Pesquisadores identificaram um aumento vertiginoso no uso do malware Emotet em campanhas de phishing às vésperas da festividade religiosa; análise reforça a importância de redobrar a atenção para o que especialistas chamam de “ataques sazonais”.
Independente de sua religião, a Páscoa é uma das datas comemorativas mais importantes e divertidas que temos em nosso calendário. Para os cristãos, é também chamado de Domingo da Ressurreição, pois marca a data em que Jesus Cristo reviveu após ser crucificado; para várias mitologias pagãs, é uma homenagem à deusa Ostara ou Eostre (daí o nome original em inglês, Easter Day), que simboliza a fertilidade e a chegada da primavera. E, mesmo para quem prefere se manter indiferente a tudo isso, nada mais legal do que dar e receber ovos de chocolate de amigos e familiares, não é mesmo?
Mas há um mais um tipo de perfil que adora a Páscoa, mas pelos motivos errados: os criminosos cibernéticos. De acordo com uma análise realizada por especialistas de uma conceituada empresa israelense de cibersegurança, o uso do malware Emotet (considerado um dos mais perigosos da atualidade) disparou durante o mês de março, sendo empregado ao redor do mundo inteiro em campanhas de phishing que antecederam o feriado em questão. Seja prometendo promoções imperdíveis, brindes milagrosos ou simplesmente espalhando falsos “cartões virtuais” de Feliz Páscoa, os meliantes fizeram a festa.
O alerta emitido pelos pesquisadores só reforça a importância de redobrar a atenção durante datas comemorativas — é durante elas que os criminosos aplicam aquilo que a indústria decidiu chamar de “golpes sazonais”. Cientes de que, em tais épocas do ano, os internautas naturalmente passam a comprar mais em lojas virtuais e procurar promoções para presentear entes queridos, os golpistas se empenham em aprimorar suas campanhas de engenharia social para lesar internautas desavisados. O resultado pode variar, indo desde o download de um malware até o sequestro de contas bancárias.
Cuidado com o vão entre a loja virtual e a plataforma
No momento em que este artigo foi escrito, estamos às vésperas de outra festividade que também serve como chamariz para os scammers: o Dia das Mães. Embora ainda não existam estatísticas sobre o número de tentativas de golpes para o ano de 2022, diversas fornecedoras de soluções de segurança já emitiram alertas e previsões de que, cientes da procura desenfreada dos internautas por boas ofertas de presentes online, os cibercriminosos não vão medir esforços para disparar campanhas de phishing convincentes, criar réplicas perfeitas de ecommerces famosos e assim por diante.
Um desses alertas foi emitido por ninguém menos do que o próprio Adriano Volpini, diretor do Comitê de Prevenção a Fraudes da Federação dos Bancos (Febraban). Volpini ressalta que, no fim das contas, a estratégia dos golpistas continua sendo a mesma: empregar engenharia social para manipular os sentimentos humanos ao oferecer falsas ofertas que parecem altamente tentadoras. A pressa, a cobiça e o senso de urgência que geralmente é criado por tais peças promocionais falsas (usando chamadas como “corra, pois o estoque está acabando!”) podem facilmente incentivar o internauta a cair em uma armadilha.
“Sempre desconfie de promoções com preços muito menores que o valor real do produto. Os criminosos se utilizam da empolgação dos consumidores em fazer um grande negócio para aplicar golpes por meio de anúncios em páginas falsas de empresas de comércio eletrônico, via SMS e WhatsApp e também em posts de redes sociais”, explica o executivo. Como citamos anteriormente, as consequências de cair nesse tipo de golpe são variadas; porém, geralmente, ao fazer uma compra em uma loja virtual falsa, o mais comum é que o criminoso registre os dados de seu cartão de crédito para cloná-lo no minuto seguinte.
Alguns exemplos de golpes sazonais
Como você já deve imaginar, os “golpes sazonais” são comuns sobretudo nas proximidades de datas comemorativas que possuem um alto apelo comercial (leia-se: trocar presentes). Sendo assim, se fosse necessário listar as festividades que mais precisamos redobrar a atenção, poderíamos citar as seguintes: Páscoa, Dia das Mães, Dia dos Namorados, Dia dos Pais, Dias das Crianças e festas de fim de ano (Natal e Ano Novo). São ocasiões nas quais a ânsia consumista está aflorada e o comércio eletrônico, com a transformação digital acelerada, se torna o método mais comum para adquirir presentes por valores mais justos.
Porém, é importante ressaltar que nada impede que criminosos cibernéticos utilizem outros feriados como mote para disseminar campanhas maliciosas — estas, geralmente, têm como objetivo a simples coleta de dados pessoais das vítimas. Jamais devemos menosprezar a criatividade dos golpistas. Apenas para citar um exemplo, nada impede que um scammer utilize o Carnaval para personificar uma marca de bebidas e espalhar uma corrente via WhatsApp afirmando que tal empresa distribuirá cerveja gratuitamente para quem preencher um formulário.
Como se proteger?
Obviamente, além de simbolizar graves riscos para o internauta enquanto cidadão, os golpes sazonais também representam um perigo para o ambiente corporativo — nunca se sabe quando um colaborador baixará um anexo malicioso no computador utilizado para finalidades corporativas. Eis a importância de, além de manter um programa contínuo de conscientização em segurança da informação, reforçar a importância de redobrar a atenção nas proximidades de tais datas festivas. Aplicar simulações de phishing pode ser uma boa ideia para mensurar o quão preparada a sua equipe está para lidar com esse tipo de fraude.