Idioma:

Anúncio falso do Itaú no Facebook rouba senhas bancárias de internautas

25 de janeiro de 2011 | Em Notícias | 214 visualizações | Por

Clique e compartilhe: 


Conforme os internautas migram do e-mail para as redes sociais, os bandidos vão atrás e as fraudes que normalmente se propagavam por e-mail agora usam sites como Orkut, Twitter e Facebook para ameaçar suas vítimas. Este movimento já chegou ao Brasil, e nesta terça-feira a reportagem da Geek flagrou nos anúncios do Facebook uma tentativa de fraude direcionada a clientes de um banco nacional.

O anúncio carrega uma imagem com a logomarca do Itaú e a chamada “Realize operações online pelo, [sic] computador sem sair de casa!”. Em nenhuma parte do texto – nem no título “Feito para você” e nem na URL (omitida pela reportagem para evitar a propagação da fraude) – o nome do Itaú é citado, o que dificulta a identificação da fraude por mecanismos automáticos do Facebook ou mesmo do banco.Mesmo com cores “apagadas”, o logotipo e o slogan do banco nacional permitem o reconhecimento imediato pela potencial vítima, que ao clicar será conduzida a um site que tenta roubar suas senhas bancárias.

hackerA propaganda do site enganoso não é feita por mensagens transmitidas “boca a boca” e nem se trata de um vírus, como já ocorreu no Facebook anteriormente. Neste caso, o fraudador adquiriu espaço publicitário convencional no Facebook e teve a “isca” para sua fraude exposta junto a anúncios perfeitamente legítimos. Para isso, ele só precisou fazer um pequeno cadastro e preencher alguns formulários simples.

Também é importante salientar que não há muito o que o Itaú possa fazer para evitar golpes como este, conhecidos como “phishing” e que são essencialmente o roubo de sua identidade por estelionatários. O Facebook, que transmitiu a mensagem e lucra com a publicidade, é quem efetivamente pode tomar ações para evitar a propaganda e identificar os responsáveis pelo mau uso de seu sistema de anúncios.

Porém, não há maneira fácil de denunciar uma propaganda como sendo fraudulenta – as opções vão de “Desinteressante” a “Repetitivo”, mas para denunciar um golpe é preciso preencher manualmente o formulário. A Geek entrou em contato com o Facebook na manhã desta terça-feira, mas ainda não obteve resposta do site.

Anatomia da fraude

Para compreender melhor a fraude, a Geek “caiu” nela, acessando o site e digitando dados falsos sempre que pedido. Ao clicar no anúncio fraudulento, a vítima é conduzida a um site idêntico ao do banco. Afim de adquirir certa verossimilhança, os links da página conduzem ao site original do Itaú, mas ao preencher os dados para acessar sua conta o usuário continua dentro do site de phishing.

Neste momento algumas diferenças aparecem: o sistema original sempre exibe o nome do titular da conta, mas esta informação não está disponível pelo bandido, que improvisa. Outros esquemas de segurança do site também precisam ser alterados para perpretar a fraude, e o teclado de 5 botões agora tem 10 botões – o original, com 2 números por botão, torna impossível saber qual seria a senha original digitada.

Claro que o site não tem como saber se a senha é verdadeira, e independentemente do código digitado, a vítima é conduzida a uma página que tenta burlar o cartão de senhas ou o token digital. No primeiro caso, o bandido tenta obter todas as senhas do cartão de papel cuja função é justamente evitar este tipo de fraude, enquanto no segundo caso ele solicita o código exibido no momento pela versão eletrônica da proteção de senha. Para terminar, o site ainda tenta roubar a última proteção do cliente, que é a senha do seu cartão real.

O site fraudulento não tenta burlar em nenhum momento qualquer esquema de criptografia ou autenticação – o usuário poderia perceber o problema ao observar que o cadeado do navegador não indicava que o site era confiável. Ele também não instala vírus ou qualquer tipo de malware, e tudo se baseia na simples ilusão ao mostrar uma aparência familiar ao internauta.

Itaú investiga fraude

Em nota, o banco Itaú informou que já está ciente do link que direciona os clientes para um site falso. “Providências estão sendo tomadas para a retirada deste falso anúncio, bem como para evitar a propagação de fraudes deste tipo.”

O Itaú recomenda que os usuários acessem o endereço oficial do banco diretamente pela barra de endereços do navegador e alerta que nunca pede que os clientes digitem todos os números do cartão ou token em operações bancárias na internet. Outro conselho é conferir se o seu nome está correto antes de digitar sua senha.

De Ivaiporã/PR, Engenheiro de Computação, Administrador do Grupo Dicas em Geral. Apaixonado por Tecnologia e Informática.



Um pouco sobre nós

    O Grupo Dicas em Geral surgiu em 2007 a partir de idéias inovadoras sobre solução de problemas enfrentados diariamente por quem utiliza a Tecnologia e Informática, tanto usuários comuns quanto técnicos. Mas onde surgiu, por quê e qual é o propósito deste site?

Clique aqui e conheça!

Siga o Dicas em Geral no Google+

Vídeo da Semana