Fonte: Microsoft
Período intenso de transações online atrai a atenção de cibercriminosos, que têm evoluído suas técnicas de ataque para disfarçar páginas maliciosas ou acessar informações de consumidores.
A Black Friday é uma época tradicional para o varejo e para os consumidores que buscam descontos ou antecipar os presentes de fim de ano. No entanto, cibercriminosos também aproveitam o período intenso de compras para aplicar golpes e fraudes financeiras. Conforme apontou o Digital Defense Report, os clientes da Microsoft foram protegidos de mais de 600 milhões de ataques de cibercriminosos, com ameaças cada vez mais elaboradas e que demandando defesas e cuidados adicionais às pessoas.
“A cada ano, os cibercriminosos contam com novas técnicas ou aprimoramento para atrair possíveis vítimas no ambiente online”, alerta André Toledo, líder de Segurança da Microsoft Brasil. “Temos observado um crescente uso de códigos QR Codes maliciosos, abrindo margem também para ações offline, por meio da distribuição de cartazes e folhetos”, alerta o especialista.
Confira algumas dicas de como se manter protegido neste período de compras de fim de ano:
1 – Fique atento aos QR Codes
Os QR Codes são uma evolução dos códigos de barra tradicionais, que podem ser escaneados rapidamente a partir de dispositivos móveis para acessar páginas da web, validar ingressos ou fazer pagamentos. Com toda essa comodidade, cibercriminosos passaram a aproveitar esse recurso para distribuir links maliciosos para páginas de phishing e fraudulentas. Afinal, os códigos em imagem podem facilmente disfarçar sites maliciosos para o usuário final e até para sistemas de segurança.
Segundo dados do Microsoft Defender Threat Experts, o envio de QR Codes maliciosos já é a segunda técnica mais utilizada para aplicar ataques de phishing via e-mail. Esse tipo de ameaça já representa 25% das notificações, atrás apenas do uso de links e URLs (56%), mas à frente do uso de arquivos maliciosos anexados (19%). No geral, as mensagens maliciosas incentivam a vítima a ler o QR Code com seu telefone, redirecionando-os a uma página de login falsa, com o objetivo de roubar as credenciais de acesso.
Ao receber um QR Code no seu e-mail ou por outro meio, o primeiro passo fundamental é evitar o impulso de escaneá-lo. Verifique a origem do código, se é de um remetente confiável ou conhecido, se a mensagem possui algum erro de grafia ou de informações.
Após fazer a leitura do código, verifique também se o link para o qual foi direcionado é confiável, se o site é verificado, se o endereço está escrito corretamente e sem troca de letras por caracteres ou números similares. Na dúvida, acesse novamente o site ou plataforma por outros meios para conferir se as informações batem e se aquela promoção é realmente válida.
2 – Tenha cautela na hora do pagamento
Assim como para acesso de sites e documentos, os QR Codes também trouxeram comodidade aos sistemas de pagamento online instantâneos. No entanto, tal qual acontece com URL, esses códigos podem ser usados para disfarçar as informações de pagamento. Portanto, antes de concluir a transação, o usuário deve verificar sempre se o nome do recebedor é o da loja que está comprando, tal qual o CNPJ e o próprio valor da compra.
No caso de pagamento com outros meios, como cartões de débito e crédito, é importante conferir se a página é mesmo da loja que você deseja comprar e se não há nenhum erro de digitação em sua URL. No caso de primeira compra em uma plataforma, dê preferência a cartões virtuais e de uso único em vez de salvar o número do seu cartão físico na página, reduzindo assim possíveis impactos de eventuais fraudes.
“Seja qual for o meio de pagamento usado, o comprador pode identificar indícios de fraudes antes mesmo do momento de compra. Desconfie de ofertas que cheguem por meio de canais não oficiais, com preços muito abaixo do razoável para aquele produto e que promovam um senso de urgência na compra”, explica André Toledo.
3 – Tome cuidado com Impersonation e techscam
O Defense Report também observou um aumento expressivo nos golpes de “impersonation”, ou seja, em que os criminosos se passam por uma pessoa, empresa ou entidade para enganar a vítima. Segundo dados da Microsoft, 54% das campanhas de phishing com alvo em consumidores se passaram por marcas de software e serviços, seguidos por 15% do setor financeiro e 12% do varejo.
Ao receber uma oferta, verifique o endereço de e-mail ou verificação de perfis em redes sociais. Desconfie de páginas com pouco seguidores ou de mensagens enviadas por e-mail sem o domínio (nome que vem depois do @) da loja ou empresa. A atenção redobrada vale também para conteúdos de celebridades e figuras públicas publicadas fora dos perfis verificados, uma vez que podem ter sido criados com softwares de edição ou gerados por IA nos chamados deepfakes.
Com a popularidade do comércio de eletrônicos e artigos de tecnologia nesse período, outro risco iminente aos consumidores são os chamados techscam, nos quais criminosos se passam por equipes de suporte de fabricantes de dispositivos e softwares. Somente no âmbito de serviços de nuvem, a Microsoft observou um aumento da frequência diárias desses golpes de 7 mil em 2023 para 100 mil em 2024, um aumento de 12 vezes. Além disso, mais de 70% dessas redes maliciosas estão ativas por menos de duas horas, dificultando a sua detecção.
Portanto, ao receber qualquer mensagem oferecendo suporte para um novo dispositivo, para algum serviço que não contratou ou até mesmo um pacote que chegou e você não pediu, o usuário deve redobrar a atenção para a origem da mensagem. Isso também vale para mensagens de transportadoras ou até mesmo suporte que contenham ameaças de bloqueio, multas ou exclusão de contas. É necessário buscar sempre os canais de suporte oficiais da empresa ou plataforma para confirmar se uma mensagem é verdadeira.
4 – Reforce a segurança das suas contas
Com diversas informações importantes sobre pagamentos e compras circulando nesse período, cresce também o interesse de criminosos em roubar contas de e-mail, redes sociais e plataformas vendas online. De acordo com um estudo da Security.org, 29% dos internautas já experimentaram o roubo de contas, contra 22% em 2021. Isso também vale para empresas, cujo esse tipo de ataque saltou de 13% para 21% no mesmo período. O dado mais alarmante é que a maioria dos roubos de contas acontece por meios simples, como pulverização de senhas, phishing, keylogging (registro de digitação no teclado) e uso de senhas de ataques anteriores encontrados na web.
Para evitar esse tipo de golpe, o ideal é que o usuário reforce a segurança de sua conta com métodos de autenticação multifator, que exigem etapas adicionais além da senha, em especial os mais modernos como aplicativos e chave de acesso. Além disso, evite usar senhas simples e repeti-las em diferentes serviços e plataformas online. Aplicativos como o Microsoft Authenticator (Android e iOS) podem ajudar a criar senhas únicas e fazer a autenticação em duas etapas por meio de notificações ou códigos temporários.
Ao receber uma mensagem estranha de algum amigo ou familiar, desconfie e tente confirmar de alguma outra forma, como ligação telefônica. Afinal, a conta da pessoa pode ter sido comprometida e é muito comum que criminosos tentem enganar pessoas próximas para roubar informações ou aplicar golpes financeiros.
5 – Mantenha seus navegadores, aplicativos e dispositivos atualizados
Por fim, é sempre importante lembrar que criminosos estão atentos e procurarão explorar falhas conhecidas em dispositivos, sistemas operacionais e aplicativos. Por isso, faça verificações constantes nos sistemas operacionais de seu computador e smartphone, procure por novas versões dos aplicativos que você usa nas lojas oficiais do sistema e evite utilizar programas antigos ou defasados.
Esses são apenas alguns passos simples, mas eficazes, que vão ajudam a minimizar os riscos não só durante o período da Black Friday 2024 como sempre. Na dúvida, a cautela e o olhar atento tendem a ser as principais aliadas do consumidor no ambiente digital. Para conferir novas dicas de seguranças e saber mais sobre como ficar protegido online, acesse o Microsoft Source Brasil ou confira as últimas atualizações do Microsoft Security Blog (em inglês).
