O guia definitivo de A a Z para fraudes e golpes

É tão preocupante o volume de fraudes na região, o impacto com as marcas, a frustração e a dificuldade de comunicar rapidamente as ocorrências, tornam as fraudes um problema de todos nós, bancos, instituições, e-commerce e o usuário.

O Brasil é o país com maior número de vítimas de phishing, o percentual de usuários brasileiros que tentou abrir pelo menos uma vez links enviados para roubar dados representa 19,9% dos internautas do país, é muita gente.

Casos como os de lojas falsas online, links com promoções, se intensificam. Os endereços dessas lojas podem ser enviados tanto por SMS, e-mail ou mesmo anúncios falsos em sites, por isso escrevi esse ABC da fraude para que você possa compartilhar com seus amigos e familiares e se proteger.

Aqui eu compartilho com você meu conhecimento sobre o assunto e espero que esse conhecimento te ajude a prevenir as fraudes.

Primeiro vamos contar, qual é a diferença entre fraudes e golpes?

Golpes são as práticas realizadas, ilícitas por oportunistas, fraude é planejada, é intencional, profissional e estruturada. O fraudador sabe muito bem como coletar e-mails,  criar phishing, mensagens de texto ou sites que enganam as vítimas para que compartilhem suas informações, o fraudador usará essas informações para cometer um ato de fraude, como um ataque de tomada de controle de conta ou fraude de pagamento forçada. Em outras palavras, o estágio da fraude é onde os malfeitores se beneficiam financeiramente de suas ações.

Um guia de A a Z para fraudes

A é para Account Takeover ou controle de conta

Em um ataque de fraude de aquisição de conta, ou mais conhecido por Account Takeover (ATO), os fraudadores usam as credenciais de um cliente legítimo para acessar o banco da vítima ou a conta de comércio eletrônico, e ou mesmo as redes sociais. Os fraudadores irão então transferir dinheiro para outra conta que controlam ou fazer compras com as informações de pagamento das vítimas ou ainda, tomar a sua conta de redes sociais, ele poderá pedir dinheiro aos seus contatos e ou anunciar produtos falsos, que não existem e assim aplicar golpes lucrativos. Outra prática neste caso ainda é tomar sua conta de rede social via Phishing ou um voucher de desconto, mudar o email cadastrado da rede social, e assim, tomar conta do perfil e usar essa conta em seu nome para divulgando vendas de celulares, computadores, tudo que ele quiser. Fique atento, o modo mais comum de Account Takeover, ou tomada de conta é através de phishing. 

Golpe do Aluguel 

O fraudador usa fotografias e informações de um anúncio legítimo de sites conceituados de imobiliárias e publica nas redes sociais ou envia o anúncio via Whatsapp. O anúncio é sempre de aluguel e o valor é muito baixo. Assim que alguma pessoa se interessa e marca de ver o imóvel, o fraudador vai até o endereço, aciona um chaveiro e reporta que perdeu as chaves do portão e da porta. O chaveiro abre as fechaduras e cria novas chaves. De posse das chaves, o fraudador marca a visita com o interessado e pronto. Já leva um contrato de aluguel, com termos simples e com o valor muito abaixo do mercado. O fraudador exige 3 meses de aluguel adiantado. Ao fazer o pagamento o fraudador entrega as chaves ao novo inquilino. Semanas depois, os inquilinos ficam sabendo da fraude e são rapidamente expulsos em semanas. 

Amigável ou Amiga

Estranho ler esses dois termos associados com fraude. Será que alguma fraude pode ser amigável? Neste caso, há algumas situações que podem ajudar a cometê-las, a primeira e mais comum acontece quando um amigo ou familiar pega os dados bancários ou acessa alguma conta, que teve acesso no passado, com consentimento do usuário, e novamente acessa as informações só que desta vez sem o consentimento do proprietário. Nesta segunda vez realiza uma compra ou transferência sem o concentimento do usuário. Neste caso o fraudador conhece a vítima, e por este motivo o termo, fraude amiga.  Diferente da autofraude, os dados realmente são roubados ou furtados por terceiros, amigos, familiares e ou colega. Há casos de fraude amiga por engano, isso acontece quando o filho pega o celular do pai e ou da mãe, para brincar e ou assistir algo, e clica em uma oferta. Se o celular estiver com as senhas e dados pré-cadastrados, é possível que a criança não intencionalmente faça a compra e depois, ninguém saiba do que se trata.  Mas, se for ação de um fraudador, ele já terá alguma experiência nesse tipo de golpe, pois apenas com os dados roubados ele já acessa e realiza compras em várias lojas virtuais e físicas para testar o limite disponível do cartão.

Anúncio do carro 

O fraudador fica monitorando novos anúncios de automóveis para vender, ao verificar um novo anúncio o fraudador entra em contato com o anunciante. Normalmente ele diz que é do site de venda do automóvel e repete o anúncio, mas altera alguma informação, ano, valor do carro ou cidade. Ao ouvir que há erro no anúncio o usuário pede para que seja corrigido o anúncio. Neste momento o fraudador já está tentando tomar o Whatsapp do usuário e pedindo autenticação de dois fatores, ou seja o código do próprio Whatsapp do usuário. O fraudador pede ao usuário que diga o código que chegou com a desculpa que este é o código que possibilita corrigir o anúncio. Com posse deste código, o fraudador toma o Whatsapp do usuário e começam os golpes de pedido de dinheiro e ou pagamento de contas, Pix e ou boletos.

Autofraude

É quando um cliente realiza uma compra on-line utilizando o próprio cartão de crédito e os próprios dados pessoais, mas, agindo de má fé, alega não ter recebido o produto/serviço e ou não ter feito a transação e cancela o pagamento no cartão de crédito, solicitando o reembolso do valor pago. É o tipo de fraude mais difícil de identificar. Para evitar a autofraude, que depois gera um chargeback é necessário que o lojista tenha coletado informações na hora da compra, pois é uma análise póstuma. Essa fraude só pode ser contestada depois, não há prevenção. O comportamento de navegação do cliente durante uma compra também pode ajudar o lojista a detectar uma autofraude e depois da compra, buscar nas redes sociais qualquer prova que possa ser levantada para negar o chargeback.

Amorosa

Em um esquema amoroso, de namoro ou romance, um mau ator (e essa é a palavra-chave aqui!) fingirá estar romanticamente interessado em uma vítima. Depois de enganar a vítima fazendo-a acreditar que o relacionamento falso é real e assim muitas vezes usando serviços ou aplicativos de namoro digital, eles manipulam a vítima para que a vítima envie dinheiro ou presenteie com itens valiosos. Esse tipo de golpe também é conhecido como fraude de romance. 

Boleto Bancário falso

São vários truques para atrair a vítima, que vão desde a manipulação do código de barras do documento até a criação de páginas falsas que oferecem o download da fatura forjada. Há os boletos que chegam na residência das pessoas se passando por impostos, dívidas, pagamentos de empréstimos, até mesmo água e luz. Mas há as mensagens enviadas via SMS e Whatsapp com links de boletos falsos. E ainda há código de barras que levam os usuários a ambientes maliciosos, um malware chamado de Bolware pode ser instalado pelo código do boleto acessado. Quando o PC está infectado com esse vírus, boletos gerados na Internet podem ter o código de barras alterado para que o pagamento seja redirecionado ao criminoso.

Bot

Em um ataque de bot, ou seja, de robô, às vezes conhecido como ataque de botnet, os fraudadores usam uma rede coordenada de dispositivos e programas para enviar automaticamente várias solicitações digitais simultâneas, resultando em uma negação de serviço dedicada (DDoS). Eles também podem ser usados ​​para lançar campanhas de spam em grande escala projetadas para fraudar informações confidenciais para grandes grupos de vítimas inocentes e para realizar várias transações de comércio eletrônico usando o perfil online de um cliente legítimo e informações de pagamento.

Clonagem de Chip – SIM Swap

O SIM swap é um golpe em que um criminoso “clona” o número de seu chip de celular (com uma ajudinha involuntária da operadora), tendo acesso a mensagens, senhas e até mesmo a contas de apps, dependendo de cada caso. De posse de um chip em branco e dados de um usuário, um falsário liga para a operadora se passando pela vítima, fornece os dados necessários e solicita a ativação do número no novo chip. A partir daí, o fraudador tem acesso a ligações, mensagens SMS e senhas, podendo ativar apps como o WhatsApp em seu aparelho. Com o acesso ao chip atrelado aos dados do número do usuário, o fraudador poderá invadir todas as suas contas com facilidade ao receber o código de segurança via torpedo.

Carregador de Celular Público

Portas USB disponibilizadas em aeroportos, rodoviárias, hotéis e outros locais podem esconder códigos maliciosos (em sua essência, vírus) capazes de infectar o smartphone enquanto recarrega a bateria. O chamado golpe do carregador falso. Usando o vírus como o malware o fraudador pode roubar senhas, informações bancárias,  backup completo do celular, tomar posse do celular,  e até praticar o golpe do SIM Swap. Aqui fica uma dica, se não houver outra opção, desligue o aparelho antes de colocá-lo para carregar e só o ligue após retirar do carregador público.

Cartão virtual

Os cartões virtuais são cartões digitais que só existem online no aplicativo de banco do usuário. Os fraudadores usam ataques de controle de contato, o famoso “Account takeover” para obter controle sobre a conta de um usuário e usar o cartão virtual para seus próprios fins. Às vezes, os fraudadores trabalham para clonar cartões virtuais e fazer compras, deixando o usuário real pagando a conta.

Central de Atendimento

O fraudador entra em contato com a vítima se passando por um falso funcionário do banco ou empresa com a qual ela tem um relacionamento ativo. Informa que sua conta foi invadida, clonada ou outro problema e, a partir daí, solicita os dados pessoais e financeiros da vítima. E até mesmo pede para que a vítima ligue na central do banco, no número que aparece atrás do seu cartão, mas o fraudador continua na linha para simular o atendimento da central e pedir os dados da sua conta, dos seus cartões e, principalmente, a sua senha quando você a digitar.

Chargeback

O chargeback é a contestação da compra feita pelo consumidor junto ao banco. Pode ser realmente uma compra indevida no cartão de alguém, mas também pode ser pelo cliente não identificar a compra do cartão por que o nome fantasia é diferente do nome de cobrança, pode ser por esquecimento e pode ser por má fé (autofraude). Quando o cliente recebe a fatura do cartão e vê uma compra que ele não reconhece, ele notifica ao banco. O banco, por sua vez, ao notar alguma irregularidade na compra, realiza o cancelamento e o estorno ocorre. Neste caso, o lojista perde não só valor da compra, mas há multas e ainda taxas.

Clonagem de Cartão de crédito

Fraude de clonagem de cartão ocorre quando os fraudadores usam a tecnologia de clonagem de cartão para duplicar um cartão de crédito legítimo, isso só pode ser feito de forma digital. Não há como clonar um cartão real com chip. A clonagem de cartão de crédito e débito é uma prática comum que já lesou 3,65 milhões de consumidores brasileiros, segundo uma pesquisa da Confederação Nacional dos Dirigentes Lojistas (CNDL) e do Serviço de Proteção ao Crédito (SPC). Sempre confira se o site que está efetuando uma compra é seguro, desconfie de ofertas muito abaixo do valor de mercado do produto, nunca poste fotos de seu cartão na internet e nem envie os dados por apps de mensagens. 

Compras Online

A fraude de compras online envolve a venda de produtos falsos online. As vítimas fazem compras online, mas suas compras nunca chegam. Esse tipo de fraude prevalece em épocas de extrema demanda, como Black Friday, Natal e Dia das crianças. Nesta prática, há também usualmente um Account takeover de um perfil de redes sociais, como Instagram ou Facebook, onde o fraudador toma a conta da rede social e começa a fazer anúncios em nome do usuário da rede social. Isso aconteceu com uma amiga minha, há poucos dias. O problema neste tipo de fraude é que as redes sociais não são ágeis em tirar os perfis “tomados” rapidamente e o golpe segue livre de qualquer impedimento. 

DeepFake

O golpe que usa Deepfake de voz, imagem, e até digital para roubar contas e dados. Bots são usados como assistente de voz programado para enganar bancos e usuários. Na Inglaterra, um golpe destes gerou um prejuizo de e €220,000 (quase um milhão de reais no câmbio atual). Um Bot imitando a voz do CEO da empresa, foi usado para pedir que empregados fizessem uma transferência para determinada conta bancária. E assim, realizou-se a fraude. É importante que ao receber ligações de desconhecidos, e ou gravações não responda nunca o seu nome, e nem as palavras ‘sim” ou “autorizo”. Muitos bots ligam aleatoriamente e perguntam o nome da pessoa, depois pergunta se a pessoa acredita em Deus, ou se quer ouvir um salmo para ter paz e prosperidade se autoriza que seu nome seja colocado em lista de orações e etc. O objetivo é conseguir gravações de sua voz. Use palavras alternativas como, pois não, pronto, e assim, os Bots não poderão usar sua voz em golpes de DeepFaKe de voz. E fique atento a DeepFake também de biometria e digital. 

Desemprego

A fraude no desemprego aumentou recentemente após paralisações econômicas causadas por uma pandemia em todo o mundo. Nesses golpes, os fraudadores usam credenciais roubadas para registrar uma solicitação de desemprego falsa usando o nome de uma pessoa real. Esses golpes podem ter sérias consequências financeiras para as pessoas que têm o valor do auxílio-desemprego retirada, FGTS e outros benefícios direcionados a um fraudador. Fique atento. Não disponibilize em sites de empregos o número de sua carteira de trabalho e qualquer outra informação que possa ser usada por um fraudador para passar-se por você.

Digital da foto – DeepFake da Foto

Você sabia que ao tirar uma foto para redes sociais e por acaso nesta foto, você estiver com a palma da mão exposta, é possível ampliar essa imagem e copiar sua digital? Parece um comentário escrito por alguém com mania de perseguição, mas isso é fato e pode acontecer. Ao fazer o sinal de V de vitória, ou paz e amor, ou mesmo de um olá, ou tchau a imagem da sua digital pode ser ampliada, melhorada de resolução e usada para uso em caixas eletrônicos, para desbloquear celulares e em outros tipos de transação.

Digital no Caixa eletrônico

Um golpe que já aconteceu na Rússia, mas tem potencial de acontecer aqui. Na Rússia um caixa eletrônico infectado por um malware que tinha, entre suas funções, buscar impressões digitais cadastradas e enviar para um servidor do criminoso. Eles só não tiveram sucesso porque as imagens eram grandes e a equipe de segurança descobriu antes que o envio fosse completo de toda a base de dados.

Empregado

Fraude de empregado ocorre quando um funcionário rouba de seu empregador. Isso envolve táticas como remover itens físicos de um negócio ou embolsar dinheiro em vez de depositá-lo na conta do empregador. As operações de fraude de empregados mais sofisticadas envolvem criar clientes falsos ou até mesmo empregados falsos e ter fundos (como pagamentos ou salários) enviados para contas que controlam. Há muitos casos de golpes realizados através de fraudadores que obtiveram dados de bancos e empresas diretamente de funcionários.

Emprego

Na fraude do emprego, o fraudador anuncia vários empregos disponíveis, os candidatos de boa fé enviam seus dados na busca da recolocação no mercado de trabalho. De posse dos dados o fraudador pode pedir auxílio-desemprego e outros benefícios. Pode entrar em contato com o usuário e informar que para que ele siga o processo seletivo ele terá que pagar por um curso, ou uma apostila, e também muitas vezes pede para o candidato pagar por uma pesquisa e ou análise. Esse golpe é muito comum na Classe C e D, e em primeiros empregos, e ou estágios. 

Empréstimo

Um golpe do empréstimo tem como alvo proprietários de casas e ou carros financiados. Os fraudadores entram em contato com o mutuário fingindo representar a instituição de crédito e dizem à vítima que ele perdeu um pagamento e pode correr o risco de sofrer uma execução hipotecária, a menos que transfira o dinheiro para uma conta controlada pelo fraudador.

Engenharia Social é Phishing e está na letra P

E-wallet. Cartão por Aproximação.

Durante o primeiro semestre de 2020 houve um crescimento de 330% na utilização desses meios de pagamento quando comparado ao mesmo período de 2019. O fraudador aproveita o grande fluxo de pessoas em estações de trens e terminais de ônibus, onde o fraudador precisa apenas “pescar” um cartão que esteja posicionado em bolsos laterais e aproximar sua máquina de cartões para fazer uma cobrança. Grande parte dessas tentativas são de valores inferiores a R$ 50,00, pelo fato de que a maioria dos meios de pagamento não pedem um segundo fator de autenticação (como a senha do cartão) para efetivar uma transação como essa. Para evitar fraudes como essa use capas de celular ou carteiras com bloqueio RFID.

Falsificação de identidade

Para realizar uma fraude de falsificação de identidade, um fraudador finge ser uma figura confiável, como um policial ou um funcionário de banco. Eles convencem as vítimas de que sua conta bancária foi comprometida e as estimulam a transferir dinheiro para uma conta diferente, aquela que o fraudador controla. Os fraudadores também podem se passar pelo chefe da vítima e aprovar o pagamento de uma fatura falsa.

Financiamento de carro

De posse do CPF de um usuário e com contato dentro da loja de carro, o fraudador financia um carro em nome de outra pessoa, a loja muitas vezes é conivente neste golpe. O fraudador tira o carro da loja depois do financiamento autorizado pelo banco. O carro normalmente neste caso é levado pela fronteira para outro país ou tem suas peças retiradas e vendidas em ferros velhos ilegais e ou ainda podem ser clonados. A vítima, vai saber sobre o golpe quando tiver seu nome negativado em cartórios, cartas de cobranças ou ainda quando chegar os impostos devidos pelo carro, como o IPVA e licenciamento. Este golpe é complexo para a vítima, pois normalmente, para o banco e a financeira, a fraude é fácil de reportar, mas para os departamentos de trânsitos, a história é bem diferente, mesmo que haja informação suficiente que a vítima sofreu um golpe, apenas com ações judiciais é que o estado retira as dívidas de impostos e multas em nome da vítima. 

Helpdesk

Em um esquema de helpdesk, os fraudadores contatam as vítimas fingindo ser especialistas em TI de empresas de tecnologia de alto perfil (como Apple ou Microsoft). Eles alegarão que um programa suspeito foi detectado no computador das vítimas e as persuadirão a conceder acesso remoto ao fraudador. Se o golpe for bem-sucedido, os fraudadores acessam as informações confidenciais da vítima ou instalam malware.

Identidade sintética ou Frankenstein

Em uma fraude de identidade sintética os fraudadores construirão uma identidade falsa usando as informações de identificação pessoal (RG) de uma pessoa real, viva ou não, soma-se o CPF de uma criança e pronto, existe um cliente inexistente o famoso “Frankenstein”. Com estes dados, o fraudador pode abrir novos cartões de crédito ou contas bancárias em nome da pessoa inexistente. Como o CPF não é atrelado a endereço, ao RG e outros dados, o menor de idade que por um acaso tiver seu CPF usado neste tipo de fraude, só saberá que foi usado e que seu CPF está comprometido quando chegar a idade adulta e precisar abrir uma conta bancária. 

Imposto – Juri – Mesário de eleição

Assim como os golpes de falsificação de identidade, os fraudadores dizem às vítimas que elas perderam sua entrevista com o júri, ou pagamento de impostos e ou ainda que faltaram como mesários numa eleição e que por isso enfrentarão pesadas multas. Eles convencem as vítimas a compartilhar suas informações de pagamento ou transferir fundos para a conta do fraudador.

Investimento falso

Em uma fraude de investimento falso, os fraudadores prometem às vítimas um investimento de baixo risco com um retorno rápido e alto sobre o investimento realizado. Normalmente o fraudador alega que o investimento é em produtos como ouro, ações ou criptomoedas. Também é comum o golpe da pirâmide, como aconteceu com vários artistas este ano, onde o fraudador fez um mix de golpes, pirâmide, fraude do investimento e da criptomoeda. Neste tipo de fraude,  o investimento não existe e o fraudador usa o valor de investimento inicial de um novo cliente, para repassar valores para os antigos “investidores”, e assim, por meses o golpista faz acreditar que os membros do investimento estão lucrando. Alguns meses depois, cessa o repasse da lucratividade e o fraudador desaparece com o dinheiro de todos.

Leilão

Golpistas criam sites falsos de leilão, anunciando todo tipo de produto por preços bem abaixo do mercado. Depois pedem transferências, depósitos e até dinheiro via Pix para assegurar a compra. Geralmente apelam para a urgência em fechar o negócio, dizendo que você pode perder os descontos. Os fraudadores nunca entrega as mercadorias pagas. Além disso, os fraudadores podem se aproveitar para roubar informações importantes como CPF e número de conta das vítimas.

Link falso ( também conhecido por Phishing) agora há a Smishing que estará na letra S.

Um golpe em que normalmente ofertas muito atrativas chegam por e-mail ou redes sociais como iscas para que os usuários informem seus dados como número de CPF, conta, cartões e senhas. Essas mensagens também podem instalar vírus e aplicativos que roubam seus dados por meio de links maliciosos, permitindo os golpistas acessarem todas as suas contas. Essas mensagens são enviadas aleatoriamente muitas vezes. Muitas vezes os fraudadores enviam massivamente mensagens com informações sobre uma suposta dívida que você tenha no banco, ou um desconto em alguma compra e até mensagens sobre Covid e vacina. Não clique em nada que você não pediu para receber e muito menos se veio de números e contatos desconhecidos.

Malware

O malware é crítico para as atividades criminosas de muitos fraudadores. Um golpe de malware ocorre quando os fraudadores enganam as vítimas para que instalem malware em seus computadores ou dispositivos móveis. Depois de instalado, o malware coleta informações confidenciais e as compartilha com o fraudador, muitas vezes sem que a vítima perceba o que está acontecendo nos bastidores. E tem potencial de tomar controle do dispositivo. É usado em vários outros tipos de fraude, inclusive de PIX, fazendo a tomada de sessão. Leia na letra P, golpes de Pix.

Motoboy, ou Golpe do Falso Motoboy

O golpe começa quando o cliente recebe uma ligação do golpista que se passa por funcionário do banco, juntando então o golpe da Central de Atendimento com o golpe do Motoboy. O atendimento falso entra em contato dizendo que o cartão foi fraudado/clonado. O falso funcionário solicita a senha e pede que o cartão seja cortado, mas que o chip não seja danificado. Em seguida, diz que o cartão será retirado na casa do cliente. O outro golpista aparece onde a vítima está e retira o cartão. Mesmo com o cartão cortado, o chip está intacto e os fraudadores podem utilizá-lo para fazer transações e roubar o dinheiro da vítima.

Netos

Um golpe dos avós  é um tipo de golpe que ataca os medos das pessoas mais velhas de que um ente querido esteja em apuros. Os fraudadores usarão primeiro táticas como phishing, malware ou spam para acessar o número de telefone de um avô. Em seguida, eles enviam uma mensagem à vítima alegando ser seu neto que está ferido ou preso no exterior e pedem ajuda financeira. Esse golpe é muito comum no período férias escolares e ou estudantes que estão fazendo viagens internacionais e ou intercâmbio. Muitas vezes os fraudadores escolhem as vítimas pelas redes sociais, monitorando fotografias de viagens e mensagens de entes queridos nos posts de viagem. Quanto menos informação você disponibilizar publicamente sobre a sua vida, habito e familiares, melhor. 

Nova conta

Em uma fraude de nova conta, o fraudador abre uma nova conta em um banco, às vezes usando uma identidade sintética. Depois de abrir algumas contas o fraudador envia um valor de uma conta para a outra, parecendo que as contas são legítimas e que há transações ocorrendo. Esse processo acontece por meses, entre as contas. O fraudador espera que os bancos, deem credibilidade a conta por tempo de criação e volume de transações sem nenhuma ação de cunho negativo ou suspeito. E após um tempo, que pode variar de 8 meses a 1 ano, os fraudadores iniciam a coleta da fraude, eles começam a solicitar empréstimos, cartões de crédito e, maximizando o crédito, sem intenção de pagá-lo.

Phishing ou engenharia social 

P é phishing, o golpe que mais acontece no Brasil

Phishing é uma tática de fraude por e-mail para enganar as vítimas e fazer com que revelem suas informações pessoais. Os fraudadores enviam e-mails às vítimas e as direcionam para sites falsos, onde são solicitados a enviar os detalhes de suas contas bancárias ou números de cartão de crédito. Em outras variações deste esquema, os fraudadores usam SMS ou mensagens de texto (chamadas de smishing) ou mensagens de correio de voz (chamadas de vishing).  O phishing é o tipo de golpe que mais ocorre no Brasil. Foi constatado em 2021 que mais de 500 marcas foram usadas indevidamente para golpes de phishing. Os golpes usam desde boletos, imagens, anúncios, vídeos, notícias, posts, é usado de todo tipo de comunicação para fazer o usuário clicar em um link e ou acessar a alguma página. O Phishing é a porta de entrada da maioria dos golpes e fraudes que acontecem no Brasil. E é um golpe que conta com a ingenuidade, curiosidade, desatenção das pessoas. Este golpe pode ser evitado contanto que os usuários não cliquem, de modo algum em links que não pediu, que não tem contexto e que a URL (endereço da página) muitas vezes em nada possui de sintaxe da marca anunciada, ou notoriamente possui caracteres estranhos e ou grafias erradas. 20% de toda a população brasileira já foi vítima deste tipo de golpe e mais de uma vez. Fique atento, não clique em nada.

Pix o paraíso das fraudes…não por falta de segurança da transação, mas pela ingenuidade do usuário na maioria das vezes.

No caso das fraudes de Pix, nada muito inovador acontece, são os outros tipos de fraude que listei aqui, mas com o objetivo de receber sua transação de Pix. Como? Do mesmo modo, na maioria usando da sua ingenuidade, falta de atenção, falta de conhecimento técnico e algumas poucas vezes via malware.

Usando Phishing para fazer o golpe do Pix

Vou explicar, fraude de Pix via phishing, acontece quando o fraudador usa páginas e arquivos falsos para roubar dados do seu PIX e assim poder fazer transferências.

Uma fraude com o Pix que já pegou muita gente de surpresa é a o da criação da página falsa para enganar os usuários. A estratégia é redirecionar os alvos do golpe para sites falsos e, neles, roubar seus dados bancários.

Para começar a usar o Pix, os usuários devem cadastrar uma chave que pode ser um telefone, e-mail, CPF ou uma chave aleatória. O golpe ocorre justamente nesse momento: são enviadas mensagens ou e-mail com um link para cadastro da chave Pix levando a uma página falsa criada pelos golpistas.

Nessas páginas falsas, são solicitados dados como nome, CPF, conta bancária e outras informações que permitem que os golpistas possam usar o dinheiro da conta de forma indevida. Por isso, é sempre importante se certificar de que você está realmente na página real do seu banco antes de inserir qualquer dado.

Há também o golpe da “falha no Pix” que  é também um phishing

Aqui, com uma promessa de recompensa para o usuário. Por meio de mensagens, os golpistas informam que existe uma falha no Pix que pode beneficiar a vítima. Mas, para aproveitar essa “oportunidade”, o usuário deve fazer uma transferência via Pix para uma chave específica.

Geralmente, a promessa é que o valor transferido será devolvido em dobro (mas podem ser aplicados outros golpes semelhantes). Seja qual for a situação, esse é apenas um artifício usado para levar os usuários e realizarem transferência com o seu dinheiro.

Por ser um método muito prático, os usuários podem realizar uma transferência de forma impulsiva em poucos segundos. E, depois de refletir melhor sobre a fraude do Pix, já é tarde demais para reaver o dinheiro.

Os fraudadores também estão usando o modelo de fraude de Falsas centrais de atendimento, e ou helpdesk que já listei nesse artigo.

E ainda, Pix via Whatsapp clonado

O golpe do Whatsapp clonado ou ATO do whatsapp, como comentado que é possível no caso da fraude da venda do carro, onde o fraudador pede o código de verificação de dois fatores para o usuário, que por ingenuidade, o passa ao fraudador, e assim, o fraudador toma posse do Whatsapp do usuário. Este golpe é muito usado, mas agora é também explorado para transferências via Pix, que torna o golpe ainda mais eficiente. Fraudadores tomam o Whatsapp de um usuário, entra em contato com os contatos e pede transferência via PIx por motivo de dívida, apuros, contas atrasadas etc. 

E ainda, perfil falso no Whatsapp, para pedir transferências de PIX, neste caso em vez de clonar o Whatsapp, outros golpistas recorrem à criação de um perfil falso da vítima. Eles se passam pela pessoa ao criar uma conta no Whatsapp com seu nome e foto do usuário que o fraudador pode conseguir via redes sociais e muitas vezes é via Google. Com o nome e a foto, o fraudador avisa alguns contatos que trocou de número e com isso começa a pedir dinheiro para amigos e familiares, alegando que se trata de um novo número. 

Nesses dois casos listados acima, um simples telefonema e ou vídeo chamada para quem pede a transferência, já resolveria o problema e evitaria a fraude. 

E ainda, a tomada de sessão, via malware, já instalado no celular do usuário devido a phishing, carregador, wi-fi, entre outros modos de instalação de malware, o fraudador espera que o usuário esteja no meio de uma transação de PIX e aí o fraudador toma a sessão do celular. O usuário não consegue clicar em nada, e aparentemente, parece que é um problema de conexão, wi-fi ou 4G, mas na verdade há um fraudador, que tomou a sessão bancária e fez um PIX para a conta do fraudador. O usuário não percebe que a sessão foi tomada naquele instante. Saberá da fraude depois. 

Presente ou Voucher/Desconto 

O Golpe do “Presente” é uma fraude em que bandidos simulam uma entrega surpresa na casa do consumidor alvo. O entregador pede para fotografar a vítima, para confirmação do recebimento, além do preenchimento de um comprovante de delivery com dados pessoais, como RG e CPF. Depois, a partir dessas informações, os criminosos pedem empréstimos ou compram veículos no nome da pessoa enganada.
Há ainda o golpe do Voucher e ou desconto. Neste caso o fraudador envia via Whatsapp ou SMS uma mensagem de desconto para um restaurante, mensagem com vários detalhes sobre o desconto. A vítima entra no cadastro do suposto restaurante da promoção,  a vítima preenche todos seus dados no cadastro e ao clicar em enviar, é instalado um malware em seu celular e ou também é possível que ao final do cadastro o fraudador tente o Account takeover do Whatsapp, e assim, ao final do cadastro, há uma mensagem que pede para você digital o código que você acabou de receber, para validar o cadastro, esse código na verdade  é o código de autenticação de dois fatores. Com posse deste código, o fraudador toma o Whatsapp do usuário e ainda consegue invadir as redes sociais do usuário, trocando o email de login, pronto, houve o Account takeover de todo o celular. Com isso, é possível entrar na rede social da vítima, trocar emails de cadastro, publicar anúncios falsos, pedirem dinheiro por Whatsapp para seus contatos até criar uma conta PIx é possível em seu nome, usando o novo email criado. O fraudador é tão argiloso que muitas vezes neste suposto cadastro, pede para que a vítima preencha perfis de informações de amigos para receberem a mesma promoção, e assim, usando a vítima para abastecer o fraudador com outras vítimas. 

Quiz

Qualquer pessoa que já usou as redes sociais encontrou um questionário online que parece muito divertido e atraente para ser rejeitado. Muitos prometem algum prêmio, se você ganhar. Na realidade, muitos questionários online costumam ser golpes de phishing. Após a conclusão do questionário, os usuários são orientados a enviar suas informações pessoais para reivindicar seu “prêmio”, que nunca se materializa. E ainda, há os posts em redes sociais com brincadeiras, que pede que o usuário autorize que sua foto, ou informações sejam compartilhados com o aplicativo para retornar o resultado da pesquisa, jogo ou adivinhações. Muitos destes sites existem apenas para recolher suas informações. Fique atento. 

Reembolso

Instituições e ou usuários criam recibos falsos que geram pagamentos indevidos de pedidos de reembolso de seguro de saúde. 

Golpes de recrutamento, que é diferente do golpe do emprego

Um golpe de recrutamento envolve fraudadores convencendo as vítimas de que elas têm uma oportunidade de emprego (geralmente trabalhando em casa) que paga um salário generoso. No entanto, a realidade é que esses “candidatos a empregos” foram recrutados para esquemas de mulas de dinheiro. Ao ser contratado, o novo “empregador” diz que ela receberá transferências ou pagamentos eletrônicos diretamente em suas contas bancárias e para mover o dinheiro para cartões pré-pagos ou uma conta diferente. Algumas vítimas são instruídas a receber pacotes e direcioná-los a novos destinatários. Estas pessoas são usadas como Laranjas em várias transações ilícitas.

Golpe do Sequestro

Esse golpe é muito comum no Brasil e possui duas estratégias. Na primeira o usuário recebe um telefonema a cobrar, onde do outro lado, o fraudador se passa por policial ou bombeiro e diz que encontraram uma pessoa ferida, que esta pessoa está inconsciente e que havia o número do usuário entre os contatos da vítima do suposto acidente. O fraudador conversa com o usuário passando informações vagas, é uma mulher, meia idade, e deixa que o usuário preencha as lacunas, e assim a vítima muni o fraudador de muito mais informação. Com poder destas informações, fraudador revela que não houve um acidente, mas que é um sequestro e pede transferência via Pix para que a suposta vítima seja solta.

Outro modelo de pedido de resgate de sequestro, um fraudador afirma ter um ente querido sequestrado e exige um resgate como pagamento, neste modelo ele muitas vezes coloca a voz de outra pessoa, falando ao fundo, normalmente chamando pela mãe, pai, filho e ou termos assim genéricos, sem usar nomes. As vítimas muitas vezes, por ingenuidade e medo, dizem o nome do filho, pai ou mãe. Com este dado o sequestrador, confirma que sim, está com esta pessoa que o usuário passou o nome, e começam as negociações. E ainda, os fraudadores podem roubar o telefone da pessoa amada/amiga e entrar em contato com a vítima se souberem que sua vítima de sequestro está sem acesso ao telefone. Ou por ter em posse o celular por motivo de roubo ou por exemplo, sabendo que a vítima está em um avião e não pude ligar para confirmar que está seguro.

Senhas

Golpistas só conseguem entrar em sua conta bancária usando sua senha e seus dados. E eles podem conseguir essas informações de várias formas: fingindo ser um funcionário do banco, olhando você digitar a senha no caixa eletrônico, enviando falsos portadores ou durante uma compra presencial e até roubando seu celular para procurar senhas anotadas e os dados da sua conta ou cartão de crédito guardados em bloco de notas, arquivos ou em históricos de conversas no WhatsApp ou no e-mail. Com posse das senhas, os fraudadores tentarão o limite das possibilidades. No site da NordPass é possível verificar que a maioria das senhas usadas pelos usuários no Brasil são extremamente fracas, nos primeiros lugares as senhas mais usadas são: 123456, 123456789, Brasil, 12345, 102030, senha e 12345678. Sua senha é muito importante, a displicência em criar as senhas e mantê-las seguras pode te custar muito caro.

Smishing

Conhecida como smishing, essa é a tática que combina SMS e phishing. Isso quer dizer que a vítima recebe um SMS supostamente urgente, interessante, ou ainda de promoções e com conteúdo sobre dívidas e oportunidades com um link malicioso. Quando clica nele, um vírus é transferido para o celular e, a partir daí, o criminoso passa a ter acesso a dados pessoais e a tudo o que há no aparelho.

Troca do cartão

Golpistas que trabalham como vendedores prestam atenção quando você digita sua senha na máquina de compra e depois trocam o cartão na hora de devolvê-lo. Com seu cartão e senha, fazem compras usando o seu dinheiro. O mesmo pode acontecer com desconhecidos oferecendo ajuda no caixa eletrônico. Eles se aproveitam de alguma dificuldade sua no terminal eletrônico para pegar rapidamente o seu cartão e depois devolver um que não é seu, ao mesmo tempo que espiam sua senha.

Transfronteiriça

A fraude transfronteiriça (ou fraude x-border) envolve a compra de bens ou serviços de um fornecedor no exterior e geralmente traz riscos. Os fraudadores listam produtos falsificados on-line ou aguardam que um fornecedor remeta a mercadoria e nunca entregam após o término do contrato.

Fraude de triangulação

O esquema de triangulação é a situação em que o fraudador cria uma loja online falsa, vendendo produtos simples a preços muito baixos para atrair o máximo de visitantes possível. O fraudador então encomenda as mercadorias solicitadas pelo comprador de um comerciante real e as envia ao cliente. Esse esquema tem o único propósito de coletar dados de cartão de crédito. O cliente não percebe que teve seus dados coletados. O fraudador entrega normalmente os produtos. Após a entrega, o fraudador começa a fazer compras de altíssimo valor, tentando maximizar a fraude. 

Viagem

Os golpes de viagens assumem várias formas. Em um golpe de viagem, os fraudadores às vezes se oferecem para vender passagens aéreas às vítimas com desconto, mas nunca as entregam. Outros golpes de viagem oferecem a conversão de moedas diferentes a uma taxa de câmbio mais alta, e recebem notas falsas, ou muitas vezes um pacote com apenas as algumas notas reais e o restante falsa e às vezes nem entregam nada.

E ainda o golpe do cartão de crédito para comprar passagem para terceiros.
Isso acontece com frequência, o fraudador usa o cartão de crédito de um usuário legítimo, para comprar passagem para duas pessoas, destinos normais, nada exótico e com data de voo de mais de 1 mês. A cia aérea verifica que as variáveis são seguras e rotula a compra como de baixo risco, isso por que a data de viagem é distante, portanto, haverá tempo suficiente para ser cobrada a passagem e checado se houver um chargeback.

Após a cia aérea confirmar a venda e enviar os vouchers, a passagem é desmembrada, ou seja, o dono do cartão continua com sua viagem intocada, mas o passageiro que teve sua passagem também comprada pelo dono do cartão, desmembra o voo, pedindo alteração de destino e de urgência, marcando o voo, para dali a 1 ou dois dias. Neste caso o dono do cartão  é a vítima e só saberá que compraram passagens em seu nome, muito tempo depois. Neste caso, é difícil o cliente conseguir provar o Chargeback, por que uma das passagens realmente foi usada.  Esses tipos de golpes estão prestes a aumentar à medida que as pessoas se preparam para voltar ao normal, fazer viagens de negócios e tirar férias. Para evitar esse tipo de fraude, cadastre seu SMS para receber do seu banco, avisos de quando o seu cartão foi usado em transações.

Zoombie ou Zombie Bot

Um robô zumbi é um programa malicioso que os fraudadores usam para obter o controle de um dispositivo remotamente. Depois de infectadas, as máquinas agem como “zumbis”, permitindo que atores mal-intencionados lancem ataques cibernéticos contra seus alvos. Isso inclui botnet ou ataques DDoS.

Whatsapp

Golpe no WhatsApp

Os golpistas descobrem o número do celular e o nome da vítima de quem pretendem clonar a conta de WhatsApp. Com essas informações em mãos, os criminosos tentam cadastrar o WhatsApp da vítima nos aparelhos deles. Para concluir a operação, é preciso inserir o código de segurança que o aplicativo envia por SMS sempre que é instalado em um novo dispositivo.

Os fraudadores enviam uma mensagem pelo WhatsApp fingindo ser do Serviço de Atendimento ao Cliente do site de vendas ou da empresa em que a vítima tem cadastro. Eles solicitam o código de segurança, que já foi enviado por SMS pelo aplicativo, e ou pelo próprio whatsapp, é o código de autenticação de dois fatores, o atendente, e ou mensagem pede este código para uma atualização, manutenção ou confirmação de cadastro. Com o código, os bandidos conseguem replicar a conta de WhatsApp em outro celular, têm acesso a todo o histórico de conversas e contatos. A partir daí, os criminosos enviam mensagens para os contatos, passando-se pela pessoa, pedindo dinheiro emprestado.

Desconfie de pessoas pedindo dinheiro ou seus dados por aplicativos de mensagem. Geralmente os golpistas apelam para alguma urgência falsa e pedem depósitos e transferências via Pix para contas de terceiros ou então para pagar alguma conta.

E ainda há o golpe do Whatsapp Falso

Este golpe foi já comentado no Pix. É o golpe do perfil falso no Whatsapp. Neste caso, em vez de clonar o Whatsapp, outros golpistas recorrem à criação de um perfil falso da vítima. Eles se passam pela pessoa ao criar uma conta no Whatsapp com seu nome e foto do usuário que o fraudador pode conseguir via redes sociais e muitas vezes é via Google. Com o nome da foto, o fraudador avisa que trocou de telefone e  com isso começa a pedir dinheiro para amigos e familiares, alegando que se trata de um novo número. 

Golpe Wi-fi free

Wi-fi públicos de aeroportos, rodoviárias, hotéis e outros locais podem esconder códigos maliciosos (em sua essência, vírus) capazes de infectar o smartphone enquanto estiver conectado. Usando o vírus como o malware o fraudador pode roubar senhas, informações bancárias,  backup completo do celular, tomar posse do celular,  e até praticar o golpe do SIMSwap. 

Golpe do falso Wi-fi

Neste caso, o fraudador cria uma rede de wi-fi paralela, com um nome muito parecido com o nome do wi-fi original. Imagina que você está num hotel de renome, e ao acessar a rede de wi-fi existem dois wi-fis disponíveis, você pode tanto acessar um quanto o outro. A senha é a mesma, mas ao conectar a rede falsa, você sem saber, está disponibilizando seus dados a um fraudador. Esse golpe acontece muito em hotéis, coworkings e aeroportos. 

Dicas para o consumidor evitar golpes online

Aqui estão algumas das nossas dicas para você se manter protegido

1. Ouça seu banco. Os bancos estão constantemente estudando e aprendendo sobre as últimas tendências de fraude. E eles têm interesse legítimo em manter seus consumidores protegidos contra golpes. Os recursos educacionais de seu banco são projetados para protegê-lo. Não deixe de lê-los/assisti-los e seguir suas recomendações. Na dúvida, entre em contato com o seu banco. Caso desconfie de uma chamada do banco feita ao seu celular, use outro parelho para ligar ao banco.
   
2. Use Biometria e autenticação de dois fatores, habilite recursos biométricos ou de duas camadas em seus dispositivos móveis, como leituras faciais ou senhas de uso único. Essas soluções não apenas melhoram a segurança, mas também podem garantir uma experiência muito mais tranquila. E lembre-se não disponibilize nenhum código que receber via SMS ou Whatsapp para ninguém, nunca.
   
3. Proteja suas informações, esteja atento a mensagens de texto, e-mails ou websites projetados para induzi-lo a fornecer dados pessoais. Se você receber uma mensagem suspeita afirmando ser de seu banco, não responda.  Em vez disso, relate suas suspeitas ao banco. Se receber a mensagem do banco via SMS, questione via email, se receber por chamada, conteste de outro aparelho.
4. Desconfie sempre, ao receber um link de terceiros retorne a mensagem perguntando mais informações sobre o por que e quem está enviando este link.
   
5. Combine com sua família e amigos, que se for pedir dinheiro ou vender algo, que a pessoa ligue e fale com você para garantir que o pedido é realmente seu. E ou peça uma vídeo chamada com quem está pedindo o valor.
   
6. Não faça transferências para amigos ou parentes sem confirmar por ligação ou pessoalmente que realmente se trata da pessoa em questão, pois o contato da pessoa pode ter sido clonado ou falsificado;
   
7. Informe seus parentes e amigos sobre todos os tipos de fraude que você souber, compartilhe esse conteúdo, a informação é o melhor modo de prevenir-se contra a fraude.
   
8. Lembre-se seus dados devem estar protegidos, não preencha data de nascimento, nome completo e ou CPF em sites ou mensagens desconhecidas.
   
9. Desconfie de preços muito baixos.
   
10. Desconfie de oportunidades muito atraentes.
    
11. Sempre confira o remetente dos e-mails recebidos e não acesse páginas suspeita.
12.  Evite utilização de wi-fi público.
13. Não conecte seu celular a lugares públicos ligados. Desligue-o para recarregá-lo.
14. Nunca clique em links recebidos por e-mail, Whatsapp, redes sociais ou SMS para cadastro da chave do Pix. Em vez disso, visite o site ou aplicativo do seu banco ou entre em contato com a Central de Atendimento para confirmar se a comunicação é verdadeira.
15. Cadastre suas chaves Pix apenas nos canais oficiais dos bancos, como aplicativo bancário, Internet Banking ou agências.
16. Nunca compartilhe o código de verificação recebido quando você realiza o cadastro da chave Pix.
17. Nunca compartilhe código de verificação que você receber via Whatsapp, SMS este código pode dar acesso a um fraudador para tomar sua conta. Não forneça senhas ou códigos de acesso fora do site do banco ou do aplicativo.
18. Não faça qualquer tipo de cadastro no Pix a partir de ligações telefônicas ou contatos pelo Whatsapp. Essa prática não existe.

Aqui consegui listar alguns tipos de golpes e fraudes e algumas dicas de como se prevenir contra os fraudadores e evitar perdas. Claro, esses são apenas alguns dos inúmeros exemplos de fraudes e golpes que existem. Infelizmente, os maus atores continuam a inventar novas táticas que ainda estão sendo compreendidas. É por isso que os clientes, bancos, e-commerces precisam estar cientes das diferentes ameaças de fraude e scam que existem atualmente – e se preparar para novas formas que inevitavelmente surgirão.

Fique sempre atento, seguro que morreu de velho!