Topo

Cuidado: sua selfie segurando documento já é visada por criminosos

Agora sua selfie vale muito dinheiro na deep web - iStock
Agora sua selfie vale muito dinheiro na deep web Imagem: iStock

Thiago Varella

Colaboração para Tilt

27/08/2019 16h36

Sem tempo, irmão

  • Criminosos estão comprando selfies para criar contas de banco e trocar criptomoedas
  • Empresas como Nubank e Ebanx pedem selfie como forma de autenticar novos clientes
  • Na deep web, cobra-se "pacote" com documento escaneado e selfie por até US$ 124
  • Se o email trouxer erros de texto e endereço de email estranho, provavelmente é golpe

Bancos e empresas de crédito como Nubank e Ebanx vêm adotando a prática de pedir ao potencial cliente uma selfie para autenticar sua identidade e assim conseguir criar a conta. Em alguns casos, a foto deve mostrar a pessoa segurando um documento como RG ou CNH. O objetivo é facilitar a vida do cliente, que não precisa comparecer a uma unidade física. Mas criminosos estão fingindo ser essas empresas para pedir selfies e, com elas, praticar fraudes.

Segundo a Kaspersky, empresa especializada em cibersegurança, os bandidos estão coletando as fotos dos usuários por uma das maneiras mais antigas da internet de se enganar um usuário: o phishing, técnica que convence a vítima a colaborar com a fraude.

Os bandidos enviam um email se passando por um banco, uma empresa de pagamentos ou uma rede social. Na mensagem, eles pedem que o usuário confirme seus dados pessoais, como endereço e telefone, e também solicitam que envie uma selfie com um documento de identidade visível. Em alguns casos, pedem até mesmo foto do cartão de crédito ou do passaporte.

É o que basta para os dados do usuário e a selfie dele caiam nas mãos erradas. De posse disso, o criminoso consegue, por exemplo, criar contas bancárias para trocar criptomoedas, e com elas, realizar lavagem de dinheiro.

Uma selfie com um documento de identidade tem um alto valor no mercado negro da deep web. Um relatório da Comparitech, empresa inglesa de pesquisa e segurança eletrônica, apontou que páginas escaneadas de passaporte já são vendidas ilegalmente, principalmente aquela com a foto, dados pessoais e número do passaporte da vítima. O "pacote" com a selfie da pessoa segurando o documento sai mais caro no mercado negro, chegando a US$ 124.

Também no ano passado, a empresa israelense de pesquisa Sixgill encontrou na deep web 100 mil documentos por US$ 50 mil, incluindo documento, comprovante de endereço e uma selfie de cada vítima. Agora hackers do Brasil estão seguindo a tendência.

A Kaspersky também dá dicas para os usuários consigam evitar cair neste tipo de golpe. Veja abaixo:

Erros de texto

Este é um dos elementos mais comuns do phishing. É muito provável que o texto do email enviado tenha erros gramaticais, palavras omitidas e erros de ortografia. Fique atento a esses pontos.

Endereço de email suspeito

Os emails falsos costumam vir de endereços registrados em provedores gratuitos, ou pertencem a empresas que não têm relação nenhuma com a mencionada no corpo da mensagem. Verifique de onde vem a mensagem e para onde o link do endereço leva. Por exemplo, no endereço "abc@xyz.com", vale usar seu navegador para ir à URL "xyz.com" e ver o que aparece. Se estranhar o conteúdo do site, a chance de ser falso é bem grande.

Domínio não é o oficial da empresa

Embora o endereço do email do remetente pareça legítimo, é provável que a página do formulário de phishing esteja hospedada em um domínio bizarro ou não relacionado à suposta empresa. O endereço pode ser muito parecido, mas com diferenças --por exemplo, "nubankk" em vez de "nubank". Em outros, a diferença é perceptível, quando por exemplo uma suposta mensagem do LinkedIn que convida os usuários a subir uma foto no serviço de arquivos em nuvem Dropbox --algo incomum para uma empresa do porte da LinkedIn.

Prazo de entrega é muito curto

Usando táticas de engenharia social, os hackers tentam apressar o destinatário para que assim viabilizem o golpe mais rapidamente e sem pensar. Por exemplo, dizem que o link expirará após 24 horas. Na urgência, a vítima pode baixar a guarda e cair no truque.

Pedem informações já enviadas

Antes de qualquer ação, puxe da memória se você já forneceu à empresa citada (a empresa real, claro) pelo menos algumas das informações solicitadas, como endereço de email ou número de telefone. Geralmente esse tipo de dado já foi pedido na abertura da conta. Portanto não faz sentido que a empresa peça-os novamente alegando "segurança adicional", como normalmente indicam as mensagens falsas. Na dúvida, informe-se no site oficial da empresa ou nos canais telefônicos de atendimento.

Solicitações em vez de ofertas

Esses emails falsos costumam levar a crer que o usuário não tem outra saída a não ser enviar o dado pedido --no caso aqui, a selfie. Esse comportamento não é comum no "mundo real": normalmente o banco oferece a alternativa de segurança adicional ou deixa o cliente manter como está. Ah, e quase nunca faz esse tipo de sugestão por email, mas no seu próprio site. Novamente, em caso de dúvida, ligue para o atendimento ao cliente encontrado no site oficial da empresa, e veja se o pedido procede.

Nada no site oficial

Vale sempre olhar o site oficial do serviço, buscando via Google, e checar quais são os procedimentos de confirmação de identidade dos clientes, e se tem alguma grande operação envolvendo o disparo de mensagens de todos eles. Se não achar nada disso, provavelmente você recebeu uma tentativa de phishing.

SIGA TILT NAS REDES SOCIAIS

Fique por dentro