Exibo neste artigo o passo a passo de uma fraude do tipo phishing scam (pesca-bobos) que chega por e-mail, para alertar a todos de o que é e como pode aparentar um dos muitos tipos de fraude bancária existentes na Internet.
A mensagem de e-mail
Chega por e-mail um spam, enviados a milhões de pessoas, a seguinte mensagem fraudulenta.
[photopress:fraude_bradesco_email.png,full,centered]
Uma parcela dos destinatários será realmente usuário do banco em questão (Bradesco). Destes, alguns serão ingênuos e desprevenidos o bastante para cair na farsa.
A página web
Quem clica no link da mensagem de correio eletrônico, cujo domínio é muito duvidoso (Pense: por que o banco legítimo usaria um desconhecido atendimento-v6.com e não o domínio do próprio banco bradesco.com.br? Indício claro de fraude) é direcionado para uma página web onde o Passo 1 é escolher o tipo de cliente.
A página web exibe inicialmente uma janela de diálogo para tentar “tranquilizar” o cliente otário…
[photopress:fraude_bradesco_web_01.png,full,centered]
[photopress:fraude_bradesco_web_01_dlg.png,full,centered]
“FIQUE TRANQUILO – Você está operando em um ambiente seguro e criptografado, apartir (sic) de agora somente o seu computador e os nossos servidores centrais entendem as informações digitadas.”
Ambiente seguro??? Não existe ambiente seguro se não há o protocolo HTTPS (observe nesta página de fraude o http comum, sem s, na barra de endereço), quando aparece o famoso cadeado exibido pelo próprio navegador. O cadeado vermelho exibido é uma mera imagem fajuta na página, não significa nada.
Veja a seguir imagens no Firefox (3.6) e Internet Explorer (8) exibindo uma conexão segura real. O endereço começa sempre com https (S de seguro) e o navegador exibe um cadeado. O do Firefox é no canto inferior direito da janela, na barra de estado; o do Internet Explorer 8 passou a ser exibido no final da barra de endereço.
[photopress:https_firefox.png,full,centered]
[photopress:https_ie8.png,full,centered]
Pessoa física – passo a passo
Os passos para pessoa física, ou clientes Prime e Private são praticamente idênticas. Veja a seguir os passos exibidos quando se escolhe Pessoa Física.
[photopress:fraude_bradesco_web_pf_02.png,full,centered]
[photopress:fraude_bradesco_web_pf_02_dlg.png,full,centered]
A digitação da conta inclui o requinte de efetivamente validar o dígito verificador. Se digitado incorreto, a janela de diálogo acima é exibida e não se pode prosseguir.
Na tela de digitação da senha de quatro dígitos, uma mensagem ameaçadora incentiva o usuário a continuar:
“Não cancele a atualização do Plugin de Segurança, pois ocorrerá o bloqueio imediato de sua conta por medidas de segurança.”
[photopress:fraude_bradesco_web_pf_03.png,full,centered]
[photopress:fraude_bradesco_web_pf_03_dlg.png,full,centered]
O script de digitação pelo telcado virtual não funciona no Firefox. No Internet Explorer a digitação funcionou, embora a diagramação da tela é que ficou incorreta, por causa de um número de controle exibido no alto. Veja a seguir.
[photopress:fraude_bradesco_web_pf_03_ie.png,full,centered]
No Passo 4 seguinte, o auge do indício total de fraude: Todos os 70 códigos do cartão de segurança emitido pelo banco são solicitados, e não apenas um como é a medida de segurança nas transações legítimas. Só o fraudador é que precisa de todos os códigos, para usar um deles que for solicitado pelo banco quando ele for utilizar os dados que está roubando aqui.
[photopress:fraude_bradesco_web_pf_04.png,full,centered]
[photopress:fraude_bradesco_web_pf_04_dlg.png,full,centered]
Mais uma vez, a validação. Nenhum código pode ser deixado em branco, senão uma mensagem é exibida e a fraude não prossegue.
O toque final, a senha de seis dígitos do cartão magnético. Novamente, a digitação só funciona no IE.
[photopress:fraude_bradesco_web_pf_05.png,full,centered]
[photopress:fraude_bradesco_web_pf_05_dlg.png,full,centered]
[photopress:fraude_bradesco_web_pf_06.png,full,centered]
[photopress:fraude_bradesco_web_pf_07.png,full,centered]
Pronto, fraude completa! Para quem digitou direitinho e pacientemente tudo, agora o fraudador tem todos os dados secretos da sua conta bancária e está apto a fazer qualquer transação eletrônica nesta conta.
Em um requinte de sofisticação, mais uma validação feita na fraude. Ela salva na sessão do navegador que a fraude foi concluída. Se você fizer tentativa de iniciá-la novamente, é exibida a mensagem a seguir, informando que “sua conta já foi cadastrada (isto é, roubada) com sucesso” pelo programa do fraudador.
[photopress:fraude_bradesco_web_01_again.png,full,centered]
Pessoa Jurídica
Na opção para pessoa jurídica, o Passo 2, em duas etapas, é ligeiramente diferente.
[photopress:fraude_bradesco_web_pj_02A.png,full,centered]
[photopress:fraude_bradesco_web_pj_02B.png,full,centered]
Conclusão
Banco nenhum faz recadastramento ou validação desta forma, muito menos solicitando todos os seus dados sigilosos!
Este tipo de fraude é por formulário, induzindo o próprio usuário a informar docilmente todos os seus dados em uma página de fraude que será enviada ao ladrão.
Outra técnica de fraude existente, quase sempre iniciada por uma mensagem de spam por e-mail, apresenta algum pretexto impactante/alarmante que o faça clicar em um link, baixar e instalar um programa. Este programa tipicamente é um cavalo-de-tróia (trojan) espião, que fica em execução para tentar capturar em seu computador dados bancários ou outras informações sigilosas, para enviá-las ao fraudador via internet.
Para ver mais exemplos de fraude de todos os tipos e organizadas por temas dos pretextos, veja meu artigo: Phishing Scam – A fraude inunda o correio eletrônico.
Nota: os avisos de página falsa e de classificação ruim exibidos no alto de algumas imagens são exibidos pelo Antiphishing nativo do Firefox e pelo plugin WOT, respectivamente. Para saber mais, consulte o artigo Quem avisa amigo é – Classificação de sites.
detalhe eh no portugues totalmente errado, incoerente/sem sentido e vírgulas fora de lugar. rs
opa! Excelente dica, eu nao sei como tem gente que ainda cai, pq o banco ja está cansado de falar que nao envia nada por email aos seus clients, mas nao tem jeito ninguem leva a serio pelo visto. E outra o endereco, é um dos piores. Nao sei pq tanta gente ainda cai, pq nao eh algo tao complexo de entender.
Parabens por ajudar aos usuarios.
Tá, mas uma vez que pegou esse spyware como faz para se livrar dêle ???
Estou com esse programa espião escondido na minha máquina e não consigo localiza-lo para excluí-lo (claro que não fornecí nenhum dado bancário mas quero me livrar dêle)
@Marcos Zonatto:
Como em geral o programa espião se instala para autoexecução no Windows, os passos mais comuns são:
1. Encontrar a entrada de autoexecução do programa espião e removê-la/desativá-la.
Você pode usar:
(a) O utilitário gratuito da Microsoft e SysInternals chamado Autoruns, disponível para download em http://technet.microsoft.com/en-us/bb963902.aspx (não requer instalação, apenas executar, aba Autoruns);
(b) o programa msconfig que vem com o Windows (menu Iniciar > opção Executar > digite “msconfig” e Enter/OK > aba Inicialização de Programas).
Eu prefiro o Autoruns, mais completo e flexível, embora requeira baixar.
2. Identificar o programa suspeito entre os configurados para executar automaticamente na inicialização do Windows. Infelizmente, essa é uma localização manual.
3. Desativar e remover a entrada, anotando a localização (path) do programa espião.
4. Reiniciar o Windows, que inicializará sem carregar automaticamente o programa.
5. Excluir o arquivo do programa espião, no path anteriormente indicado.
Real, eu recebi algumas menssagens bem coerentes supostamente do banco santander que apresentavam um golpe muito comum para a aquisição de dados pessoais a pagina estava perfeita.só que eu exlui a mesma.Não cai no golpe porque todo banco sempre informa que não faz esse tipo de menssagem por e-mail, alguns dias depois recebi outra menssagem dizendo que o dinheiro havia caido na conta então, fiquei assustado mais eu não efetuei nehum cadastro então fiquei mais aliviado na menssagem de resposta pediam que eu poderia entra em contato a qualquer hora do dia para ter mais informações sobre minha conta
Dica p/ quem se sentir preocupado envie quantas menssagens quiser menssagem para o e-mail da policia federal para crimes virtuais
[email protected]
@Renato: Parabéns pela sua atitude cuidadosa. Quanto ao e-mail da Polícia Federal, recomendo duas coisas: 1) Primeiro, ser parcimonioso e só enviar mensagens das quais se tenha real suspeita de fraude ou crime eletrônico; o envio excessivo de mensagens para a polícia certamente acarretará em dificuldade para que eles avaliem e deem pronto retorno, o que será ruim para nós mesmos cidadãos quando precisarmos de pronto apoio do órgão. 2) É importante encaminhar sempre a mensagem suspeita como anexo, incluindo todos os cabeçalhos (inclusive os dados mais técnicos, que não ficam na parte visível do cabeçalho).
A propósito, sugiro ler a nota http://www.dpf.gov.br/institucional/campanhas/pf-alerta-para-e-mails-falsos
oi tudo bom meu nome e jolzer
qua participa
Tudo certo; só que a culpa disto acontecer não vem somente dos golpistas ou dos clientes, que preenchem esses cadastros, mas dos próprios Bancos, que para voçe fazer um cadastro para utilizar o “Internet Banking” no site oficial do Bradesco, o mesmo pede para voçe digitar um E-mail válido, Se o Bradesco não manda E-mails?
Já bloquearam duas vezes minha senha de 4 números, alegando que minha conta foi atacada por hackers. Que meu computador estaria com vírus, que eu teria que mandar formatar o computador. Não sou trouxa de gastar dinheiro com formatação, se os hackers invadem por rede e não somente por HD.
De que adianta o Bradesco somente nos avisar que não manda e-mails, se não tem um sistema de segurança que funcione de verdade?
Sem falar em hackers infiltrados trabalhando nos próprios Bancos.