Golpistas usam verificações “Você é humano?” para enganar usuários na internet

Projetados para proteger sites contra robôs, os captchas, aqueles testes que exigem que o usuário prove ser humano, viraram uma ferramenta para golpes virtuais.

Um levantamento da Infoblox, empresa de segurança cibernética, revela que páginas falsas de verificação têm sido utilizadas em crimes silenciosos.

Um dos ataques é a Fraude de Compartilhamento de Receita Internacional (IRSF na sigla em inglês), na qual o usuário é induzido a autorizar, sem perceber, o envio de mensagens SMS internacionais.

Os criminosos lucram recebendo uma parcela das tarifas geradas por números alugados no Exterior. 

— Já vínhamos acompanhando há algum tempo o uso malicioso de sistemas de distribuição de tráfego, mas conectá-los diretamente a um esquema contínuo de fraude por SMS é algo novo — pontua Renée Burton, da Infoblox.

Segundo a especialista, o sucesso financeiro da fraude depende de uma estrutura que vai além da página falsa.

— O que torna essa operação tão eficaz não é apenas o captcha falso, mas todo o ecossistema de publicidade e distribuição de tráfego que o sustenta. Estruturas típicas de afiliados estão sendo reaproveitadas para escalar fraudes telefônicas, ao mesmo tempo em que dificultam a visibilidade completa do esquema para quem está de fora — acrescenta.

Roubo de credenciais e dados

Outro tipo de golpe envolve a execução de comandos maliciosos e invasão de contas. O captcha falso instrui o usuário a realizar comandos manuais no próprio sistema operacional, utilizando falsas verificações como "Pressione as teclas Windows + R, digite o código abaixo e aperte Enter".

Isso resulta no roubo de credenciais e dados. A vítima descobre o ataque quando recebe e-mails legítimos de plataformas notificando sobre acessos em novos dispositivos ou quando enfrenta o bloqueio de cartões devido a tentativas de compras não reconhecidas.

Doutor em Ciência da Computação e professor da PUCRS, Avelino Zorzo explica que a mecânica do ataque explora o comportamento padrão do usuário.

— Nosso foco não está em resolver o captcha, e sim em acessar o sistema. Isso faz com que o golpe seja eficaz — resume.

Segundo o especialista, o primeiro passo para evitar prejuízos é ter atenção aos sites visitados.

— Nunca conceda permissão a sites desconhecidos para gerenciar chamadas, SMS ou notificações. Sempre desconfie se um site exigir que você clique em um botão para "provar que é humano" e isso disparar imediatamente uma ação externa, como abrir outra janela ou app — exemplifica.

Como o ataque opera em segundo plano, o impacto financeiro e os riscos à privacidade demoram a ser identificados.

— Em geral, a vítima descobre os ataques quando o estrago já foi feito. No primeiro caso, por exemplo, quando recebe a fatura da conta telefônica e descobre diversas cobranças internacionais que nunca fez ou quando recebe alguma mensagem da operadora sobre tráfego de mensagens para o Exterior — conclui Zorzo.

Como se proteger do golpe

Atenção às instruções: captchas reais pedem cliques simples (como "Não sou um robô") ou seleção de imagens. Nunca execute comandos no teclado (como "Windows + R") nem envie mensagens de texto pré-configuradas para passar por uma verificação.

Controle de permissões: jamais conceda permissão a sites desconhecidos para que gerenciem ou tenham acesso aos seus aplicativos de chamadas, SMS ou enviem notificações no computador ou celular. Cancele a operação imediatamente se, ao clicar para "provar que é humano", o site abrir uma nova aba, janela ou iniciar um aplicativo externo.

Ative filtros de segurança: configure navegadores e celulares para bloquear ameaças em tempo real. Navegadores usados em computadores e sistemas dos celulares modernos também oferecem essa proteção.

Monitore a fatura da operadora: verifique regularmente o saldo parcial da sua conta telefônica para identificar e contestar cobranças indevidas rapidamente. Digite o símbolo + (frequentemente utilizado antes de códigos internacionais) ou termos como "verificação" para checar se há registros ocultos de mensagens enviadas para o Exterior sem o seu consentimento.

Isole o aparelho em caso de suspeita: como a fraude depende do tempo de reação, se você desconfiar de um teste de verificação, corte imediatamente a conexão com a internet. Colocar o celular em "modo avião" é uma ação rápida que pode impedir o envio das mensagens internacionais e a conclusão do golpe.

Fonte: GZH