Campanha maliciosa, que promete bônus de R$100 reais, pode clonar cartões de crédito.
Os aplicativos de economia colaborativa ganharam muita popularidade no Brasil nos últimos anos, tanto que o país se tornou o maior mercado deste na América Latina. Por conta do sucesso econômico, o fenômeno ganhou atenção dos criminosos cibernéticos, que têm usado a marca do Uber para enganar usuários em campanhas maliciosas – principalmente no Carnaval, período que muitas pessoas viajam e utilizam esses apps.
A Kaspersky Lab detectou no início de fevereiro duas campanhas falsas espalhadas por criminosos digitais que prometem um bônus de Carnaval no valor de R$ 100 para quem se cadastrar no Uber pelo link enviado por eles -- o real objetivo do suposto “bônus” é clonar os cartões de crédito das vítimas. De acordo com Fabio Assolini, analista sênior da Kaspersky no Brasil, “o golpe, além de clonar o cartão de crédito da vítima, dá ao criminoso um crédito de R$20 reais no aplicativo caso um novo usuário venha a se cadastrar no serviço usando seu código de referência, ou seja, ele lucra duas vezes”.
Como o ataque funciona
O golpe se inicia com o recebimento de um e-mail informando que a vítima ganhou um crédito de R$ 100:
Ao clicar no link para se cadastrar, o usuário será direcionado para sites falsos, criados especialmente para a campanha maliciosa. Entre os domínios usados no ataque destacamos o uberdesconto.com.br e ubercupomonline.com.br
Estes sites trazem formulários onde a vítima deve informar seu número de cartão de crédito completo, para assim completar o suposto cadastro:
O bônus vai para o bandido
Caso a vítima venha a se cadastrar de verdade, além de ter seu cartão clonado, o verdadeiro bônus de R$20 dado pelo Uber para indicação de novas contas será creditado para o criminoso autor do golpe, gerando um ganho duplo. O número de referência do criminoso está presente em todos os formulários:
“A popularidade do Uber e o fato do serviço lidar com o número de cartão de crédito dos usuários faz com que os criminosos vejam nisso uma oportunidade de enganar muita gente, especialmente na época do Carnaval, onde é comum as pessoas viajarem ou não utilizarem seus carros durante os dias festivos”, afirma Fabio Assolini. “O Uber não dá bônus de R$100 e, quando a oferta é muito generosa, o usuário deve desconfiar dos e-mails e links”, alerta o analista.
Todos os links usados nas campanhas maliciosas abusando do nome do Uber são bloqueados nos produtos da Kaspersky Lab como o Kaspersky Internet Security, que também oferecem o recurso Safe Money, para proteger pagamentos e uso de cartões de crédito online.