A equipe de pesquisa e investigação da ESET analisou que o número de campanhas de phishing voltadas a criar sites falsos da Americanas – em Recuperação Judicial – foi 40% maior do que o de outras lojas de e-commerce.
Esse golpe possui detalhes que permitem identificar que se trata de um conteúdo malicioso, como a URL do site, que é o diferencial mais significativo em casos como esse, os botões de login e “todos departamentos”, que não condizem com o do site verdadeiro. Ainda assim, o site falso possui muitas similaridades com o verdadeiro.
Diante do crime, a ESET fez a análise da URL do site com o intuito de comprovar a ilegitimidade da página.
Diferente de outros casos já analisados pela ESET, o site falso continha detalhes e botões com funções que poderiam facilmente confundir a vítima. Ao escolher um smartphone para efetuar a compra, o site oferece diferentes opções de modelo e cores, algo nunca identificado em outra campanha maliciosa.
Outro detalhe que trouxe dificuldade para identificar que o endereço é falso é relacionado às opções de entrega. Caso a vítima queira receber o produto mais rápido e opte pelo recebimento em até 5 dias, o site cobra uma taxa no valor de R$19,00 que é somado ao ticket de compra. Em golpes menos estruturados, as opções de entrega são sempre gratuitas.
Já no momento da suposta compra e coleta de dados bancários, não é identificado nenhum detalhe fora do usual, ou seja, a coleta é feita da maneira com que sites oficiais fazem.
Na etapa em que a vítima é instruída a informar o endereço residencial, os cibercriminosos incluíram um script de validação de CEP inteligente, possibilitando que grande parte de seus dados sejam automaticamente preenchidos.
Na seção de pagamentos, se a escolha for cartão de crédito, o site impossibilita a inserção de números sequenciais e outras estruturas numéricas que não tenham as características de um número real de cartão de crédito. Todos os outros campos são aceitos sem nenhum tipo de validação, porém, ao clicar no botão “Fechar pedido” uma mensagem de cartão recusado é exibida, informando que a vítima deve usar outro cartão ou meio de pagamento para concluir o processo.
“Desconfie de situações em que é pedido que inclua mais de uma vez os dados do cartão. Em grande parte das vezes, essa prática surge com o intuito de extrair o maior número possível de dados do seu cartão, já que o processo nunca é concluído”, explica Daniel Barbosa, especialista em segurança da informação da ESET no Brasil.
Caso a vítima escolhesse o método de pagamento via PIX, seria gerado um QR code dinâmico no valor do(s) item(ns) no carrinho. Ao abrir seu aplicativo bancário para simular o pagamento, o usuário se depararia com um CNPJ de uma empresa denominada “Via Varejo Eletrônicos LTDA.”. Para contextualizar, o nome Via Varejo faz alusão a uma empresa real, menção com a qual os criminosos procuraram trazer ainda mais veracidade ao golpe, porém, a Americanas é do grupo B2W.
ESET compartilha algumas dicas de segurança
De olho na URL: em boa parte dos ataques deste tipo, a URL do site é a primeira a denunciar que se trata de um golpe, visto que os criminosos não conseguem usar o mesmo endereço utilizado pela loja oficial. Tenha sempre isso em mente e mantenha-se sempre alerta quanto ao endereço dos sites acessados.
Links quebrados: muitas vezes, os criminosos “clonam” apenas algumas partes do site oficial, em geral apenas as seções referentes a alguns produtos e a área de compra. Caso esteja navegando em um site e encontre links quebrados ou que não executam nenhum tipo de ação, desconfie.
Descontos grandes demais: uma constante em golpes desse tipo são os descontos. No caso desta campanha maliciosa, os produtos possuíam mais de 30% de desconto. Ao realizar compras, procure sempre ter em mente a média de preço do produto. Caso encontre algo muito discrepante pode se tratar de um golpe.
Formas de pagamento reduzidas: lojas oficiais buscam disponibilizar diversas opções de pagamento para seus clientes a fim de facilitar a compra, caso a suposta loja ofereça apenas PIX como forma de pagamento ou, como no caso do golpe do site falso da Americanas, também ofereça uma segunda opção (cartão de crédito) há grandes chances daquela loja não ser real e de você estar diante de um golpe.
Desconfie de tudo recebido passivamente: qualquer informação recebida sem ter sido solicitada pode se tratar de um golpe. Seja uma suposta passagem aérea num valor imperdível, super promoções em lojas on-line, informações sobre uma dívida que precisa ser regularizada o quanto antes ou qualquer outro assunto. Empresas sérias sugerem a seus clientes que procurem os meios oficiais para ter acesso a eventuais benefícios ou para quaisquer outras necessidades.
Tenha um antivírus de confiança: softwares de proteção que têm camadas de análise focadas em tráfego de internet barram o site falso antes mesmo dele carregar qualquer instrução no browser do dispositivo. Por isso, é importantíssimo ter um software de proteção de confiança atualizado e configurado para barrar as ameaças em todos os dispositivos.
Veja também no nosso blog