A consultora carioca Alice Fraga (nome fictício) achou estranho quando, do outro lado do telefone, um homem falando em inglês lhe perguntou sobre o contrato de aluguel de seu apartamento apart-hotel no Leblon, zona sul do Rio de Janeiro, durante a Copa do Mundo.
De fato, Alice é proprietária de um apartamento em um apart-hotel no Leblon que aluga por meio do site brasileiro Alugue Temporada, do grupo internacional HomeAway.
Mas, até aquela ligação, no final de outubro, não havia negociado com ninguém o aluguel do imóvel durante o Mundial.
"Depois de alguns minutos de papo percebemos que tudo não se passava de uma tentativa de fraude", conta a carioca à BBC Brasil.
O cliente, um sueco que queria alugar o imóvel de Alice entre 16 de junho e 8 de julho do ano que vem, estava até então lidando com um hacker que invadiu o e-mail da proprietária e passou a negociar com interessados.
Alice começou a ligar os pontos e se lembrou de como, há alguns dias, estranhava o fato de ficar horas sem receber e-mails da conta pela qual administra os aluguéis para depois recebê-los de uma só vez, em blocos de até 70 mensagens.
Após a ligação da Suécia e consultas a especialistas, ela descobriu o que já suspeitava: estava sendo vítima de uma fraude eletrônica conhecida como phishing (do inglês "pescar"), que é quando um hacker consegue adquirir dados pessoais, como senhas de e-mail, números de cartão de crédito, entre outros.
Software espião
No caso de Alice, o fraudador descobriu a senha de seu e-mail por meio de um software espião e passou a interceptar mensagens de potenciais inquilinos para o apartamento no Leblon.
Segundo a consultora, o hacker teria conseguido instalar o software malicioso por meio de um recibo de pagamento falso.
Ela lembra que, um mês antes, tinha negociado por e-mail o aluguel de um imóvel no bairro da Barra da Tijuca, no Rio, também anunciado no Alugue Temporada. Chegou a pensar que tinha fechado o negócio quando o cliente lhe enviou um e-mail avisando que havia feito o pagamento e anexado um PDF com o recibo.
"Ao clicar no link, abri um comprovante de pagamento, mas percebi que aquele não era o número da minha conta bancária", relembra Alice.
"Respondi dizendo que os dados estavam errados, mas nunca obtive resposta. O que descobri depois é que, ao clicar no PDF, instalei um software espião e foi por aí que o hacker acessou os meus dados".
Bom demais para ser verdade
Em entrevista à BBC Brasil, o sueco Martin O. Nilsson contou que no início ficou empolgado com a proposta, feita por uma suposta agente imobiliária que se identificou como Margaret Willsford, da empresa World Property Management, com sede em Londres, na Grã-Bretanha.
Por apenas US$ 3,2 mil, o sueco poderia alugar, durante 22 dias, o apartamento de quarto e sala a duas quadras da praia, com piscina, sauna, vaga na garagem e traslado para o aeroporto.
"Outros apartamentos estavam sendo anunciados por US$ 9,5 mil dólares e percebi que era muito bom para ser verdade", lembra o sueco.
Àquela altura, ele já tinha recebido um contrato e uma invoice por email. Mas, antes de pagar, decidiu entrar em contato com a agente pelos telefones fornecidos nos documentos para atestar a veracidade da oferta.
Após tentativas fracassadas, ele resolveu ligar para o número que estava no anúncio do apartamento no Alugue Temporada que, sem saber, era o da proprietária verdadeira.
"Foi a nossa sorte. Se não tivesse insistido no telefonema, teria caído na fraude", relembra Nilsson.
Desconfiança
O presidente do Alugue Temporada, Nicholas Spitzman, disse à BBC Brasil que a empresa vai redobrar a atenção para o período da Copa, já que espera um aumento na demanda de aluguéis.
A empresa, uma das maiores do setor no Brasil, reúne 21 mil imóveis no país e mais de 700 mil em todo mundo por meio de seu braço global HomeAway. Segundo Spitzman, a companhia não permite a divulgação do número de fraudes registradas, mas afirma não ter conhecimento de casos relacionados à Copa do Mundo.
"No caso do proprietário vítima de phishing, o mais indicado é mudar o e-mail e a senha imediatamente", afirma, enfatizando que as senhas de acesso à conta do Alugue Temportada e a do e-mail devem ser diferentes.
No caso de Alice, o desfecho da história poderia ter sido pior se a senha de sua conta no site fosse a mesma do e-mail, porque o fraudador poderia também ter entrado em seu perfil no Alugue Temporada, alterado seu número de telefone e impedido o contato de Martin.
Ele aproveita para dar uma dica a todos os turistas, brasileiros ou estrangeiros, que pretendem alugar imóveis durante a Copa.
"Não deixe de fazer contato pelo telefone com o anunciante, esclareça dúvidas, confirme número de contas bancárias e desconfie de ofertas generosas", diz Spitzman.
O conselho é compartilhado pelo delegado Gilson Perdigão, da Delegacia de Repressão aos Crimes de Informática (DRCI), no Rio de Janeiro.
"Se o preço está abaixo do mercado, a pessoa tem que desconfiar porque é assim que o estelionatário ataca. Não faça depósito sem fazer contato verbal".
"É muito traumatizante ser vítima de fraude. A gente fica com pé atrás em tudo, pois nunca pensei que fosse acontecer conosco", diz Fraga.