Exibo neste artigo o passo a passo de uma fraude do tipo phishing scam (pesca-bobos) que chega por e-mail, para alertar a todos de o que é e como pode aparentar um dos muitos tipos de fraude bancária existentes na Internet.
A mensagem de e-mail
Chega por e-mail um spam, enviados a milhões de pessoas, a seguinte mensagem fraudulenta.
[photopress:fraude_bradesco_email.png,full,centered]
Uma parcela dos destinatários será realmente usuário do banco em questão (Bradesco). Destes, alguns serão ingênuos e desprevenidos o bastante para cair na farsa.
A página web
Quem clica no link da mensagem de correio eletrônico, cujo domínio é muito duvidoso (Pense: por que o banco legítimo usaria um desconhecido atendimento-v6.com e não o domínio do próprio banco bradesco.com.br? Indício claro de fraude) é direcionado para uma página web onde o Passo 1 é escolher o tipo de cliente.
A página web exibe inicialmente uma janela de diálogo para tentar “tranquilizar” o cliente otário…
[photopress:fraude_bradesco_web_01.png,full,centered]
[photopress:fraude_bradesco_web_01_dlg.png,full,centered]
“FIQUE TRANQUILO – Você está operando em um ambiente seguro e criptografado, apartir (sic) de agora somente o seu computador e os nossos servidores centrais entendem as informações digitadas.”
Ambiente seguro??? Não existe ambiente seguro se não há o protocolo HTTPS (observe nesta página de fraude o http comum, sem s, na barra de endereço), quando aparece o famoso cadeado exibido pelo próprio navegador. O cadeado vermelho exibido é uma mera imagem fajuta na página, não significa nada.
Veja a seguir imagens no Firefox (3.6) e Internet Explorer (8) exibindo uma conexão segura real. O endereço começa sempre com https (S de seguro) e o navegador exibe um cadeado. O do Firefox é no canto inferior direito da janela, na barra de estado; o do Internet Explorer 8 passou a ser exibido no final da barra de endereço.
[photopress:https_firefox.png,full,centered]
[photopress:https_ie8.png,full,centered]
Pessoa física – passo a passo
Os passos para pessoa física, ou clientes Prime e Private são praticamente idênticas. Veja a seguir os passos exibidos quando se escolhe Pessoa Física.
[photopress:fraude_bradesco_web_pf_02.png,full,centered]
[photopress:fraude_bradesco_web_pf_02_dlg.png,full,centered]
A digitação da conta inclui o requinte de efetivamente validar o dígito verificador. Se digitado incorreto, a janela de diálogo acima é exibida e não se pode prosseguir.
Na tela de digitação da senha de quatro dígitos, uma mensagem ameaçadora incentiva o usuário a continuar:
“Não cancele a atualização do Plugin de Segurança, pois ocorrerá o bloqueio imediato de sua conta por medidas de segurança.”
[photopress:fraude_bradesco_web_pf_03.png,full,centered]
[photopress:fraude_bradesco_web_pf_03_dlg.png,full,centered]
O script de digitação pelo telcado virtual não funciona no Firefox. No Internet Explorer a digitação funcionou, embora a diagramação da tela é que ficou incorreta, por causa de um número de controle exibido no alto. Veja a seguir.
[photopress:fraude_bradesco_web_pf_03_ie.png,full,centered]
No Passo 4 seguinte, o auge do indício total de fraude: Todos os 70 códigos do cartão de segurança emitido pelo banco são solicitados, e não apenas um como é a medida de segurança nas transações legítimas. Só o fraudador é que precisa de todos os códigos, para usar um deles que for solicitado pelo banco quando ele for utilizar os dados que está roubando aqui.
[photopress:fraude_bradesco_web_pf_04.png,full,centered]
[photopress:fraude_bradesco_web_pf_04_dlg.png,full,centered]
Mais uma vez, a validação. Nenhum código pode ser deixado em branco, senão uma mensagem é exibida e a fraude não prossegue.
O toque final, a senha de seis dígitos do cartão magnético. Novamente, a digitação só funciona no IE.
[photopress:fraude_bradesco_web_pf_05.png,full,centered]
[photopress:fraude_bradesco_web_pf_05_dlg.png,full,centered]
[photopress:fraude_bradesco_web_pf_06.png,full,centered]
[photopress:fraude_bradesco_web_pf_07.png,full,centered]
Pronto, fraude completa! Para quem digitou direitinho e pacientemente tudo, agora o fraudador tem todos os dados secretos da sua conta bancária e está apto a fazer qualquer transação eletrônica nesta conta.
Em um requinte de sofisticação, mais uma validação feita na fraude. Ela salva na sessão do navegador que a fraude foi concluída. Se você fizer tentativa de iniciá-la novamente, é exibida a mensagem a seguir, informando que “sua conta já foi cadastrada (isto é, roubada) com sucesso” pelo programa do fraudador.
[photopress:fraude_bradesco_web_01_again.png,full,centered]
Pessoa Jurídica
Na opção para pessoa jurídica, o Passo 2, em duas etapas, é ligeiramente diferente.
[photopress:fraude_bradesco_web_pj_02A.png,full,centered]
[photopress:fraude_bradesco_web_pj_02B.png,full,centered]
Conclusão
Banco nenhum faz recadastramento ou validação desta forma, muito menos solicitando todos os seus dados sigilosos!
Este tipo de fraude é por formulário, induzindo o próprio usuário a informar docilmente todos os seus dados em uma página de fraude que será enviada ao ladrão.
Outra técnica de fraude existente, quase sempre iniciada por uma mensagem de spam por e-mail, apresenta algum pretexto impactante/alarmante que o faça clicar em um link, baixar e instalar um programa. Este programa tipicamente é um cavalo-de-tróia (trojan) espião, que fica em execução para tentar capturar em seu computador dados bancários ou outras informações sigilosas, para enviá-las ao fraudador via internet.
Para ver mais exemplos de fraude de todos os tipos e organizadas por temas dos pretextos, veja meu artigo: Phishing Scam – A fraude inunda o correio eletrônico.
Nota: os avisos de página falsa e de classificação ruim exibidos no alto de algumas imagens são exibidos pelo Antiphishing nativo do Firefox e pelo plugin WOT, respectivamente. Para saber mais, consulte o artigo Quem avisa amigo é – Classificação de sites.