Fonte: Revista Época

 

Antes de o calendário oficial da Caixa Econômica Federal ser divulgado, uma página no Facebook já anunciava um cronograma falso

 

O calendário dos saques das contas inativas do Fundo de Garantia do Tempo de Serviço (FGTS) foi divulgado pela Caixa Econômica Federal na terça-feira (14), mas antes da data já circulava nas redes sociais um cronograma falso com o objetivo de pescar desavisados. Se mesmo parte da equipe de Hillary Clinton, que na teoria deveria entender o básico de segurança digital, caiu em phishing durante as eleições americanas, é de esperar que hackers obtenham com facilidade informações de usuários leigos na internet.

 

O golpe acontece em duas etapas. A primeira consiste na obtenção de dados dos usuários, que pode ser feita de duas maneiras básicas: a partir do roubo de dados como PIS e Pasep (por algum tipo de vazamento) ou convencendo o internauta a clicar em e-mails ou sites falsos (o clássico phishing). O segundo passo é convencer a vítima a pagar o procurador (no caso, o hacker que se passa por procurador) para que ele possa passar o extrato do FGTS ou até fantasie a operação inteira. 

 

O cibercrime é comum em épocas de grande mobilização econômica (seja para compras de Natal ou na Black Friday). “É o equivalente à tradicional saidinha do banco. Assaltantes sabem quando a população vai ao caixa sacar o salário. Hoje é a saidinha do FGTS”, explica Rodrigo Fragola, presidente da Aker Security Solutions e vice-presidente da Associação das Empresas Brasileiras de TI (Afespo).  Ele alerta também para o perigo das notícias falsas, que em grande parte trazem junto uma ameaça digital. 

 

Outra consequência maléfica do e-mail falso da Caixa é que, ao realizar o download do cronograma, o interessado automaticamente instala um vírus em seu dispositivo, que pode permitir o roubo de dados pessoais como senhas bancárias e contas em redes sociais. 

 

As informações relativas às contas inativas do fundo são todas gratuitas e intansferíveis no site da Caixa Econômica Federal. O mesmo vale para procedimentos bancários: as instituições financeiras sempre redirecionam os links dos e-mails para os sites oficiais de suas marcas. Uma página no Facebook surgiu para anunciar o calendário, mas ela não tinha relação nenhuma com a conta oficial da Caixa: não tem o logotipo da instituição e nem é verificada (um recurso que o Facebook usa para contribuir para a disseminação de informações verídicas). 

 

Os sites falsos costumam ter templates idênticos aos oficiais, o que dificulta o discernimento dos usuários. “Muitas vezes, é uma página clonada e o DNS foi interceptado”, lembra Fernando Neves, diretor da empresa de segurança RPost. Nesse caso, é sempre importante averiguar o endereço eletrônico (principalmente quando se tratar de passar informações pessoais) e evitar o uso de computadores de terceiros. Um computador de hotel, por exemplo, pode deixar guardado o registro do seu PIS no site da Caixa. “A incidência [do golpe] do FGTS tem sido muito grande. Todos estão predispostos a conseguir o dinheiro, então os bancos estão reportando muitos boletos e intimações falsas”, diz Neves. Segundo ele, cerca de 60% das vítimas caem pelos mecanismos de busca, não por e-mail. O usuário busca no Google “contas inativas do FGTS” e, se não prestar a atenção, cai em um site falso. “A máxima é desconfiar sempre”, diz o especialista.