Video Screencast Help
Security Response

Copa é usada como isca para golpes online

Created: 10 Dec 2012 22:14:15 GMT • Translations available: English, 日本語
Mathew Maniyara's picture
0 0 Votes
Login to vote

Diversos ataques de phishing usando o futebol como tema foram observados em 2012. Segundo análises da Symantec, os criminosos manifestaram interesse em clubes de futebol, nos jogadores e na Copa do Mundo da FIFA de 2014. Em novembro passado, a tendência se manteve, com a criação de uma versão falsa do site da Copa do Mundo da FIFA de 2014 em um site de hospedagem gratuita.

No primeiro exemplo, os usuários são encorajados a se inscrever em sorteios diários que oferecem desde prêmios em dinheiro até viagens para a Copa. A página de phishing traz em destaque, no lado direito, o mascote Fuleco. Para se cadastrar, o site pede que o usuário escolha uma entre três opções de pagamento eletrônico. Depois que a opção é selecionada, o site pede dados confidenciais do usuário.

Esses dados incluem:

  • Número do cartão
  • Assinatura eletrônica
  • Nome do titular do cartão
  • Senha
  • Endereço de e-mail
  • Senha do e-mail

Depois que os dados são inseridos, o site de phishing reconhece o cadastro e fornece um código, “L2Y7DQ852”, que será supostamente solicitado se o usuário for sorteado.

Figura 1. Opção de forma de pagamento eletrônico

Figura 2. Solicitação de dados confidenciais

Figura 3. Confirmação de dados

Em um segundo exemplo, um site falso imita uma operadora brasileira de cartões, convidando o usuário a se cadastrar para oferta semelhante. A página utiliza a imagem do jogador Neymar. A oferta diz que o usuário receberá um código a cada R$ 30,00 em compras. E esse número concorreria em sorteios diários. Para se cadastrar, o usuário precisa inserir seus dados pessoais.

Esses dados incluem:

  • Nome
  • CPF
  • Telefone
  • Cidade
  • Nome do pai

Se o usuário fizer o que os sites de phishing querem, os criminosos poderão roubar seus dados para tirar proveito financeiro.

Figura 4. Solicitação de dados do usuário

 

Melhores Práticas

Seguem algumas das melhores práticas indicadas para que os usuários de Internet evitem estes tipos de ataque:

  • Não clicar em links suspeitos em mensagens de e-mail;
  • Não fornecer dados pessoais ao responder um e-mail;
  • Não digitar dados pessoais em uma tela ou janela pop-up;
  • Verificar se o site está criptografado com um certificado SSL, procurando o cadeado, "https" ou a barra de endereços verde ao inserir dados pessoais ou financeiros;
  • Atualizar seu software de segurança frequentemente.