Golpes em smartphones: conheça os principais de 2023

Saiba quais são principais táticas do cibercrime para celulares que podem resultar em grandes perdas de dinheiro.

Os hackers especializados em ataques a dispositivos móveis são a segunda categoria mais buscada nos anúncios de empregos na darknet. Soma-se a isso que o Brasil é o país que sofre mais ataques de phishing no WhatsApp no mundo e que os celulares são a principal porta de entrada à internet no país. Neste contexto, é fácil concluir que os cibercriminosos estão criando cada vez mais golpes voltados para quem fica o tempo todo nesses dispositivos. Para ajudar a proteger essas pessoas, listamos os principais golpes online que visam o celular e explica como evitá-los.

Os celulares hoje possuem os dados mais sensíveis e confidenciais de um indivíduo, como credenciais para contas bancárias, e-mails, cartões de crédito, entre outros – e isso torna qualquer pessoa com um aparelho um alvo muito interessante e lucrativo para os cibercriminosos. Pensando nos riscos mais comuns, elencamos as seguintes táticas:

Phishing – mensagens falsas “urgentes” ou com promoções “irresistíveis”

Essa fraude visa enganar as vítimas para que elas entreguem dados confidenciais ou que realizem uma ação perigosa sem perceber o risco. Entre as versões mais comuns, estão aquela promoção de um celular incrível por 25% do preço dele na loja oficial ou aquele alerta urgente de fraude no Internet Banking pedindo para alterar a senha do banco. Em todos os exemplos, há um link que levará a vítima para um site falso, que será muito parecido com o site original, e é nesta etapa que as informações confidenciais são solicitadas. As mensagens de phishing podem ser enviadas de diversas formas: SMS, e-mail ou WhatsApp.

Download de filmesjogos e até produtos falsos como perfumes ou álbum de figurinhas de futebol de graça foram alguns exemplos de golpes bloqueados pela empresa de segurança recentemente. O objetivo dessas armadilhas foi o roubo de credenciais de serviços online da vítima, como dados pessoais, senhas bancárias ou dados do cartão de crédito.

No caso de um smartphone, é possível que um site fraudulento solicite autorização para coleta de dados já salvos no aparelho, o que facilita para que um desavisado repasse informações que não deveria, no automático.

Engenharia social

Apesar do phishing ser um tipo de ataque que utiliza engenharia social, essa técnica é bem mais ampla do que parece. Uma situação de engenharia social é quando alguém é convencido a fazer algo perigoso ou prejudicial – é a famosa “lábia”.

Um golpe famoso que utiliza ela é da oferta de emprego por SMS, como “Você foi selecionado para um trabalho remoto” e que promete altos salários ou renda extra com o mínimo de esforço. Após ganhar a atenção das vítimas com essa engenharia social, o golpe ainda faz uso da gamificação – uma técnica para envolver as pessoas na sua “história” – para ganhar sua confiança. Essa etapa é marcada por tarefas simples que são solicitadas diariamente e que pode envolver uma baixa quantia de dinheiro (como R$ 5), mas que geram retornos rápidos entre 30 ou 40 reais. Uma vez que a vítima está confiante, a quantia solicitada aumenta e é nesse momento que o golpe acontece.

Há também fraudes financeiras que os criminosos entram em contato com as vítimas se passando por telemarketing do banco para reportar uma possível fraude (que não existe) e solicitar a senha bancária.

RATs

Os RATs (Remote Access Trojan) são malware que permitem burlar os mecanismos de dupla autenticação — que usam a digital, reconhecimento facial ou tokens digitais no celular – ao permitir o acesso remoto do criminoso aos dispositivos infectados essa ameaça.

Ou seja, uma vez infectado, o criminoso pode fazer transações bancárias no Mobile Banking da vítima se passando por ela. Primeiramente, o malware observa um acesso para roubar as credenciais. A partir daí o ladrão tem todas as informações, pois os tokens de autenticação já estão no app bancário.

Quando há a autenticação biométrica, os criminosos usam uma técnica adicional, que escurece a tela do aparelho para forçar a pessoa a destravá-la com a biometria ou a senha numérica.  O fato de estar usando um dispositivo autorizado e com autenticação biométrica faz com que esse golpe seja praticamente impossível de ser detectado como fraude pelas instituições financeiras. Por isso, evitar cair nele é a única opção.

Este tipo de malware foi apelidado pelos nossos especialistas de Golpe da Mão Fantasma e ele tem origem nos trojans bancários brasileiros. O apelido se baseia na habilidade do malware em operar o celular parecendo que ele tem vida própria, pois os apps abrem e são utilizados sozinhos, mas na realidade o cibercriminoso é quem está por trás dessas ações. O esquema é tão efetivo que, das três famílias de RAT móvel brasileiras, duas já se expandiram pela América Latina, Europa e Estados Unidos. Esses criminosos se aliam a operadores locais para conseguirem sacar o dinheiro e os lucros são compartilhados.

SIM Swap

Conhecido popularmente como “clonagem dos chips do celular“, é um recurso legítimo e utilizado quando um smartphone é perdido ou roubado, e permite ao dono da linha ativar o número em outro chip. Os golpistas, porém, usam essa ferramenta para obter acesso a códigos de autenticação via SMS para efetuar diversas fraudes.

O golpe começa com a coleta de dados das vítimas por meio de e-mails de phishing, engenharia social, vazamentos de dados ou até pela compra de informações de grupos criminosos organizados. Depois de obter os dados necessários, o cibercriminoso entra em contato com a operadora móvel, passando-se pela vítima, para que ela faça a portabilidade e ative o número do telefone no chip do fraudador. Quando isso acontece, o telefone da vítima perde a conexão (voz e dados) e o fraudador solicita novos códigos de autenticação via SMS, pois agora eles serão recebidos em seu celular. Com esse acesso, o golpista pode ter acesso ao WhatsApp da vítima, efetuar transações financeiras com autenticação via SMS entre outras fraudes.

Para um cibercriminoso, é muito mais vantajoso explorar um malware para celular do que para desktop e isso é visto no aumento no número de trojans bancários para smartphones nos últimos meses. Um smartphone precisa dos mesmos cuidados de uso de um computador, como precauções ao clicar em links desconhecidos ou fazer downloads não-confiáveis, já que os golpistas estão atentos a cada brecha“, comenta Fabio Assolini, diretor da Equipe Global de Pesquisa e Análise para a América Latina da Kaspersky.

Evite esses e outros golpes online no celular:

  • Sempre acesse os canais oficiais das empresas para confirmar se a promoção ou oferta existe. Na dúvida, entre em contato com o atendimento ao cliente.
  • Antes de clicar em um link, verifique o endereço para onde será redirecionado e o remetente para garantir que são genuínos.
  • Tenha atenção ao remetente. Como em muitos casos os cibercriminosos usam o short-code legítimo, é necessário conhecer o golpe para desconfiar.
  • Se não tiver certeza de que a página é real e segura, não coloque informações pessoais ou realize pagamentos.
Dicas