qua 24 mar 2010
Fraude “Bradesco” – cara de pau passo a passo
Postado por Márcio sob Cotidiano , Internet , Pragas virtuais , Segurança[7] Comentários
Exibo neste artigo o passo a passo de uma fraude do tipo phishing scam (pesca-bobos) que chega por e-mail, para alertar a todos de o que é e como pode aparentar um dos muitos tipos de fraude bancária existentes na Internet.
A mensagem de e-mail
Chega por e-mail um spam, enviados a milhões de pessoas, a seguinte mensagem fraudulenta.
Uma parcela dos destinatários será realmente usuário do banco em questão (Bradesco). Destes, alguns serão ingênuos e desprevenidos o bastante para cair na farsa.
A página web
Quem clica no link da mensagem de correio eletrônico, cujo domínio é muito duvidoso (Pense: por que o banco legítimo usaria um desconhecido atendimento-v6.com e não o domínio do próprio banco bradesco.com.br? Indício claro de fraude) é direcionado para uma página web onde o Passo 1 é escolher o tipo de cliente.
A página web exibe inicialmente uma janela de diálogo para tentar “tranquilizar” o cliente otário…
“FIQUE TRANQUILO – Você está operando em um ambiente seguro e criptografado, apartir (sic) de agora somente o seu computador e os nossos servidores centrais entendem as informações digitadas.”
Ambiente seguro??? Não existe ambiente seguro se não há o protocolo HTTPS (observe nesta página de fraude o http comum, sem s, na barra de endereço), quando aparece o famoso cadeado exibido pelo próprio navegador. O cadeado vermelho exibido é uma mera imagem fajuta na página, não significa nada.
Veja a seguir imagens no Firefox (3.6) e Internet Explorer (8) exibindo uma conexão segura real. O endereço começa sempre com https (S de seguro) e o navegador exibe um cadeado. O do Firefox é no canto inferior direito da janela, na barra de estado; o do Internet Explorer 8 passou a ser exibido no final da barra de endereço.
Pessoa física – passo a passo
Os passos para pessoa física, ou clientes Prime e Private são praticamente idênticas. Veja a seguir os passos exibidos quando se escolhe Pessoa Física.
A digitação da conta inclui o requinte de efetivamente validar o dígito verificador. Se digitado incorreto, a janela de diálogo acima é exibida e não se pode prosseguir.
Na tela de digitação da senha de quatro dígitos, uma mensagem ameaçadora incentiva o usuário a continuar:
“Não cancele a atualização do Plugin de Segurança, pois ocorrerá o bloqueio imediato de sua conta por medidas de segurança.”
O script de digitação pelo telcado virtual não funciona no Firefox. No Internet Explorer a digitação funcionou, embora a diagramação da tela é que ficou incorreta, por causa de um número de controle exibido no alto. Veja a seguir.
No Passo 4 seguinte, o auge do indício total de fraude: Todos os 70 códigos do cartão de segurança emitido pelo banco são solicitados, e não apenas um como é a medida de segurança nas transações legítimas. Só o fraudador é que precisa de todos os códigos, para usar um deles que for solicitado pelo banco quando ele for utilizar os dados que está roubando aqui.
Mais uma vez, a validação. Nenhum código pode ser deixado em branco, senão uma mensagem é exibida e a fraude não prossegue.
O toque final, a senha de seis dígitos do cartão magnético. Novamente, a digitação só funciona no IE.
Pronto, fraude completa! Para quem digitou direitinho e pacientemente tudo, agora o fraudador tem todos os dados secretos da sua conta bancária e está apto a fazer qualquer transação eletrônica nesta conta.
Em um requinte de sofisticação, mais uma validação feita na fraude. Ela salva na sessão do navegador que a fraude foi concluída. Se você fizer tentativa de iniciá-la novamente, é exibida a mensagem a seguir, informando que “sua conta já foi cadastrada (isto é, roubada) com sucesso” pelo programa do fraudador.
Pessoa Jurídica
Na opção para pessoa jurídica, o Passo 2, em duas etapas, é ligeiramente diferente.
Conclusão
Banco nenhum faz recadastramento ou validação desta forma, muito menos solicitando todos os seus dados sigilosos!
Este tipo de fraude é por formulário, induzindo o próprio usuário a informar docilmente todos os seus dados em uma página de fraude que será enviada ao ladrão.
Outra técnica de fraude existente, quase sempre iniciada por uma mensagem de spam por e-mail, apresenta algum pretexto impactante/alarmante que o faça clicar em um link, baixar e instalar um programa. Este programa tipicamente é um cavalo-de-tróia (trojan) espião, que fica em execução para tentar capturar em seu computador dados bancários ou outras informações sigilosas, para enviá-las ao fraudador via internet.
Para ver mais exemplos de fraude de todos os tipos e organizadas por temas dos pretextos, veja meu artigo: Phishing Scam – A fraude inunda o correio eletrônico.
Nota: os avisos de página falsa e de classificação ruim exibidos no alto de algumas imagens são exibidos pelo Antiphishing nativo do Firefox e pelo plugin WOT, respectivamente. Para saber mais, consulte o artigo Quem avisa amigo é – Classificação de sites.
março 24th, 2010 at 14:32
detalhe eh no portugues totalmente errado, incoerente/sem sentido e vírgulas fora de lugar. rs
março 24th, 2010 at 15:38
opa! Excelente dica, eu nao sei como tem gente que ainda cai, pq o banco ja está cansado de falar que nao envia nada por email aos seus clients, mas nao tem jeito ninguem leva a serio pelo visto. E outra o endereco, é um dos piores. Nao sei pq tanta gente ainda cai, pq nao eh algo tao complexo de entender.
Parabens por ajudar aos usuarios.
setembro 24th, 2010 at 13:09
Tá, mas uma vez que pegou esse spyware como faz para se livrar dêle ???
Estou com esse programa espião escondido na minha máquina e não consigo localiza-lo para excluí-lo (claro que não fornecí nenhum dado bancário mas quero me livrar dêle)
setembro 25th, 2010 at 0:17
@Marcos Zonatto:
Como em geral o programa espião se instala para autoexecução no Windows, os passos mais comuns são:
1. Encontrar a entrada de autoexecução do programa espião e removê-la/desativá-la.
Você pode usar:
(a) O utilitário gratuito da Microsoft e SysInternals chamado Autoruns, disponível para download em http://technet.microsoft.com/en-us/bb963902.aspx (não requer instalação, apenas executar, aba Autoruns);
(b) o programa msconfig que vem com o Windows (menu Iniciar > opção Executar > digite “msconfig” e Enter/OK > aba Inicialização de Programas).
Eu prefiro o Autoruns, mais completo e flexível, embora requeira baixar.
2. Identificar o programa suspeito entre os configurados para executar automaticamente na inicialização do Windows. Infelizmente, essa é uma localização manual.
3. Desativar e remover a entrada, anotando a localização (path) do programa espião.
4. Reiniciar o Windows, que inicializará sem carregar automaticamente o programa.
5. Excluir o arquivo do programa espião, no path anteriormente indicado.
fevereiro 7th, 2011 at 11:34
Real, eu recebi algumas menssagens bem coerentes supostamente do banco santander que apresentavam um golpe muito comum para a aquisição de dados pessoais a pagina estava perfeita.só que eu exlui a mesma.Não cai no golpe porque todo banco sempre informa que não faz esse tipo de menssagem por e-mail, alguns dias depois recebi outra menssagem dizendo que o dinheiro havia caido na conta então, fiquei assustado mais eu não efetuei nehum cadastro então fiquei mais aliviado na menssagem de resposta pediam que eu poderia entra em contato a qualquer hora do dia para ter mais informações sobre minha conta
Dica p/ quem se sentir preocupado envie quantas menssagens quiser menssagem para o e-mail da policia federal para crimes virtuais
crime.internet@dpf.gov.br
fevereiro 7th, 2011 at 17:44
@Renato: Parabéns pela sua atitude cuidadosa. Quanto ao e-mail da Polícia Federal, recomendo duas coisas: 1) Primeiro, ser parcimonioso e só enviar mensagens das quais se tenha real suspeita de fraude ou crime eletrônico; o envio excessivo de mensagens para a polícia certamente acarretará em dificuldade para que eles avaliem e deem pronto retorno, o que será ruim para nós mesmos cidadãos quando precisarmos de pronto apoio do órgão. 2) É importante encaminhar sempre a mensagem suspeita como anexo, incluindo todos os cabeçalhos (inclusive os dados mais técnicos, que não ficam na parte visível do cabeçalho).
A propósito, sugiro ler a nota http://www.dpf.gov.br/institucional/campanhas/pf-alerta-para-e-mails-falsos
janeiro 1st, 2012 at 23:36
oi tudo bom meu nome e jolzer
qua participa