Com o mundo cada vez mais conectado, alguns serviços online de pagamento e até mesmo bancos solicitam que os clientes confirmem sua identidade enviando uma selfie segurando um documento de identidade (RG ou CNH) no momento da abertura de uma conta bancária ou na emissão de um cartão de crédito. Essa é uma maneira prática utilizada por prestadores de serviços para autenticar a identidade dos clientes e evitar deslocamentos demorados e filas de espera.
Porém, não são apenas sites legítimos e de boa reputação que estão atrás dessas selfies. Os cibercriminosos também estão se aproveitando desta conveniência para efetuar fraudes por meio de enviar e-mails de phishing se passando por um banco, empresa de pagamentos ou rede social. Essas mensagens fraudulentas pedem que o usuário confirme sua identidade por meio de um link e usam a desculpa de um novo processo de “segurança”. Ao clicar,a vítima é levada a uma página com um formulário que solicita informações pessoais, como endereço, número de telefone, etc., bem como o upload de uma selfie com um documento de identidade oficial visível – e até mesmo foto de cartão de crédito ou passaporte.
“Não é de se espantar que os cibercriminosos têm utilizado as mais diferentes maneiras para enganar os usuários”, alerta Fabio Assolini, analista sênior de segurança da Kaspersky.“Neste caso, com os dados das vítimas em mãos, eles podem criar contas bancárias visando a troca de criptomoedas, por exemplo – que servirá para lavar dinheiro de suas atividades. Além disso, é importante frisar que uma selfie com um documento de identidade tem um valor muito alto no mercado negro em comparação com uma imagem digitalizada do mesmo documento” .
Dicas
A Kaspersky separou sete dicas para que os usuários possam analisar detalhadamente os e-mails que recebem e não serem vítimas desse tipo de fraude:
1. Erros gramaticais e ortográficos
É muito provável que o texto do e-mail enviado bem como as informações disponibilizadas no link tenha erros gramaticais, palavras omitidas e erros de ortografia. Por isso, sempre pergunte: sites oficiais e e-mails de grandes organizações têm erros gramaticais e ortográficos?
2. Endereço do remetente é suspeito
Esses e-mails geralmente vêm de endereços registrados em provedores gratuitos ou pertencem a empresas que não têm relação nenhuma com a mencionada no corpo da mensagem. Verifique de onde vem a mensagem e para onde o link leva.
3. Nome do domínio não corresponde
Embora o endereço do remetente pareça legítimo, é provável que o host do formulário de phishing esteja hospedado em um domínio mal-intencionado ou não relacionado. Às vezes, o endereço pode ser muito parecido (mas ainda assim existem diferenças); em outros, a diferença é notória. Um exemplo é uma suposta mensagem do LinkedIn que, por algum motivo, convida os usuários a fazer upload de uma foto no Dropbox.
4. Prazo de entrega é muito curto
Muitas vezes, os autores desses e-mails tentam por todos os meios apressar o destinatário e, por exemplo, eles afirmam que o link expirará após 24 horas. Os cibercriminosos frequentemente recorrem a essa técnica já que a falsa sensação de urgência faz com que muitos usuários ajam sem pensar. É melhor quebrar o prazo do que enviar seus dados para os cibercriminosos.
5. Solicitação de informações já enviadas
Sempre verifique se já tiver fornecido pelo menos algumas das informações solicitadas – por exemplo, endereço de e-mail ou número de telefone. No caso dos bancos, sua identidade foi confirmada quando você abriu a conta. Então, por que você teria que verificá-la novamente sob o pretexto de uma “segurança adicional”?. Neste caso, é importante procurar informações no site oficial da empresa.
6. Solicitações ao invés de ofertas
Muitas soluções oferecem opções avançadas – incluindo de segurança – em troca de informações pessoais; mas na sua conta pessoal na web, não por e-mail. E, normalmente, é uma oferta que pode ser recusada. Porém, na forma em que o link de e-mail fraudulento é enviado, há apenas um botão como se sugerisse que não há outra opção além de enviar uma selfie. Em caso de dúvida, ligue para o atendimento ao cliente. Mas não use o número fornecido na mensagem: encontre-o no site oficial da empresa.
7. Não há informações sobre isso no site oficial
Na verdade, você pode já ter confirmado sua identidade em redes sociais, bancos e outras empresas há algum tempo. No entanto, essa é a exceção e não a regra. Os detalhes do que está acontecendo, caso precise confirmar novamente, devem estar disponíveis no site oficial do serviço e deve ser fácil encontrá-los no Google.
Além disso, para evitar que cibercriminosos roubem a identidade pessoal de usuários, é importante tomar cuidado com todas as solicitações de dados, especialmente quando há documentos envolvidos. É importante utilizar uma solução de segurança confiável com proteção contra phishing e fraudes online, como o Kaspersky Total Security.
(Com informações da assessoria de imprensa da Kaspersky – Foto: Divulgação)