Golpe com cartão pré-pago e publicidade online já soma R$ 10 milhões

Sem Comentários

31/10/2017

Uma nova modalidade de golpe que utiliza cartões de crédito pré-pagos e campanhas relâmpago na internet tem feito uma série de vítimas por todo o Brasil. Sofisticado, o esquema se dá a partir da criação de domínios e páginas falsas, em que os criminosos armazenam conteúdos maliciosos utilizados nos ataques. As campanhas hackers envolvem os softwares TeamViewer, Google Chrome e o BlueStacks — emulador de Android. A fraude foi desvendada pela equipe de resposta a incidentes de segurança (CSIRT) da Real Protect, empresa especializada em segurança da informação, que calcula em mais de 3 mil o número de pessoas atingidas e um prejuízo que já soma a casa dos R$ 10 milhões. Conforme explica o líder da equipe do CSIRT, os hackers se utilizam de campanhas falsas no Google Adwords — a plataforma de publicidade do Google — para ter acesso às contas correntes das vítimas e, após acessá-las, emitem boletos bancários falsos para transferir os valores para cartões pré-pagos. O Adwords é uma das ferramentas preferidas de profissionais da área de marketing digital para criação de anúncios de alto impacto que aparecem nas páginas do buscador, conhecidos como links patrocinados. Para anunciar, a empresa precisa ter uma conta no Google. Os golpistas clonam o site da vítima, usando scripts automatizados, e exibem uma URL falsa, bastante parecida com a original. Assim, quando o usuário digita algum termo específico que o criminoso colocou na campanha do Adwords ele é redirecionado para a URL maliciosa, que, por sua vez, o encaminha para o download do arquivo do malware hospedado no Dropbox.

A hospedagem do arquivo do malware no Dropbox tem como objetivo dificultar que ele seja identificado e barrado. O malware em questão simula os aplicativos de bancos conhecidos, induzindo o usuário a digitar informações de conta e senha. Esta técnica, bastante utilizada atualmente por ser de difícil detecção, é baseada no conceito conhecido como reputação de URLs — que teoricamente diz se ela possui código malicioso ou não. De posse dos dados bancários coletados pelo malware, os criminosos criam contas falsas em operadoras de cartões de débito e crédito pré-pagos com o objetivo de desviar dinheiro para essas contas e realizar o saque em terminais físicos. A “transferência” é feita por meio da geração de boletos de pagamentos para que não possa ser rastreada. Ou seja, o estelionatário usa a conta bancária da vítima para pagar o boleto e gerar saldo no cartão pré-pago falso. Assim que o dinheiro entra na conta, é sacado imediatamente. O líder da equipe diz que esse tipo de golpe não havia sido identificado até agora, pois, segundo ele, o padrão dos criminosos cibernéticos até então sempre foi a realização de compras online via contas falsas. “Essa nova modalidade mostra uma sofisticação ainda maior dos golpes e mais um método para que os criminosos obtenham lucro”, observa. Para evitar ser mais uma vítima deste tipo de ataque, a equipe do CSIRT da Real Protect dá algumas dicas que servem tanto para usuários finais quanto para empresas:

  • Mantenha seu antivírus, sistema operacional e outros programas sempre atualizados.
  • Evite baixar aplicativos fora das páginas principais dos fabricantes. Neste caso, isso era parte do ataque.
  • Verifique com muita atenção e-mails recebidos e reporte imediatamente os spams e fraudes.
  • Utilize buscadores conhecidos como Google, Bing, Yahoo Search, além de sempre verificar o endereço completo do link que irá clicar e se certificar que se trata do destino esperado. A grafia é muito importante, também em caso de acessos diretos aos sites de interesse, pois os atacantes exploram erros de digitação comuns para os nomes de domínios legítimos, como por exemplo, “dominioo.com.br” ou “donimio.com.br” e que, consequentemente, leva o usuário ao destino malicioso.

Ler a notícia na íntegra

Fonte: IDG NOW!

Saiba mais sobre os crimes de fraude no site do BrSafe.

O elo mais fraco na cadeia de segurança das empresas: você

Sem Comentários

23/10/2017

Você pode até culpar o seu programa de antivírus gratuito ou, claro, a ambição de hackers mundo afora pelo aumento das ciberameaças, mas o fato é que o elo mais fraco da cadeia de segurança das corporações permanece sendo você, o usuário final, e o seu comportamento na web. Em novo relatório da Easy Solutions, o “The Fraud Beat 2017”, a empresa de prevenção de fraudes eletrônicas examina alguns dos ataques cibernéticos mais sofisticados que estão circulando no mundo, incluindo o phishing e o spearphishing; a falsificação de identidade nas redes sociais; trojans móveis e bancários; ransomware e hackers como atores estatais. Segundo o documento, 97% das pessoas não sabem como reconhecer com precisão um e-mail de phishing, usados para roubar informações e dados bancários de suas vítimas. Outro número preocupante levantado diz respeito aos e-mails corporativos comprometidos, tendo registrado um aumento de 1.300% de janeiro de 2015 a dezembro de 2016. Nas populares redes sociais, 10% de seus usuários foram vítimas de, pelo menos, um ataque cibernético. Atenção também deve ser dada às mensagens SMS, que não são criptografadas, possibilitando aos fraudadores acesso fácil a informações confidenciais. “Ninguém é imune a se tornar uma vítima de fraude, mas o que é particularmente preocupante para as organizações é o fato de que os usuários finais são o elo mais fraco na cadeia de segurança e existem algumas empresas que podem mudar isto”, declara o CEO da Easy Solutions. O estudo de 2017 utiliza casos reais juntamente às melhores práticas que as organizações podem usar para minimizar o risco de sofrerem ataques. No período de um ano, diferentes ransomware afetaram mais de 230 mil vítimas em 150 países. Os especialistas também recomendam que as empresas implementem uma estratégia de proteção de múltiplas camadas que inclua monitoramento proativo de ameaças externas por machine-learning, uma estratégia de autenticação de usuários forte e que utilizem um protocolo de autenticação de email e análises comportamentais.

Ler a notícia na íntegra

Fonte: IDG Now!

Fique ligado. Dicas do BrSafe para evitar essa modalidade de fraude.

Como evitar golpes no Facebook

Sem Comentários

17/10/2017

O Facebook é uma das redes sociais mais usadas no mundo, com um total de 2 bilhões de usuários. Por isso, não são raros os golpes que visam roubar dados dos internautas ou então espalhar links maliciosos. Entre os golpes mais comuns na rede social estão os de romance, no qual o golpista geralmente envia mensagens para pessoas que não o conhecem, fingindo ser alguém divorciado, viúvo ou em um casamento passando por dificuldades, com a esperança de se envolver em um relacionamento online;  os de loteria, que afirmam que a vítima recebeu uma quantia em dinheiro e exige informações pessoais; e os de empréstimo, no qual o golpista envia mensagens oferecendo empréstimos instantâneos a uma taxa de juros baixa, mais uma vez, por uma pequena quantia como adiantamento.

Veja o que você pode fazer para evitar cair em golpes:

  1. Links
    Tome cuidado ao receber mensagens de desconhecidos ou mensagens estranhas de desconhecidos e nunca clique em links suspeitos.
  2. Páginas falsas
    Antes de clicar e compartilhar links de alguma página, verifique se não é uma notícia falsa. Muitos links maliciosos usam endereços de Internet similares a sites de notícias grandes e até possuem páginas que copiam o layout oficial.
    Evite também aceitar convites de contas falsas, pois eles costumam ser feitos para aplicar golpes e tentar roubar acesso de usuários na rede.
  3. Aplicativos
    O Facebook permite utilizar aplicativos em conjunto com a rede social. No entanto, alguns desses aplicativos, como de jogos, quizz e testes de personalidade podem ser usados para roubar informações. Para evitar isso, entre nas “Configurações”, procure por “Aplicativo” e remova o acesso de apps suspeitos.
    O mesmo vale para extensões de navegadores. Antes de acessar sua conta na rede social, veja se existe alguma extensão suspeita instalada. Caso tenha, desinstale e só depois faça login no Facebook.
  4. Sessões ativas
    Nas configurações você pode verificar as sessões ativas da sua conta e checar se o seu Facebook foi acessado em algum computador ou região estranha. Para fazer isso, vá em “Configurações”, depois em “Segurança” e procure por “Onde você se conectou”. Caso identifique uma conexão suspeita, toque nos três pontinhos que aparecem ao lado do dispositivo e clique em “Não é você?”. Agora, se você se conectou, mas esqueceu de deslogar, selecione a opção “Sair”.
  5. Autenticação de dois fatores
    Ative a função de autenticação de dois fatores do Facebook. Dessa forma, você saberá sempre que alguém tentar acessar sua conta, pois receberá uma notificação para confirmar que é você que está tentando acessar a rede social.
    A função pode ser ativada na área de “Segurança”. Aproveite para ativar as notificações sobre logins feitos em dispositivos desconhecidos e você ainda pode escolher de três a cinco amigos para caso você perca o acesso a sua conta.
  6. Mude sua senha
    Caso você perceba que caiu em algum golpe, mude sua senha imediatamente – não só do Facebook, mas também de outras redes sociais e e-mails, e avise o Facebook por meio do link www.facebook.com/hacked e seus amigos, pois os hackers podem usar sua conta para tentar espalhar malware para os seus contatos.

Ler a notícia na íntegra

Fonte: Olhar Digital

Saiba mais sobre os crimes de fraude no site do BrSafe.

Conheça as ferramentas de fraude mais utilizadas pelos criminosos

Sem Comentários

11/10/2017

Conforme um estudo realizado por uma empresa especializada em soluções antifraude para lojas virtuais, a cada 28 pedidos que chegam ao e-commerce, ao menos um é feito por criminosos utilizando cartões de crédito clonados. O levantamento também mostra quais são as principais ferramentas de fraude aplicadas por estelionatários no e-commerce. Confira alguns deles:

Tor Browser: essa ferramenta se refere a um navegador de internet que proporciona o anonimato ao usuário, ocultando o IP original de quem está navegando. O browser adiciona diversas camadas de dados codificados à navegação, dificultando a interceptação do conteúdo de uma troca de mensagens entre computadores. Mesmo sendo uma ferramenta muito comum entre os hackers, ela não está diretamente relacionada à realização de compras fraudulentas. Em 2016, menos de 0,1% das tentativas de fraude no e-commerce brasileiro partiu desse tipo de navegador – contra quase 80% transações ilegais oriundas do Google Chrome. O Tor, porém, é bastante utilizado para o acesso à deep web, uma zona da internet que não é indexada pelos sites de busca. Por lá, indivíduos mal intencionados conseguem compartilhar conteúdos sem censura e têm a chance de comprar e vender itens como armas, drogas, dinheiro falso, softwares maliciosos, bases de dados cadastrais e números de cartões de crédito para a utilização de compras fraudulentas.

Geradores de CPF: é um sistema que gera combinações aleatórias de CPF de acordo com a verificação do algoritmo da Receita Federal. Os geradores criam sequências de onze algarismos, sendo os oito primeiros aleatórios. De acordo com a lógica por trás do Cadastro de Pessoas Físicas, o nono dígito está relacionado a uma das dez regiões fiscais do Brasil. Já o décimo e o 11º são verificadores e dependem dos nove iniciais. Criminosos se utilizam desta ferramenta porque muitos lojistas online acreditam que a validação de dados cadastrais é uma ferramenta eficiente para evitar transações fraudulentas: se nome completo e CPF do cliente batem junto à Receita Federal, a transação é legítima. Com os geradores de CPF, os inúmeros vazamentos de dados e a “banalização” das informações cadastrais, porém, este método há tempos já não é suficiente para garantir a segurança em uma transação pela internet. Além da validação dos dados cadastrais, é importante combinar esta técnica a outros métodos de detecção de fraudes.

Gerador de cartão de crédito: da mesma forma que o item acima, os geradores de cartão de crédito são sistemas computacionais relativamente simples que criam números aleatoriamente, em frações de segundos, uma sequência numérica que poderia perfeitamente estar vinculada a um portador. Desta forma, criminosos conseguem obter informações válidas sem depender do vazamento de dados. A maioria dos cartões de crédito brasileiros possui 16 dígitos, divididos em três blocos: BIN (Bank Indentification Number, que significa “Número de Identificação Bancária), número do cliente e dígito verificador. Além disso, é necessário “acertar” o código verificador de três algarismos (CVV) e a data de validade. No entanto, criminosos podem se utilizar de ataques de força bruta contra um e-commerce vulnerável e, a partir de um extenso processo de tentativa e erro, descobrir quais combinações geradas aleatórias podem pertencer a um cartão de crédito válido.

Ler a notícia na íntegra

Fonte: E-commerce Brasil

Fique ligado. Dicas do BrSafe para evitar essa modalidade de fraude.

Consumidor sofre uma tentativa de fraude a cada 16,5 segundos, diz Serasa Experian

Sem Comentários

11/09/2017

Foram registradas 950.632 tentativas de fraude contra o consumidor no primeiro semestre do ano, o que representa uma tentativa a cada 16,5 segundos, segundo o Indicador Serasa Experian de Tentativas de Fraude. O crescimento foi de 7,5% em relação ao mesmo período de 2016, quando foram constatadas 884.105 tentativas. A alta de 31,2% nos golpes aplicados no setor bancário e financeiro foi a responsável por puxar o aumento geral das tentativas no semestre. Os setores de serviços e telefonia também registraram aumento de 5,8% e 1%, respectivamente. Já o varejo apresentou queda de 9,7% no semestre. Conforme a Serasa, apesar de o setor de bancos e financeiras ter registrado a maior alta no primeiro semestre deste ano, na comparação com o mesmo período do ano anterior, o segmento de telefonia foi o que mais teve tentativas entre janeiro e junho de 2017 (366.188) e registrou participação de 38,5% no total. Nesse tipo de golpe, dados de consumidores são utilizados por criminosos para abertura de contas de celulares ou compra de aparelhos, por exemplo. Caso a fraude no segmento de telefonia seja bem-sucedida, funciona como uma “porta de entrada” para os fraudadores aplicarem golpes de maior valor em outros setores da economia. Os golpistas costumam comprar telefones para ganhar um comprovante de residência e, assim, abrir contas em bancos para pegar talões de cheque, pedir cartões de crédito e fazer empréstimos bancários em nome de outras pessoas. O setor de serviços vem em seguida no ranking de segmentos com mais tentativas de fraude identificadas no primeiro semestre de 2017 (285.830), representando 30,1% do total. Em terceiro lugar estão os bancos e financeiras, com 23,8% de participação e 226.280 tentativas. O quarto setor mais afetado pelas tentativas nos seis primeiros meses do ano foi o varejo, com 57.451 e participação de 6%.

Principais tentativas de golpe:

  • Compra de celulares com documentos falsos ou roubados;
  • Emissão de cartões de crédito: o golpista solicita um cartão de crédito usando uma identificação falsa ou roubada, deixando a “conta” para a vítima e o prejuízo para o emissor do cartão;
  • Financiamento de eletrônicos (varejo) – o golpista compra um bem eletrônico (TV, aparelho de som, celular etc.) usando uma identificação falsa ou roubada, deixando a conta para a vítima;
  • Abertura de conta: golpista abre conta em um banco usando uma identificação falsa ou roubada, deixando a “conta” para a vítima. Neste caso, toda a “cadeia” de produtos oferecidos (cartões, cheques, empréstimos pré-aprovados) potencializa possível prejuízo às vítimas, aos bancos e ao comércio;
  • Compra de automóveis: golpista compra o automóvel usando uma identificação falsa ou roubada, deixando a “conta” para a vítima;
  • Abertura de empresas: dados roubados também podem ser usados na abertura de empresas, que serviriam de ‘fachada’ para a aplicação de golpes no mercado.
 Veja 10 dicas que podem ajudar o consumidor a se proteger das fraudes:

No mundo físico:

  1. Não perder de vista seus documentos de identificação quando solicitados para protocolos de ingresso em determinados ambientes ou quaisquer negócios; do mesmo modo, não deixar que atendentes de lojas e outros estabelecimentos levem seus cartões bancários para longe de sua presença sob a desculpa de efetuar o pagamento;
  2. Tomar cuidado ao digitar a senha do cartão de débito/crédito na hora de realizar pagamentos, principalmente na presença de desconhecidos;
  3. Não informar os números dos seus documentos quando preencher cupons para participar de sorteios ou promoções de lojas.

No mundo virtual:

  1. Ao ingressar em um site, verificar se possui certificado de segurança. Para isso, basta checar se o http do endereço vem acompanhado de um “s” no final (https). Há ainda certificados que ativam um destaque em verde na barra do navegador;
  2. Não fazer cadastros em sites que não sejam de confiança;
  3. Ter cuidado com sites que anunciam oferta de emprego ou produtos por preços muito inferiores ao mercado;
  4. Não compartilhar dados pessoais nas redes sociais que podem ajudar os golpistas a se passarem por você;
  5. Manter atualizado o antivírus do seu computador, diminuindo os riscos de ter seus dados pessoais roubados por arquivos espiões;
  6. Evitar realizar qualquer tipo de transação financeira utilizando computadores conectados em redes públicas de Internet;
  7. Ao usar computadores compartilhados, verificar se fez o log off das suas contas (e-mail, internet banking, etc.).

Ler a notícia na íntegra

Fonte: G1

Fique ligado. Dicas do BrSafe para evitar essa modalidade de fraude.

Estas são as fraudes mais comuns no e-commerce em 2017

Sem Comentários

05/09/2017

Um levantamento feito por uma empresa de segurança digital mostra quais são as fraudes mais comuns no comércio eletrônico da América Latina em 2017. A campeã é fraude de controle de conta, na qual o fraudador tem acesso a contas e cartões de crédito da vítima. O levantamento mostra que o segundo tipo de fraude mais comum é de afiliada, na qual “afiliadas que induzem estabelecimentos comerciais a pagar comissões não devidas”. Fechando o pódio do mal estão botnets. Nessa modalidade, os hackers assumem o controle de uma rede de computadores privada. Sem o conhecimento dos proprietários, os computadores são usados para “para roubar dados, enviar spam e permitir que criminosos acessem dispositivos”. A lista ainda mostra ataques como roubo de identidade, lavagem de dinheiro, phishing, entre outros. Veja abaixo o ranking de principais fraudes no comércio eletrônico na América Latina em 2017. As explicações de cada tipo de fraude são da empresa.

1. Fraude de controle de conta
“Forma de roubo de identidade em que o fraudador obtém acesso às contas bancárias ou ao cartão de crédito da vítima – por meio da violação de dados ou do uso de malware ou phishing – utilizando as informações para fazer transações não autorizadas.”

2. Fraude de afiliada
“Atividade fraudulenta gerada por uma afiliada na tentativa de gerar receita ilegítima; por exemplo, afiliadas que induzem estabelecimentos comerciais a pagar comissões não devidas.”

3. Botnets
“Rede privada de computadores infectados com um software malicioso. Esses computadores são controlados como um grupo, sem o conhecimento de seus proprietários; por exemplo, para roubar dados, enviar spam e permitir que criminosos acessem dispositivos.”

4. Teste de cartão
“Quando fraudadores usam as lojas on-line para testar informações do cartão de crédito que estão em seu poder. O objetivo é ‘testar’ os cartões para descobrir se eles foram bloqueados/cancelados, e se os limites de crédito foram atingidos.”

5. Fraude “limpa”
“Utiliza informações roubadas do cartão de crédito e, com grande quantidade de dados pessoais, os criminosos efetuam compras fazendo-se passar pelos verdadeiros portadores do cartão sem levantar suspeitas. Assim manipulam as transações para burlar as funcionalidades de detecção de fraude.”

6. Fraude “amigável”
“Ocorre quando o consumidor faz uma compra on-line usando seu próprio cartão de crédito e após receber o produto ou serviço, solicita o estorno ao banco emissor. Uma vez aprovado, o estorno cancela a transação financeira e o consumidor recebe de volta o montante gasto.”

7. Roubo de identidade
“Uso deliberado da identidade de outra pessoa, normalmente para obter vantagens financeiras, crédito e outros benefícios em seu nome.”

8. Lavagem de dinheiro
“Processo que oculta as origens de fundos obtidos ilegalmente, por transferências de recursos envolvendo bancos estrangeiros ou empresas legítimas. Isso faz com que fundos obtidos ilegalmente ou ‘dinheiro sujo’ pareçam legais ou ‘limpos’.”

9. Phishing/pharming/whaling
“São técnicas de engenharia social utilizadas para pessoas físicas, jurídicas ou empresas, ou para atraí-los para sites falsos na tentativa de obter informações como números de cartão de crédito, senhas bancárias e outros dados.”

10. Esquemas de triangulação
“Criminosos usam cartões de crédito roubados para comprar mercadorias arrematadas em leilões on-line ou adquiridas em sites de e-commerce. Em seguida, revendem essas mercadorias a clientes legítimos, que não estão envolvidos na fraude.”

Ler a notícia na íntegra

Fonte: Exame

Fique ligado. Dicas do BrSafe para evitar essa modalidade de fraude.

Fraudes no INSS geram rombo de R$ 5 bilhões aos cofres públicos em 15 anos

Sem Comentários

31/08/2017

As fraudes no INSS (Instituto Nacional de Seguridade Social) provocaram um prejuízo de R$ 5,01 bilhões aos cofres públicos nos últimos 15 anos. Esses desvios foram identificados e levaram à prisão de 2.729 pessoas envolvidas nas fraudes. Entre os suspeitos detidos estavam 416 servidores do próprio instituto. A tarefa de investigar as fraudes no INSS é da Coinp (Coordenação-Geral de Inteligência Previdenciária), órgão da Secretaria de Previdência Social que atua em conjunto com a Polícia Federal, o Ministério Público Federal, INSS, Tribunal de Contas da União e a Advocacia-Geral da União. Em média, a força-tarefa faz 5,5 operações de investigação de fraudes na concessão de benefícios do INSS por mês. Essas apurações resultam, em média, em quatro suspeitos presos todos os meses por participação em crimes contra o instituto. Em entrevista, o secretário de Previdência Social explicou que é possível identificar uma mudança no perfil das fraudes e uma ação efetiva do governo no combate às irregularidades.

— Não há mais aquela situação de fraudes bilionárias de difícil recuperação. Hoje as ocorrências são regionalizadas e focadas em grupos específicos de benefícios, que geralmente não dependem da comprovação de um período longo de vínculo contributivo. De positivo, temos que o combate está mais eficiente e consegue detectar a tipologia das fraudes, que evoluiu ao longo do tempo.

Desde janeiro, já foram feitas 44 operações e flagrantes de fraudes. Um levantamento da Secretaria de Previdência apontou que, se não fossem descobertas, as concessões fraudulentas de 2017 representariam uma despesa total de R$ 153,5 milhões. O estudo considera o valor acumulado mensalmente da fraude, considerando a expectativa média de vida do segurado.

— O cancelamento dos benefícios e a prisão dos suspeitos de fraude é um processo contínuo. Assim como existe o aprimoramento dos procedimentos de concessão, também há a evolução dos métodos dos fraudadores. Também são respeitados, amplamente, o direito de defesa dos suspeitos.

Outro foco de trabalho da secretaria é a recuperação dos valores desviados.

— Não é um procedimento fácil, [porque] existem várias etapas processuais e a outra parte pode recorrer. Queremos envolver ainda mais a Advocacia-Geral da União para que os cofres públicos sejam ressarcidos.

Golpes comuns

Nem sempre o alvo principal dos golpistas é a concessão de um benefício irregular. A Secretária de Previdência Social identificou um aumento nas reclamações de segurados dizendo que receberam ligações da Previdência, relata o secretário.

— O INSS não liga para ninguém. As informações e orientações são dadas pela central de atendimento 135. Lá o segurado encontra todas as informações oficiais. Além disso, todos os serviços do INSS são gratuitos.

A abordagem dos fraudadores costuma acontecer da seguinte forma: os criminosos entram em contato, por telefone, com segurados e se identificam como integrantes do CNP (Conselho Nacional de Previdência). Depois, oferecem algum tipo de benefício. Afirmam que o aposentado ou pensionista teria direito a receber valores atrasados, geralmente, grandes quantias de dinheiro. Na sequência, pedem que entrem em contato com eles por meio de um número de telefone. Quando o cidadão faz a ligação, os fraudadores pedem que informem dados pessoais e solicitam o depósito de determinada quantia em uma conta bancária, para liberar um pagamento que não existe. A subsecretária de Gestão da Previdência orienta para não cair no golpe.

— A principal dica é não se deixar levar pela conversa dos golpistas. Algumas vezes eles também dizem que são da auditoria do INSS e que há um valor alto para resgatar. Esse tipo de ligação nunca é do INSS. O atendimento é feito na rede de agências e pelo 135 apenas.

Ler a notícia na íntegra

Fonte: R7

Saiba mais sobre os crimes de fraude no site do BrSafe.

Anterior