Solicitações de selfies com documento de identidade podem ser phishing

Confira as dicas antes de enviar qualquer foto pessoal para um destinatário desconhecido

Foto: Shutterstock
http://pcworld.com.br/solicitacoes-de-selfies-com-documento-de-identidade-podem-ser-phishing/
Clique para copiar

Quem já abriu conta no Nubank sabe que um dos procedimentos para confirmar a solicitação consiste em enviar uma selfie segurando seu documento de identidade. Nesse caso, por ser uma empresa de grande porte reconhecida no mercado de fintechs, não há motivo para preocupações. Entretanto, a Kaspersky, empresa de cibersegurança, notou que pessoas mal-intencionadas estão usando dessa possibilidade para enganar usuários desavisados.
O cibercrime pode ser considerado como phishing, o termo em inglês que remete a “fishing” (pescaria) e dá a entender justamente isso: uma isca para capturar vítimas. Os cibercriminosos enviam e-mails a usuários aleatórios fingindo serem de um banco, empresa de pagamentos ou rede social.
Essas mensagens fraudulentas pedem que o usuário confirme sua identidade por meio de um link e usam a desculpa de um novo processo de “segurança”. Ao clicar, a vítima é levada a uma página com um formulário que solicita informações pessoais como endereço, número de telefone, bem como o upload de uma selfie com um documento de identidade oficial visível – e até mesmo foto de cartão de crédito ou passaporte.

Com os dados do usuário em mãos, o cibercriminoso pode usar do nome da pessoa para abrir, por exemplo, uma conta no mercado de criptomoedas para lavar dinheiro e, caso seja descoberto, jamais se prejudicará, já que, na verdade, o crime consta nos registros da vítima.
“Além disso, é importante frisar que uma selfie com um documento de identidade tem um valor muito alto no mercado negro em comparação com uma imagem digitalizada do mesmo documento”, alertou Fabio Assolini, analista sênior de segurança da Kaspersky.

Dicas para manter seus dados protegidos

Para que você se proteja contra esse tipo de ataque, a Kaspersky preparou uma lista com sete dicas que vão te ajudar a identificar e-mails de phishing:

  1. Erros gramaticais e ortográficos: É muito provável que o texto do e-mail enviado bem como as informações disponibilizadas no link tenha erros gramaticais, palavras omitidas e erros de ortografia. Por isso, sempre pergunte: sites oficiais e e-mails de grandes organizações têm erros gramaticais e ortográficos?
  2. Endereço do remetente é suspeito: Esses e-mails geralmente vêm de endereços registrados em provedores gratuitos ou pertencem a empresas que não têm relação nenhuma com a mencionada no corpo da mensagem. Verifique de onde vem a mensagem e para onde o link leva.
  3. Nome do domínio não corresponde: Embora o endereço do remetente pareça legítimo, é provável que o host do formulário de phishing esteja hospedado em um domínio mal-intencionado ou não relacionado. Às vezes, o endereço pode ser muito parecido (mas ainda assim existem diferenças); em outros, a diferença é notória. Um exemplo é uma suposta mensagem do LinkedIn que, por algum motivo, convida os usuários a fazer upload de uma foto no Dropbox.
  4. Prazo de entrega é muito curto: Muitas vezes, os autores desses e-mails tentam por todos os meios apressar o destinatário e, por exemplo, eles afirmam que o link expirará após 24 horas. Os cibercriminosos frequentemente recorrem a essa técnica já que a falsa sensação de urgência faz com que muitos usuários ajam sem pensar. É melhor quebrar o prazo do que enviar seus dados para os cibercriminosos.
  5. Solicitação de informações já enviadas: Sempre verifique se já tiver fornecido pelo menos algumas das informações solicitadas – por exemplo, endereço de e-mail ou número de telefone. No caso dos bancos, sua identidade foi confirmada quando você abriu a conta. Então, por que você teria que verificá-la novamente sob o pretexto de uma “segurança adicional”?. Neste caso, é importante procurar informações no site oficial da empresa.
  6. Solicitações ao invés de ofertas: Muitas soluções oferecem opções avançadas – incluindo de segurança – em troca de informações pessoais; mas na sua conta pessoal na web, não por e-mail. E, normalmente, é uma oferta que pode ser recusada. Porém, na forma em que o link de e-mail fraudulento é enviado, há apenas um botão como se sugerisse que não há outra opção além de enviar uma selfie. Em caso de dúvida, ligue para o atendimento ao cliente. Mas não use o número fornecido na mensagem: encontre-o no site oficial da empresa.
  7. Não há informações sobre isso no site oficial: Na verdade, você pode já ter confirmado sua identidade em redes sociais, bancos e outras empresas há algum tempo. No entanto, essa é a exceção e não a regra. Os detalhes do que está acontecendo, caso precise confirmar novamente, devem estar disponíveis no site oficial do serviço e deve ser fácil encontrá-los no Google.

Este anúncio desaparecerá em:

Ir para o site