Caça às selfies: pense antes de confirmar sua identidade

19 ago 2019

Durante o processo de registro, alguns serviços online solicitam que você confirme sua identidade fazendo o upload de uma selfie na qual aparece com seu documento de identificação. É uma maneira muito prática de mostrar que é você, sem ter de ir em algum local específico, onde poderia enfrentar uma fila longa. Basta tirar uma foto, fazer o upload e esperar um pouco para um administrador validar sua conta.

Infelizmente, não apenas sites legítimos de boa reputação estão interessados ​​nessas suas selfies; alguns também visam fazer phishers (roubo de identidade). Nesta publicação, detalhamos como esse tipo de fraude funciona, os motivos pelos quais os criminosos procuram suas fotos com documentos de identidade e como evitar cair em armadilhas.

Verificando sua identidade

Nos dias de hoje, um cenário comercial comum começa com um e-mail de um banco, sistema de pagamento ou rede social em que para “segurança adicional” (ou qualquer outro motivo), você deve confirmar sua identidade.

Sua navegação é redirecionada para uma página com um formulário que lhe pede para inserir suas credenciais, detalhes do cartão, endereço, número de telefone, etc., bem como fazer o upload de um selfie com seu documento de identificação oficial claramente visível. Nesse momento, você pode ter parado para pensar se realmente era um bom momento enviar uma selfie com o seu documento de identidade? Afinal, cibercriminosos sempre podem estar por trás disso.
Os golpistas se passam por um sistema de pagamento ou banco e pedem o envio de uma selfie segurando seu documento de identidade

Por que os golpistas querem suas selfies com documentos de identidade?

Como já explicamos, alguns serviços online solicitam uma foto sua segurando um documento oficial de identificação para confirmar a autenticidade do registro. Se você enviar uma selfie para os golpistas, eles podem criar contas em seu nome (por exemplo, para a troca de criptomoedas) com o objetivo de usá-las para lavar dinheiro. Consequentemente, você pode ter problemas com as autoridades. E claro que isso não está nada bem!

No mercado paralelo, uma selfie em que seu documento de identidade aparece alcança valores muito maiores que o de um simples documento digitalizado. Uma vez que a foto cobiçada caia nas mãos dos malfeitores, podem vendê-la muito bem e os compradores podem usar seu nome como bem entenderem.

Sinais comuns de fraude online

Felizmente para todos nós, raramente todos os detalhes das fraudes online são levados em conta. Uma análise detalhada do e-mail e do site de phishing para o qual a navegação é redirecionada quase sempre é suficiente para verificar vários elementos suspeitos.

1. Erros gramaticais e ortográficos
É muito provável que o texto do e-mail e o formulário de cadastro não sejam os melhores. Os sites oficiais e e-mails de grandes empresas têm erros gramaticais e ortográficos?

2. O endereço do remetente é suspeito
Essas mensagens geralmente vêm de endereços registrados em serviços de e-mail gratuitos ou pertencem a empresas que não têm nada a ver com a mencionada no corpo da mensagem.

3. O nome do domínio não corresponde
Embora o endereço do remetente pareça legítimo, é provável que o host do formulário de phishing esteja hospedado em um domínio mal-intencionado ou não relacionado. Às vezes, o endereço pode ser muito parecido (mas ainda assim existem diferenças); em outros, a diferença é notória. Por exemplo, uma suposta mensagem do LinkedIn que, por algum motivo, convida os usuários a fazer upload de uma foto no Dropbox.
Por que o LinkedIn pede que você envie uma foto para o Dropbox? Isso é coisa de golpista!
4. O prazo de resposta é muito curto
Muitas vezes, os autores desses e-mails tentam apressar os destinatários de todas as maneiras. Por exemplo, eles afirmam que o link expirará após 24 horas. Os golpistas frequentemente recorrem a essa técnica porque a falsa sensação de urgência faz com que muitos cliquem sem pensar. Mas é improvável que organizações respeitáveis ​​o apressem sem motivo.

5. Pedem informações já fornecidas
Seja triplamente cauteloso se você já tiver fornecido pelo menos algumas das informações solicitadas durante o processo de registro (por exemplo, o endereço de e-mail ou um número de telefone). E no caso dos bancos, sua identidade foi confirmada quando você abriu a conta. Por que você teria que comprová-la novamente sob o vago pretexto de uma “segurança adicional”?

6. Solicitações em vez de ofertas
Muitos serviços oferecem funcionalidades avançadas, incluindo aquelas relacionados à segurança, em troca de informações sobre você; mas na sua conta pessoal logada no site, não por e-mail. E geralmente esta é uma oferta que você pode recusar. Mas no redirecionamento ocasionado pelo link do e-mail fraudulento, há apenas um botão, como se sugerisse que não há outra opção a não ser carregar a selfie.

7. Não há informações no site oficial
Na verdade, você pode já ter confirmado sua identidade em um serviço que você usa há muito tempo. No entanto, é a exceção, não a regra. Os detalhes do que está acontecendo devem estar disponíveis no site oficial da empresa e deve ser fácil encontrá-los no Google.

Não envie selfies com documentos de identidade

Para evitar que os golpistas roubem sua identidade, tome cuidado com todas as solicitações de dados, especialmente quando há documentos envolvidos.

  • Suspeite de solicitações para verificar sua identidade nos serviços que você usa há muito tempo. Se você não sabe se ignora uma mensagem específica, procure informações no site oficial da empresa.
  • Preste atenção à qualidade do texto. Lembre-se de que é muito raro ver erros gramaticais, palavras omitidas e problemas de ortografia em mensagens corporativas verdadeiras.
  • Verifique de onde vem a mensagem e para onde a navegação é redirecionada. Empresas enviam e-mails de domínios e sites oficiais e oferecem explicações para exceções. Serviços oficiais geralmente citam pesquisas, formulários de login e outras páginas oficiais.
  • Qualquer restrição, como uma data de entrega ajustada, deve alertá-lo. É melhor perder o prazo do que enviar seus dados para os cibercriminosos.
  • Em caso de dúvida, ligue para o atendimento ao cliente. Mas não use o número fornecido na mensagem. Encontre-o no site oficial ou no e-mail de confirmação de inscrição.
  • Use um programa de antivírus confiável com contra phishing e fraudes online.