De acordo com o Radar Febraban, 3 em cada 10 brasileiros já foram vítimas de golpes ou tentativas de fraude bancária. Sendo o Brasil o quarto maior usuário do mundo de Twitter, é natural que algumas destas fraudes sejam realizadas usando esta rede social. A ESET, empresa de detecção proativa de ameaças, identificou 82 perfis falsos de entidades bancárias reconhecidas em toda a América Latina.
O objetivo dos golpistas por trás desses perfis é roubar o acesso às contas bancárias das vítimas e esvaziá-las ou até mesmo fazer empréstimos em seu nome.
“Embora essa ameaça afete os usuários, vale dizer que as entidades financeiras também sofrem com essa situação e tentam constantemente alertar sobre a existência desses perfis falsos. Muitas empresas têm como tweets fixos uma publicação que explica como reconhecer perfis oficiais”, comenta Camilo Gutiérrez Amaya, chefe do Laboratório de Investigação da ESET América Latina.
“Por outro lado, são os próprios bancos que muitas vezes monitoram as redes sociais e tomam medidas para que essas contas suspeitas sejam removidas. Mas, infelizmente, são as próprias características de redes sociais como o Twitter que permitem que as contas falsas continuem sendo criadas.”
82 perfis falsos de 5 bancos diferentes
A equipe de pesquisa da ESET analisou o número de contas falsas ativas do Twitter que se passavam por contas bancárias oficiais. Em um único dia, 82 perfis falsos ativos foram detectados com a identidade de cinco entidades bancárias diferentes.
Todas essas contas falsas agem da mesma maneira, ou seja, sempre que uma pessoa escreve um comentário marcando uma instituição financeira, uma conta falsa responde fingindo ser a área de Atendimento ao Cliente do banco para oferecer ajuda.
A primeira coisa que muitos desses perfis configurados para responder automaticamente fazem é pedir às pessoas que sigam a conta. Dessa forma, eles podem se comunicar por mensagem direta e solicitar que os usuários forneçam um número de telefone. Dessa forma, as pessoas são contatadas por falsos representantes de atendimento ao cliente que buscarão extrair informações como códigos de acesso, tokens ou outros dados para acessar e esvaziar suas contas.
Na tentativa de não levantar suspeitas, a maioria das páginas falsas imita perfis legítimos em muitos detalhes, além de incluir links para a URL do banco ou até mesmo para o bate-papo do WhatsApp para suporte. E embora várias contas incluam os links oficiais, a ESET identificou em alguns casos que os links não levam ao site oficial, portanto, existe o risco de que eles possam ser usados para levar a sites falsos.
“A maioria dos perfis falsos que analisamos foi criada no último mês e, em alguns casos, foi suspensa em poucos dias. Essa dinâmica parece ser constante: muitos perfis são suspensos semanas após a criação e novos perfis falsos são criados. Dessa forma, nós encontramos um grande número de contas falsas em atividade”, acrescenta o pesquisador da ESET.
Campanhas falsas miram também as criptomoedas
Essa modalidade no Twitter não é nova. A ESET relatou campanhas no passado de invasores usando perfis falsos e com a API (interface de programação de aplicação) do Twitter para monitorar determinados perfis e contatá-los de maneira semelhante.
No ano passado, por exemplo, foi noticiada uma campanha que visava usuários de carteiras de criptomoedas fingindo ser da área de suporte de serviços como Metamask, Coinbase ou Yoroi com o objetivo de roubar credenciais.
Esse mesmo modus operandi também está presente no Instagram. Em 2021, a ESET alertou sobre perfis bancários falsos nesta rede social que estavam entrando em contato com clientes por meio de mensagens diretas. Conforme explicado na ocasião, os bots buscam obter o número de telefone da vítima e depois entram em contato com ela via WhatsApp ou diretamente por telefone, fingindo ser representantes oficiais.
Naquela ocasião, os pesquisadores da ESET realizaram o teste de fornecer um número de telefone e foram contatados em alguns casos por uma conta falsa do WhatsApp que fingia ser a oficial e em outros casos por telefone. Em todos os casos, os golpistas estavam tentando convencer a pessoa a fornecer informações pessoais que um banco nunca pediria.
Recomendações dos especialistas para sua proteção
A principal recomendação da ESET para não cair nesse tipo de fraude é entender como funciona, mas também aprender a reconhecer as características de um perfil falso usado nesse modelo. Aqui estão os elementos-chave:
- • Procure saber se a conta é verificada. As páginas oficiais dos bancos sempre têm a marca de verificação.
- • Veja se o nome da conta é exatamente o mesmo utilizado pela marca oficial.
- • Analise se o perfil foi criado recentemente. A data de criação das páginas falsas geralmente não excede dois meses.
- • As contas suspeitas têm poucas publicações e seguidores.
A ESET ressalta ainda que os bancos nunca solicitarão o número de telefone, número do documento de identidade ou senha por telefone ou por e-mail.
Além disso, existem instituições bancárias que reforçam constantemente sua posição antifraude, como a Federação Brasileira de Bancos (Febraban), que tem um site informativo sobre como não cair em golpes, ou o Banco do Brasil, instituição federal que possui um guia de segurança voltado aos seus clientes e postagens no próprio Twitter sobre o tema.
Verificar estas informações oficiais de sites confiáveis é fundamental para se manter atualizado e evitar ser vítima de ameaças virtuais.
(*) HOMEWORK inspira transformação, com inteligência digital e capricho artesanal. Nosso jornalismo impacta milhares de leitores todos os dias. E nossas soluções de conteúdo sob medida atendem grandes empresas de todos os tamanhos. Saiba mais sobre nossos projetos e entre em contato.
