consultor pedirá um número de telefone para continuar a consulta por esse canal.
O restante da história é familiar: ele usará todas as informações disponíveis nas redes sociais e na Internet em geral para fazer com que a vítima acredite que ele é realmente um colaborador do banco e que está ali para dar suporte. Quando a vítima confiar nele, o suposto consultor solicitará informações bancárias, que serão usadas para esvaziar a conta.
Como podemos nos proteger?
O primeiro passo, como sempre nesses casos, é conhecer as estratégias e técnicas usadas pelos cibercriminosos para obter credenciais bancárias e qualquer outro tipo de informação confidencial. E o principal aliado para manter suas senhas protegidas é uma solução de segurança, que cuidará de todas as operações on-line, mas, sobretudo, das operações bancárias.
As soluções de segurança da ESET possuem funcionalidades especialmente projetadas para garantir que tanto as senhas quanto todos os tipos de transações bancárias estejam seguras e protegidas. De fato, o ESET HOME Essential conta com o Online Banking and Payment Protection, que garante que todas as transações online sejam protegidas em um ambiente seguro e protegido, fornecendo proteção contínua contra fraudes online.
Com o Modo de Navegador Seguro (disponível para Internet Explorer, Microsoft Edge, Google Chrome e Firefox), ele oferece proteção automática ao realizar transações bancárias online e acessar krypto-wallets baseadas na Web.
Ele também criptografa automaticamente a comunicação entre o teclado e o navegador (em todos os navegadores compatíveis) para fornecer uma camada adicional de segurança contra keyloggers, malware e outros tipos de ameaças digitais.
Práticas recomendadas de segurança
- Além disso, há práticas recomendadas que podem reduzir significativamente o risco de ser vítima das estratégias mencionadas acima:
- Verificar o endereço da Web visitado e confirmar se é o correto.
- Verifique se o site tem um certificado de segurança válido, assinado pela empresa que afirma ser.
- Não forneça informações pessoais ou financeiras a menos que tenha certeza de que o site é legítimo.
- Não divulgue nenhum detalhe por telefone, mesmo que a pessoa do outro lado da linha pareça convincente.Verifique de onde a pessoa está ligando e, em seguida, ligue de volta para a organização para verificar.É importante não usar os números de contato fornecidos por essa pessoa.
- Não clique em links ou baixe arquivos de e-mails suspeitos, mensagens de mídia social, mensagens instantâneas (WhatsApp, Telegram) ou mensagens de texto ou de remetentes desconhecidos.
- Use sempre um software de segurança para proteger seu computador contra malware e outras ameaças, e mantenha-o atualizado.