Criminosos criam sites e apps falsos na véspera da Black Friday

A chegada da Black Friday estimulou a criação de páginas e aplicativos fraudulentos para captar dados bancários e outras informações pessoais de consumidores na internet. Comum em datas comerciais, o golpe online ganha sofisticação, e as imitações de sites, aplicativos e perfis de empresas em redes sociais estão cada vez mais fidedignas.

Levantamento da Axur, empresa de cibersegurança que atende grandes empresas de comércio eletrônico e varejo, aponta para aumento de 80% de casos de phishing no terceiro trimestre deste ano na comparação com os três meses anteriores. Phishing (de fish, peixe) é a prática de "pescar" o usuário de internet para que ele clique em um link malicioso.

Perfis falsos de redes sociais atribuídos a marcas têm sido o principal meio de atuação de criminosos. Depois, vêm os aplicativos e os sites, em menor proporção. Comércio eletrônico e setor financeiro são as áreas mais visadas.

Marcela Burrattino foi vítima de páginas e perfis fraudulentos na hora de vender e comprar produtos online. Anunciou um iPhone por cerca de R$ 2.000 no Mercado Livre. Nas horas seguintes, começou a receber mensagens no WhatsApp de diferentes interessados.

Um deles chamou mais a atenção. Disse que já havia comprado o produto e que iria com um carro de aplicativo até sua casa para pegar o aparelho. Para comprovar, enviou uma mensagem com o print screen de um email encaminhado para ela. O conteúdo do email tinha visual idêntico ao do Mercado Livre, mas Marcela desconfiou porque seu aplicativo não indicava que a transação havia ocorrido.

"Resolvi colocar outro endereço de email na área de contato, completamente desvinculado da conta do Mercado Livre. As confirmações de venda começaram a chegar nesse email e entendi que se tratava de um golpe", diz.

As confirmações de pagamento no site são enviadas de forma automática aos emails cadastrados por usuários. No caso do Mercado Livre, a mensagem é disparada assim que o pagamento é efetuado. Ao incluir um endereço sem relação alguma com a plataforma, Marcela confirmou que os golpistas estavam enviando mensagens manualmente.

"Nunca mais coloquei nada à venda na internet. Eu trabalho com ecommerce, sei tudo sobre isso, e caí em golpes que foram bem feitos", diz.

Em outra ocasião, clicou em um um link encaminhado pelo WhatsApp e foi direcionada a um site aparentemente idêntico ao das Americanas. Se interessou por uma TV com 78% de desconto.

Além da mesma identidade visual (cores, logo, disposição dos ícones), a página continha informações de rodapé iguais ao do site oficial e diversas avaliações de usuários que supostamente haviam comprado a televisão, com comentários elogiosos e estrelinhas.

Marcela só evitou cair na fraude quando o site solicitou a senha de seu cartão -sites de compra não exigem senhas de cartões.

"Esqueça a velha ideia de checar a veracidade de uma página apenas tentando encontrar erros de português. Isso não existe mais. As páginas não têm mais erros, vêm com o cadeadinho de segurança e o 'https' [um indicativo de que a URL é segura]", afirma Thiago Bordini, diretor na área de inteligência contra ameaça cibernética da Axur.

O relatório da Axur mostra 3.020 páginas falsas com menção a marcas de ecommerce no último trimestre deste ano. Bancos e empresas do setor aparecem com 34,5% das incidências.

O mote, no segundo caso, também é a Black Friday. Perfis falsos de fintechs e bancos anunciam limites em cartões de crédito, condições especiais de parcelamento e outros benefícios a serem contratados antes do evento de varejo online.

O relatório é realizado a partir do rastreamento diário na web superficial e na deep e dark web (cujas páginas não são indexadas em buscadores como o Google) de links fraudulentos que possam vir a afetar a base de cerca de 200 clientes da empresa. Trata-se de uma amostra do setor privado, portanto representa uma tendência, não uma estatística oficial.

O Cert.br (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil), um grupo de resposta a incidentes de segurança nacional, mantido pelo Comitê Gestor da Internet, indica que as fraudes representaram apenas 5% dos ataques reportados na internet em 2020.

O primeiro lugar, com 60%, ficou com o scan -varreduras em redes de computadores com o intuito de identificar quais computadores estão ativos e quais serviços estão sendo disponibilizados por eles. É um dos passos do agora chamado ransomware, crime cada vez mais popular em que dados de grandes empresas são sequestrados e liberados somente mediante pagamento.

Embora o phishing diminua ano a ano frente a outros ataques, ele sempre volta a ter relevância em datas comerciais.

"O ataque costuma aumentar no fim do ano. A Black Friday é o Natal dos criminosos na internet", diz Tiago Tavares, da organização Safernet.

O PhishTank, um site que reúne denúncias de phishing de todo o mundo, mostra o esmero da imitação de algumas páginas. Criminosos conseguem reproduzir fielmente páginas como a da Amazon. Só é possível , identificar que se trata de uma fraude ao verificar o endereço da URL, que inclui outras palavras e caracteres.

Segundo Bordini, é cada vez mais comum a compra por criminosos de domínios semelhantes ao de marcas originais (um exemplo seria "aamazon", com dois 'a') e de palavras-chave ligadas a produtos, para impulsionar as páginas no Google. As gangues também compram anúncios e conseguem, assim, promover seus links para que apareçam antes nos resultados de busca.

É, portanto, mais seguro, ao menos no período da Black Friday, não clicar no primeiro resultado da página ou voltar a acessar os sites como nos primórdios da internet, digitando o endereço desejado.

O endereço de lojas oficiais costuma aparecer de forma direta e clara no navegador (exemplo: www.folha.com.br). Fique atento para letras repetidas, números ou outros caracteres

Os resultados do Google costumam exibir primeiro a marca que pagou para aparecer relacionada a determinado produto. É possível saber se o link foi impulsionado quando houver um "Ad" (de advertisement, propaganda) ao lado do nome da página. Tenha certeza que, ao buscar uma geladeira, por exemplo, você acessou o site que deseja e não outro que pagou para estar relacionado a geladeiras

Marcas não vão oferecer TVs, celulares ou qualquer outro produto pelo simples compartilhamento no WhatsApp. Não clique nesse tipo de corrente, mesmo que ela venha de alguém que você confie

Se um produto estiver com o preço muito sedutor, ligue o desconfiômetro. Procure em outras lojas antes de fazer a compra

Se o nome do destinatário de um produto eletrônico for uma marca de Pet Shop, por exemplo, reveja a compra. Marcas sérias, a não ser que seja uma pequena empresa de seu conhecimento, devem ter o mesmo nome para pagamento (seja no boleto ou no Pix)

A facilidade desse meio de pagamento tem sido explorada por golpistas; evite realizar compras pelo Pix se não tiver certeza do destinatário e de seus dados. Confira cada passo da transação

Sites seguros não pedem a senha do seu cartão; ela também nunca deve ser compartilhada com contados de Facebook, WhatsApp, Telegram e outras redes sociais. Caso tenha desconfiança, acione seu banco

Se for vítima de algum crime online, é possível registrar um boletim de ocorrência em delegacias especializadas em crimes cibernéticos. A organização Safernet tem uma lista completa delas no endereço: https://new.safernet.org.br/content/delegacias-cibercrimes