COMO EVITAR FRAUDES BANCÁRIAS NA INTERNET

1 – Minimize a página.
Se o teclado virtual for minimizado também, está correto.
Se ele permanecer na tela sem minimizar, é pirata! Não tecle nada.

2 – Sempre que entrar no site do banco, digite sua senha ERRADA na primeira vez. Se aparecer uma mensagem de erro significa que o site é realmente do banco, porque o sistema tem como checar a senha digitada.
Mas se digitar a senha errada e não acusar erro é mau sinal. Sites piratas não têm como conferir a informação, o objetivo é apenas capturar a senha.

3 – Sempre que entrar no site do banco, verifique se no rodapé da página aparece o ícone de um cadeado, além disso clique 2 vezes sobre esse ícone; uma pequena janela com informações sobre a autenticidade do site deve aparecer.
Em alguns sites piratas o cadeado pode até aparecer, mas será apenas uma imagem e ao clicar 2 vezes sobre ele, nada irá acontecer.

Os 3 pequenos procedimentos acima são simples, mas garantirão que vocês jamais seja vítima de fraude.

Lulu Micaldas

Scam - A fraude inunda o correio eletrônico

Márcio d'Ávila, 28 de junho de 2004. Revisão 39, 3 de novembro de 2007.

Categoria: Segurança: Malware: Fraude

Exemplos de como o spam tem sido cada vez mais usado para proliferar fraudes, e informações sobre como reconhecer os indícios e características de mensagens de fraude circulando na Internet.

---

A Internet está cada vez mais perigosa para os desavisados. Muito além do vírus de computador e dos chamados hackers, é preocupante o aumento de ações de criminosos e delinqüentes cometendo fraudes de todo tipo através da Internet.

As fraudes on-line visam, em geral, o seqüestro de dados bancários (conta, senha) e pessoais, ou outras informações que possam ser úteis a malfeitores. O princípio geral destas fraudes consiste abordar em larga escala usuários de Internet, quase sempre por correio eletrônico (e-mail), usando algum assunto atrativo como disfarce para induzir as vítimas a fornecer dados sigilosos ou a instalar um programa que rouba informações no computador. Este tipo de fraude tem sido denominado scam ou ainda phishing scam (algo como “fraude pesca-bobos”, em português).

Os fatores que, combinados, levam à ocorrência e proliferação de scam são:

• a facilidade com que um e-mail pode ser forjado e fraudado;
• a proliferação e a diversificação de listas e programas para envio de spam (mala-direta ilegal por correio eletrônico) em larga escala (milhões de mensagens de uma vez);
• a facilidade de se publicar qualquer conteúdo e arquivos executáveis na web, principalmente em serviços de hospedagem gratuita e que não exigem uma identificação legítima;
• a carência de legislação e meios de controle e segurança que permitam rastrear, identificar, coibir e punir ações criminosas na Internet de forma rápida, eficaz e globalizada;
• e, claro, a existência de uma quantidade enorme de usuários de Internet com pouco ou nenhum conhecimento técnico, ingênuos e despreparados para sequer desconfiar dos perigos existentes.

Dentre as mensagens indesejadas e não-solicitadas de correio eletrônico (spam) que circulam atualmente na Internet, as fraudes on-line (scam) já chegaram a ultrapassar a ocorrência de anúncios, propagandas e pornografia, segundo dados da unidade de monitoramento Brightmail, da Symantec, empresa especializada em segurança digital.

A Polícia Federal do Brasil tem combatido fortemente os crimes de Internet resultantes destas fraudes, como ocorreu em diversas operações coordenadas, para desmantelar quadrilhas brasileiras especializadas em invadir e desviar dinheiro de contas bancárias por meio da Internet. Exemplos: “Operação Pégasus” em 25 de agosto de 2005 (veja também matéria na Folha Online); “Operação Scan” em 14 de fevereiro de 2006 (veja também nota no Analyst's Diary do Kaspersky Lab); “Operação Replicante” em 12 de setembro de 2006 e seu balanço (13/9) — 58 presos (veja também matérias no Estadão [1], Estadão [2] e Estadão [3]); “Operação Galácticos” (14/09/2006). Fonte: Agência de Notícias da Polícia Federal.

Mas prevenir é muito mais simples e eficaz do que remediar. Informação é sempre um meio válido de combater este tipo de mal, para que cada vez menos pessoas sejam enganadas pelas fraudes.

Assim, são apresentados e explicados aqui diversos exemplos de fraude, na forma de imagens reproduzindo a visualização de mensagens de fraude que circulam por correio eletrônico. Clicando em qualquer miniatura deste artigo você visualiza uma imagem do exemplo em tamanho real (aqui são apenas imagens inertes e não os arquivos nocivos originais). Os exemplos servem para mostrar a variedade de mentiras e fraudes que inundam o correio eletrônico e a web, e com isso deixar claro que definitivamente não se deve acreditar nem confiar em boa parte do que surge na Internet. Os textos explicativos também estão recheados de links com referências para informações e alertas legítimos, publicados pelas instituições difamadas e organizações de segurança.

Previna-se! Não se deixe enganar por uma fraude na Internet.

Exemplos: Link para Programa

O scam para execução de programas maliciosos (malware) que se instalam no computador das vítimas basicamente funciona assim:

1. Um programa malicioso é criado e colocado na web pelo malfeitor.
2. Uma mensagem de spam fraudulenta inventa uma mentira qualquer que leve o usuário a clicar no link para o programa hospedado na web, fazer o download do arquivo e... executá-lo!
3. Em geral a execução do programa não produz nenhum resultado aparente, mas ele se instala para ficar em execução permanente e realizar suas ações furtivas e maléficas.

O malware mais comum neste caso é o de programa espião (spyware) que fica em execução tentando roubar dados pessoais armazenados ou digitados, principalmente contas e senhas de banco. Por fingirem ser algo benéfico que na verdade trata-se de algo nocivo, estes programas também são classificados como cavalo-de-tróia (trojan-horse).

Por causa da enorme predominância do Windows em computadores pessoais, os programas maliciosos são praticamente sempre para este sistema. As extensões mais comuns do arquivo são: EXE, COM, SCR, CMD, BAT, PIF, CPL, VBS, LNK e SHS. Usuários de outros sistemas operacionais como Linux, Unix, Macintosh portanto não costumam ser visados.

Cartões & Mensagens

“Você recebeu um cartão postal virtual”, “um segredinho de amor”, ou similar; e bastaria clicar no link para “visualizar a mensagem”, isto é, na verdade receber o trojan. Esta é uma das fraudes mais comuns para levar ao download e execução de um programa malicioso. Com aparências que vão do grosseiro à imitação bem feita, fingindo ser originado de um serviço de cartões virtuais realmente existente ou muitas vezes nem isso, as variações são muitas.

O Carteiro [23kB]	Bradesco [54kB]	Humor Tadela [8kB]
Rádio Terra [22kB]	Voxcards [9kB]	Yahoo [21kB]

Cartões & Mensagens - mais informações e exemplos.

Notificações Financeiras e Cadastrais

Temas financeiros e cadastrais também são constantes nas fraudes: pendências de CPF, título eleitoral e de crédito, avisos de pagamentos, débitos e cobranças, transações de comércio eletrônico, orçamentos.

Por exemplo: “o seu CPF consta no Serasa”, ou “foi cancelado pela Receita Federal”. Misteriosamente, estas entidades descobriram o seu e-mail. E ainda escolheram o inseguro correio eletrônico como forma de notificá-lo de uma situação tão séria. O link supostamente levaria ao download de um “relatório com detalhes e instruções para você regularizar sua situação” ou similar. O portal legítimo da Receita Federal, contudo, alerta sobre Mensagens eletrônicas (e-mails) falsas em nome da Receita Federal e Receita alerta para e-mails falsos (IRPF 2005).

Outro tipo de scam que se enquadra aqui é o de falso aviso de débito para um suposto pedido de compra on-line. O objetivo é igualmente alarmar o destinatário, neste caso sobre um possível débito indevido, levando-o a clicar em um link como “mais informações sobre o pedido/débito” para download do programa malicioso.

Fraudes com tema similar oferecem o download de um programa gratuito como “cadastro de clientes com consulta a SPC, Serasa, CCF”, “licitações eletrônicas” e até irônicos “programas anti-fraudes bancárias”.

CPF Cancelado [18kB]	CDL/SPC [52kB]	Serasa [13kB]
Banco do Brasil [8kB]	Mercado Livre [28kB]	TIM [15kB]

Notificações Financeiras e Cadastrais - mais informações e exemplos.

Informações e Notícias Bombásticas & Apelos Dramáticos

“Você está sendo traído!” “Osama Bin Laden foi preso!” Clicando no link fornecido na mensagem você veria “as imagens” em primeira mão; na verdade, daria uma mão ao malfeitor para instalar o trojan. Outro tipo de fraude nesta categoria é de mensagens de amor ou reencontro de alguém do passado, com um link para “ver fotos” desse falso alguém.

Traição [3kB]	Osama preso [47kB]	Despejo [13kB]
Reencontro [9kB]	Papa [51kB]	Ronaldo [35kB]

Informações Bombásticas, Notícias e Contatos - mais informações e exemplos.

Download de Programas

Ferramentas de segurança e proteção, novas versões de software, créditos para celular pré-pago... ofertas de todo tipo de download “útil” de graça. Na verdade, o programa é um trojan, útil só para o fraudador, e quem paga é você.

Microsoft [6kB]	Symantec+BB [71kB]	Créditos celular [10kB]
MSN messenger [38kB]	Vivo [30kB]	Windows [30kB]

Download de Programas - mais informações e exemplos.

Prêmios, Promoções e Campanhas

Você é uma pessoa de sorte. Foi sorteada para um prêmio fabuloso ou convidada a participar de uma promoção incrível. E o seu e-mail foi “selecionado”, junto com mais alguns milhões de outros, em uma lista de spam. A mensagem instrui a clicar no link para preencher o “formulário eletrônico”, mas na verdade seria para assinar um verdadeiro atestado de ingenuidade ao baixar e executar um trojan.

Além das campanhas promocionais e de concursos, existem fraudes que apelam até para o tema de campanhas de solidariedade, como as que citam o Click Fome e a AACD. Ambas as instituições divulgaram alertas sobre a fraude em seus endereços na web.

Menção honrosa para o alerta pronta e responsavelmente divulgado pela Varig sobre e-mails de fraude usando o nome da empresa, listado em destaque no sítio web do Programa Smiles. Ponto positivo também para a Globo que, ciente das fraudes por e-mail em torno do programa Big Brother Brasil, incluiu na página principal do BBB e no formulário de inscrição das últimas edições do programa o seguinte aviso em destaque: “Atenção: a TV Globo e a Globo.com não enviarão qualquer informação sobre as inscrições do Big Brother Brasil por e-mail. Tenha cuidado com as falsas mensagens que circulam pela internet”. Também a operadora de telefonia celular Claro divulgou comunicado em seu portal alertando sobre a fraude usando o nome desta empresa.

Americanas [24kB]	Varig [30kB]	Big Brother [61kB]
Fotolog [13kB]	AACD [14kB]	Claro [70kB]

Prêmios, Promoções e Campanhas - mais informações e exemplos.

Temas Adultos

Aviso: Apesar de itens mais ofensivos terem sido propositalmente descaracterizados nos exemplos, imagens e textos deste tema são impróprios para menores de idade.

Sexo e erotismo sempre foram temas bastante presentes na Internet. Não é diferente com as fraudes eletrônicas.

Até de boato fazem fraudes. O Sexkut, um trote criado pelo Cocadaboa fingindo ser uma “variante sexual do Orkut”, foi também tema de scam.

Manual homem [24kB]	Book Concurso [84kB]	Paparazzo [79kB]
Casa Artistas [40kB]	Sexy [91kB]	Sexkut [94kB]

Temas Adultos - mais informações e exemplos.

Exemplos: Formulário

Enquanto os cavalos de tróia em geral instalam programas espiões com o objetivo de seqüestrar informações pessoais e configurações do computador, uma outra variação de fraude usa abordagem mais direta: tenta enganar o usuário de modo a fazê-lo docilmente preencher um formulário, em geral com dados pessoais e bancários, que é enviado para algum destino criminoso. Por exemplo, a fraude pode se disfarçar de tela de entrada do home-banking de algum banco. Se coincidir do usuário destinatário ser cliente do banco em questão e ingênuo e descuidado o bastante, a técnica infelizmente pode resultar em algum sucesso. Em alguns casos, o formulário é apresentado na própria mensagem de fraude; em outros, o spam contém apenas um link que leva a uma página com o formulário.

O Itaú, um dos bancos nacionais visados nas fraudes, utiliza atualmente uma organização de seu sítio web segmentada em frames, que impede o usuário de identificar dois importantes indicativos de segurança, no navegador Internet: o endereço de cada página na barra de endereço e o cadeado de conexão segura na barra de rodapé. Esse esquema pode facilitar a montagem de páginas fraudulentas. Apesar disso, o banco disponibiliza informações úteis sobre Segurança e Privacidade e a campanha Programa Mais Segurança.

Nacionais

BB Seguros [84kB]	Banco Itaú [18kB]	Web: Banco Itaú [42kB]
IBGE [30kB]	Banco Itaú 2 [24kB]	Web: Itaú 2 [29kB]
Banco do Brasil [48kB]	Credicard [56kB]	Web: Credicard [42kB]

Internacionais

Quase todos os scams internacionais aqui listados compartilham a mesma característica: a mensagem de fraude refere-se a um banco dos EUA e exibe apenas uma imagem (GIF) contendo uma logomarca e o texto fraudulento (em inglês); a imagem é um link que levará a um formulário web para raptar dados bancários. Além disso, após a imagem, a mensagem inclui certa quantidade de palavras sem sentido escritas como texto, mas formatado como letras brancas em fundo branco para ficar oculto, com o objetivo de tentar burlar mecanismos anti-spam que descartam mensagens que não contenham texto nenhum. Em exemplos aqui apresentados, o texto oculto foi selecionado para que ficasse visível.

Além dessa “típica” fraude bancária americana, também existem formulários fingindo ser dos portais de pagamentos PayPal e de leilões/comércio Ebay. PayPal mantém um hotsite de luta contra phishing, com orientações aos usuários, ações da PayPal contra fraudes e até um pequeno quiz para você testar se está preparado a identificar e evitar fraudes.

U.S. Bank [8kB]	Citizens Bank [6kB]	Web: Citizens [11kB]
Ebay [13kB]	Citibank [12kB]	PayPal [16kB]
Charter One [10kB]	Web: Charter 1 [16kB]	IE6: Charter 1 [21kB]

Formulários Internacionais - mais informações e exemplos.

Indícios de scam

Com base nos exemplos aqui apresentados, podemos identificar que um ou mais dos aspectos a seguir costumam aparecer em um scam e podem assim representar indícios auxiliando a identificar uma mensagem fraudulenta. Mas como eventualmente todos eles podem ter sido dissimulados, ou ainda alguma destas características pode ocorrer em uma mensagem legítima de correio eletrônico, estará menos propenso a ser enganado por um scam o usuário que, acima de tudo, sempre tiver cautela e bom-senso.

Apresentação descuidada:

Quase todas as mensagens de fraude vêm em formato HTML, o que permite adicionar adereços visuais como imagens, cores e fontes que ajudam a distrair a atenção e dissimular o conteúdo enganoso, como incluir a imagem de logomarca de alguma instituição conhecida cujo nome é usado na fraude. Apesar disso, muitos fraudadores sequer têm cuidado ou mesmo capacidade para elaborar uma apresentação visual bem-cuidada e geram mensagens com uma aparência feia ou defeituosa, textos confusos e com erros de ortografia e gramática. Instituições e empresas legítimas provavelmente teriam preocupação com a sua imagem e com boas práticas de marketing, se esforçando para produzir uma comunicação adequada, agradável e de qualidade profissional. Há casos porém em que os fraudadores copiam o conteúdo de uma comunicação legítima e bem-feita e apenas o adulteram de forma a apontar para um novo destino enganoso, aparentando alguma veracidade.

Link destino não confiável:

Quando a mensagem inclui um link para a web, tipicamente, o endereço (URL) de destino aponta para a um domínio de provedor ou serviço de hospedagem web público e gratuito, em geral sem nenhuma relação com o suposto remetente. Uma mensagem originada de uma instituição que possua sítio web muito provavelmente usaria um endereço dentro de seu próprio domínio. Além disso, quase sempre o link aponta para um arquivo executável Windows (extensões: .exe, .com, .scr, .cmd, .bat, .pif, .cpl, .vbs, .lnk, .shs, entre outras) ou ainda um pacote compactado (.zip) contendo um arquivo executável. Outros links menos óbvios podem levar a páginas dinâmicas que encaminham indiretamente para o download de um arquivo, ou a um formulário fraudulento solicitando dados sigilosos. Sempre verifique o endereço de destino de um link antes de clicar nele. E, na dúvida, não clique.

Informação improvável:

É comum o conteúdo da mensagem ser fantasioso ou improvável, como uma promoção ou notícia exagerada, ou uma informação séria ou sigilosa que dificilmente deveria ser veiculada em um meio de informação frágil como o correio eletrônico. Um exceção são as fraudes que se disfarçam de cartão-postal virtual, pois estes poderiam ser enviados por qualquer pessoa e tratar de qualquer assunto informal.

Impessoalidade:

Em uma mensagem endereçada diretamente a você, vinda de uma instituição ou pessoa que possui pelo menos seu nome completo, seria plausível esperar que se referissem a você da forma mais pessoal e identificada possível, de preferência incluindo seu nome e e-mail corretos no destinatário (Para/To) ou no texto da mensagem. Infelizmente, algumas instituições legítimas ainda não têm essa preocupação. Mas tenha cuidado com as fraudes que tentam inferir o seu nome a partir do endereço de e-mail, para fingir pessoalidade. Se o seu e-mail fosse, por exemplo, paulo.roberto@provedor.dom, uma saudação como “Olá, PAULO ROBERTO” na mensagem não garantiria confiança, uma vez que o nome faz parte do endereço eletrônico. Já para proberto@provedor.dom, uma saudação “Olá, PROBERTO” sugere mais claramente que quem enviou sabe apenas o e-mail.

Remetente suspeito:

Freqüentemente, ao invés de um nome, o campo de remetente apresenta um texto que mais parece de assunto. Pior ainda, na maioria das vezes o endereço de e-mail do suposto remetente é inválido, inexistente ou não tem nenhuma relação com a instituição em questão no texto da fraude. Contudo, mesmo que o remetente pareça coerente, é importante lembrar que este campo pode ser falsificado com facilidade, da mesma forma que em uma carta, em papel, uma pessoa pode escrever o que bem entender como remetente.

Programas que auxiliam a identificar fraudes

Embora tecnicamente seja possível identificar algumas técnicas comuns utilizadas em fraudes, as variações e possibilidades são infindas. E a cada momento surgem novas fraudes. A identificação precisa de fraudes é trabalhosa: requer identificá-las individualmente e cadastrá-las em alguma lista-negra.

Por mais que existam diversas empresas especializadas e esforços colaborativos na Internet para identificação contínua de fraudes e manutenção de bases de dados, essa luta de polícia-e-ladrão nunca tem fim. É tarefa impossível detectar automaticamente todas as fraudes. Portanto, assim como no mundo real, também nos computadores e na Internet não existe segurança absoluta. Embora alguns programas auxiliem na detecção de fraudes, nada substitui sua atenção e cautela.

Empresas de segurança fornecedores de ferramentas antivírus, que tradicionalmente já necessitam manter uma base de dados para identificar vírus e outros softwares maliciosos, têm mantido também bases de dados de fraudes e programas espiões utilizados nestas. Destaco o Kaspersky Antivírus como um dos mais eficazes e eficientes no auxílio à detecção de fraudes phishing scam, além de vírus e outros programas maliciosos em geral.

O cliente de e-mail Thunderbird, programa livre do projeto Mozilla — disponível para Windows, Linux e outros sistemas operacionais, foi pioneiro em incluir um recurso automático que analisa mensagens para detectar técnicas de “phishing scam”. Este recurso não isenta o usuário de manter-se atento e só contempla alguns casos, mas já é uma ajuda, como no exemplo a seguir.

Fonte: br.mozdev.org, Mozilla Foundation.

Quando a fraude leva a vítima a abrir uma página na web, outra ferramenta útil é utilizar o navegador Firefox, que possui proteção anti-fraudes (Phishing Protection) nativa. Em parceria com o cadastro de fraudes do Google, o recurso de Navegação Segura faz o Firefox exibir o seguinte alerta, ao entrar em uma página de fraude já reportada:

Referências

• Tipos de spam - Fraudes, por Antispam.br, portal de informação sobre spam, do Comitê Gestor da Internet Brasil (CGI.br).
• Fraudes na Internet, Parte IV da Cartilha de Segurança para Internet, elaborada pelo CERT.br, Time de Resposta a Incidentes de Segurança do Comitê Gestor da Internet Brasil (CGI.br).
• O que é scam, por Redação Terra.
• InfoGuerra Especial: Tudo o que você queria saber sobre spam, coletânea de artigos informativos sobre spam do site InfoGuerra, em parceria com o portal Terra.
• Exemplos de Scam, por Humberto Sartini.
• Arquivo de Phishing Scams, por Ataliba.
• Spam: uma ameaça à segurança, 2/9/2004, por Renata Cicilini Teixeira, publicado em InfoGuerra.
• Fraudes e Golpes (Scams), por Renata Cicilini Teixeira, no Terra Informática, extraído do artigo Características e tipos de spam, em InfoGuerra.
• Phishing Scams, não entre nessa roubada, por Ary Lima Jr., VirInfo.net.
• Confira dicas para evitar golpes online, por InfoGuerra, 24/11/2003. Fonte: Trend Micro.
• Phishing: Por favor atualize seus dados!, apresentação (PDF) no Workshop 2004 do POP-MG, por Ronaldo Vasconcellos, Centro de Atendimento a Incidentes de Segurança (CAIS) da RNP.
• Monitor das Fraudes, site em português com informação sobre fraudes, golpes, lavagem de dinheiro, corrupção e outros perigos.
• Não seja enganado por e-mails fraudulentos (outubro/2004) e O que você precisa saber sobre e-mails mal-intencionados, por Microsoft Security Brasil.
• SCAM, tecnologia a serviço da fraude, por Alice Ramos.
• Lendas Urbanas, descrições de lendas urbanas na Internet, a maior parte delas tratando-se de phishing scams. Listagem em ordem cronológica e atualizada, por Quatro Cantos.com.
• Virinfo Links, incluindo referências para reportagens e exemplos sobre Phishing Scams brasileiros, por Ary Lima Jr., na home-page do Boletim informativo Virinfo.
• Scams listados no CNCCT - Cadastro Nacional de Combate aos Crimes Tecnológicos.
• Consumer Advice: How to Avoid Phishing Scams (em inglês), pela organização Anti-Phishing Working Group (APWG), que também mantém um vasto arquivo histórico de scams (especialmente nos EUA) no seu Phishing Archive.
• The Facts About Phishing (em inglês), julho de 2004, por Symantec Enterprise Security.
• ST04-014 - Avoiding Social Engineering and Phishing Attacks e ST04-009 - Identifying Hoaxes and Urban Legends (em inglês), US-CERT Cyber Security Tips.
• New trends in phishing (em inglês), por Konstantin Kornakov, Kaspersky Lab, 24 de fevereiro de 2006.
• Phishing Detection Support to Thunderbird checked in (em inglês), por Henrik Gemal. Recurso para detecção antifraude, novidade introduzida no Mozilla Thunderbird 1.5.
• Extension: SHS (em inglês), descrição da extensão de arquivo SHS, Microsoft Shell Scrap Object File, em FILExt.

Nota: As imagens aqui reproduzidas como exemplo tem caráter exclusivamente ilustrativo e representam a prática de fraudes. Porém, qualquer imagem, marca ou informação citada no texto ou contida nas reproduções, eventualmente baseada em origem verídica, permanece restrita e reservada aos legítimos detentores de seu direito ou propriedade.