A ESET descobriu dois sites fraudulentos que buscavam se passar pelo Itaú, um dos principais e mais tradicionais bancos brasileiros, com atuação em toda a América Latina. As páginas falsas buscavam fazer vítimas no Brasil e Argentina. Neste caso, é importante esclarecer que o banco também é vítima de golpes em que seu nome é usado para enganar seus clientes. Ambos os portais foram denunciados e retirados do ar.
Site falso direcionado à clientes no Brasil
No site falso direcionado aos usuários no Brasil, o conteúdo sugere que se trata de uma campanha de phishing, enviada para vítimas por meio de um e-mail contendo um link falso para uma suposta consulta de fatura.
Neste campo, é solicitado o CPF e o número do cartão da vítima. Na página seguinte, é solicitada informações ainda mais confidenciais, como o código de segurança e a data em que o cartão expira.
Após inserir essas informações, a vítima é redirecionada de volta ao site para solicitar a nota fiscal digital e gerar distração.
Site falso para clientes na Argentina
Já na campanha direcionada aos clientes na Argentina, os golpistas usaram uma URL que incluía o nome do banco e uma aparência semelhante à oficial, mas com uma diferença entre as letras. Isso é importante, já que uma pesquisa no Google pode levar uma vítima a encontrar esses tipos de sites fraudulentos que conseguem aparecer entre os primeiros resultados da pesquisa.
O design do site falso é uma cópia idêntica da página oficial. Para supostamente acessar o homebanking o site falso dispõe campos em branco para que as vítimas insiram suas credenciais de login e, assim, as roubem.
Uma vez que a pessoa insere seu nome de usuário e senha, o site exibe um simulador que verifica os supostos dados entregues. Embora essa etapa possa parecer insignificante, não é acidental: os cibercriminosos utilizam esse tempo para fazer login automaticamente com as credenciais roubadas no site legítimo do banco e acionar o envio via SMS do código de autenticação de dois fatores para o telefone da vítima e, em seguida, solicitá-lo na próxima tela.
Uma vez que o golpe é concluído, o site falso lança uma mensagem de erro e redireciona o usuário para o site oficial. Esse passo adicional faz com que a vítima acredite que houve simplesmente um erro.
Campanhas maliciosas que usam a personificação de empresas conhecidas geralmente seguem padrões, o que os torna possíveis de distinguir. Para evitar cair neles, a ESET compartilha as seguintes recomendações:
- Certifique-se de que o endereço da Web visitado está correto;
- Verifique se o site tem o certificado de segurança válido e se é assinado pela empresa que afirma ser;
- Evite fornecer informações pessoais ou financeiras se não tiver certeza que o site é legítimo;
- Não clique em links nem baixe arquivos de e-mails, mensagens de mídia social, mensagens instantâneas, como WhatsApp ou Telegram, ou texto suspeito de remetentes desconhecidos;
- Use um software de segurança para proteger seu computador contra malwares e outras ameaças.
