Conforme os internautas migram do email para as redes sociais, os bandidos vão atrás e as fraudes que normalmente se propagavam por email agora usam sites como Orkut, Twitter e Facebook para amealhar suas vítimas. Este movimento já chegou ao Brasil, e nesta terça-feira a reportagem da Geek flagrou nos anúncios do Facebook uma tentativa de fraude direcionada a clientes de um banco nacional.
O anúncio carrega uma imagem com a logomarca do Itaú e a chamada "Realize operações online pelo (sic) computador sem sair de casa!". Em nenhuma parte do texto - nem no título "Feito para você" e nem na URL (omitida pela reportagem para evitar a propagação da fraude) - o nome do Itaú é citado, o que dificulta a identificação da fraude por mecanismos automáticos do Facebook ou mesmo do banco.
Mas mesmo com cores "apagadas", o logotipo e o slogan do banco nacional permitem o reconhecimento imediato pela potencial vítima, que ao clicar será conduzida a um site que tenta roubar suas senhas bancárias.
A propaganda do site enganoso não é feita por mensagens transmitidas "boca a boca" e nem se trata de um vírus, como já ocorreu no Facebook anteriormente. Neste caso, o fraudador adquiriu espaço publicitário convencional no Facebook e teve a "isca" para sua fraude exposta junto a anúncios perfeitamente legítimos. Para isso, ele só precisou fazer um pequeno cadastro e preencher alguns formulários simples.
Também é importante salientar que não há muito o que o banco possa fazer para evitar golpes como este, conhecidos como "phishing" e que são essencialmente o roubo de sua identidade por estelionatários. O Facebook, que transmitiu a mensagem e lucra com a publicidade, é quem efetivamente pode tomar ações para evitar a propaganda e identificar os responsáveis pelo mau uso de seu sistema de anúncios. Porém, não há maneira fácil de denunciar uma propaganda como sendo fraudulenta - as opções vão de "Desinteressante" a "Repetitivo", mas para denunciar um golpe é preciso preencher manualmente o formulário.
A Geek entrou em contato com o Facebook na manhã desta terça-feira, mas ainda não obteve resposta do site.
Em um comunicado em seu site, o Itaú afirma ter tomado conhecimento do golpe e alerta que o link no Facebook não leva ao site do banco. A empresa diz estar tomando providências para a retirada do anúncio falso e para evitar que esse tipo de golpe se propague. O Itaú alerta que os clientes devem acessar diretamente a URL do banco para realizar transações bancárias.
Anatomia da fraude Para compreender melhor a fraude, a Geek "caiu" nela, acessando o site e digitando dados falsos sempre que pedido. Ao clicar no anúncio fraudulento, a vítima é conduzida a um site idêntico ao do banco. A fim de adquirir certa verossimilhança, os links da página conduzem ao site original do Itaú, mas ao preencher os dados para acessar sua conta o usuário continua dentro do site de phishing.
Neste momento algumas diferenças aparecem: no sistema original o nome do titular da conta é exibido, mas na página da fraude esta informação não está disponível. Outros esquemas de segurança do site também precisam ser alterados para perpretar a fraude, e o teclado de 5 botões agora tem 10 botões - o original, com 2 números por botão, torna impossível saber qual seria a senha original digitada.
Claro que o site não tem como saber se a senha é verdadeira, e independentemente do código digitado, a vítima é conduzida a uma página que tenta burlar o cartão de senhas ou o token digital. No primeiro caso, o bandido tenta obter todas as senhas do cartão de papel cuja função é justamente evitar este tipo de fraude, enquanto no segundo caso ele solicita o código exibido no momento pela versão eletrônica da proteção de senha. Para terminar, o site ainda tenta roubar a última proteção do cliente, que é a senha do seu cartão real.
O site fraudulento não tenta burlar em nenhum momento qualquer esquema de criptografia ou autenticação - o usuário poderia perceber o problema ao observar que o cadeado do navegador não indicava que o site era confiável. Ele também não instala vírus ou qualquer tipo de malware, e tudo se baseia na simples ilusão ao mostrar uma aparência familiar ao internauta.
Geek