Nov 2008 - Mensagem serve de isca para o roubo de informações pessoais de internautas SÃO PAULO - Cibercriminosos estão usando o nome do Ministério Público Federal (MPF) para roubar informações de internautas por meio de mensagens falsas de correio eletrônico. O golpe, conhecido como phishing scam, usa o e-mail como “isca” para atrair as vítimas a sites maliciosos e, assim, roubar informações pessoais e senhas. Segundo o secretário de tecnologia da informação do MPF, Paulo Knupp, os primeiros casos de phishing envolvendo o nome da instituição foram identificados em fevereiro deste ano. “Esta é a sexta versão do golpe e estamos trabalhando em parceria com a Polícia Federal para identificar os responsáveis”, explica Knupp. O processo de rastreamento desse tipo de crime é trabalhoso e leva tempo, pois os criminosos costumam hospedar os sites falsos em provedores fora do Brasil. Geralmente, os dados passam por diversos países antes de chegar ao destino.
Em um dos procedimentos de investigação, a Polícia Federal verificou que as informações roubadas passavam por quatro países, incluindo um da América Central, antes de chegar ao e-mail do autor do golpe”, disse Knupp.
“E, quando chegamos ao endereço brasileiro, precisamos de uma autorização judicial para quebrar o sigilo do investigado.”
O falso e-mail que circula na internet em nome do MPF traz o brasão das armas da República e um texto ameaçador sobre uma suposta investigação de uso indevido do CPF da vítima. A mensagem pede que o internauta colabore com o processo de investigação, clicando no link contido na mensagem e preenchendo um formulário com suas informações pessoais.
Ao visitar o site falso e preencher o formulário, a vítima tem suas informações pessoais roubadas pelos criminosos virtuais
Como identificar e se defender do phishing scam
O formato e o conteúdo das mensagens de phishing podem variar, mas, em geral, os criminosos virtuais adotam a mesma estratégia para enganar o internauta. O principal recurso é o uso do nome de órgãos públicos importantes (como a Receita Federal e o MPF), o de bancos, o de serviços de proteção ao crédito (Serasa) ou o de sites de comércio eletrônico conhecidos.
“Os nomes mais usados nas tentativas de phishing pertencem a organizações dos segmentos educacional, financeiro e comércio de bens de consumo”, alerta Bruno Rossini, gerente de relações públicas da Symantec Brasil.
“Como muitos usuários já não caem mais no golpe do ‘clique aqui para ver a foto’, os criminosos tentam desestruturar a vítima, apelando para mensagens falsas em nome de instituições reconhecidas”, explica Rossini.
Além do uso de marcas reconhecidas, os criminosos sempre pedem para que o internauta clique no link fornecido para confirmar dados pessoais, senhas e números de contas bancárias. Órgãos governamentais e bancos não mandam e-mail, pedindo qualquer tipo de informação ou solicitando a instalação de programas.
Para evitar ser vítima deste tipo de golpe, Rossini e Knupp recomendam que os internautas jamais cliquem em endereços de sites enviados por e-mail e que observem muito bem a aparência de qualquer site antes de fornececer informações. Em boa parte dos casos, os criminosos chegam a criar sites muito parecidos com as versões originais.
“Também é preciso ter cuidado com as informações postadas em sites de relacionamentos, comunidades, blogs e páginas pessoais”, alerta Knupp. “Qualquer um tem acesso a fotos e informações pessoais publicadas na rede.”
Dicas práticas
- Desconfie de e-mails não-solicitados, supostamente enviados por grandes instituições, oferecendo vantagens ou solicitando a verificação de informações pessoais. Empresas ou instituições não usam o e-mail para atualizar cadastros.
- Se o remetente é desconhecido, apague o e-mail sem abrir.
- Fique atento a erros no texto. Algumas mensagens contêm erros de português elementares e vêm com símbolos no lugar de letras acentuadas.
- Nunca clique em links contidos em mensagens enviadas por estranhos. No caso de e-mails de remetentes conhecidos, verifique o link passando o cursor sobre ele sem clicar. Se o link mostrado na barra de endereços do navegador for muito longo ou diferente do exibido no corpo da mensagem, apague o e-mail imediatamente sem clicar no link.
- Tenha uma solução de segurança instalada no computador e procure mantê-la sempre atualizada.
- Use o bom senso sempre. Na dúvida, é melhor apagar o e-mail e entrar em contato com a instituição, avisando sobre a tentativa de golpe.
Fonte: http://www.estadao.com.br/tecnologia/ - Marilu Araújo