Vazamentos de dados de todos os tipos aparecem regularmente no noticiário e, recentemente, algumas multas com potencial de bilhões deram um tapa nas empresas responsáveis. Se as companhias tiverem que pagar pelo vazamento de dados, parece lógico inferir que parte desse dinheiro vai para as vítimas, certo?
Surpresa da Comissão de Comércio dos EUA
Recentemente, um site chamou nossa atenção. Aparentemente pertencente a um determinado “Fundo de Proteção de Dados Pessoais”, a página principal do site afirma que o fundo foi criado pela “Comissão de Comércio dos EUA”.
À primeira vista, o site parece razoavelmente sólido, com um design sóbrio mostrando uma soma robusta à direita. Um grande banner no topo da página anuncia que o fundo concede compensação por vazamentos de dados pessoais – aos quais cidadãos de qualquer país do mundo podem se inscrever.
Aos interessados, o site oferece a possibilidade de checar se seus dados já foram vazados alguma vez. Para isso, você precisa colocar seu nome, sobrenome, número de telefone e contas em redes sociais. Acima do formulário há um aviso alertando que a inserção de dados de terceiros resultará em uma penalidade severa.
No entanto, verifica-se que o site aceita qualquer informação, até mesmo um gobbledegook completo. Por exemplo, perguntamos sobre os dados pessoais de um cidadão chamado fghfgh fghfgh. O site carregou por um tempo, aparentemente se conectando a um banco de dados com informações sobre vazamentos …
…e eis que descobrimos que nosso personagem fictício, com um nome impronunciável, realmente havia sido alvo de vazamento de dados. Além disso, foi revelado que alguém já havia usado suas fotos, vídeos e informações de contato e, portanto, a fghfgh tinha direito a uma compensação superior a U$ 2,5 mil!
Comprando um SSN temporário
Alguém poderia pensar que seria suficiente fornecer um número de cartão bancário e aguardar o recebimento. Mas não é bem assim. O fundo de caridade não pode enviar dinheiro sem conhecer seu SSN (número de seguridade social, na sigla em inglês), um número de nove dígitos emitido para cidadãos dos EUA e residentes permanentes e temporários.
Esse número é único e usado para praticamente tudo nos EUA, incluindo o pagamento de impostos, candidatura de empregos, aluguéis de imóveis e por aí vai.
Mas se você não tem um, não tema: você pode simplesmente marcar a opção “I’m don’t have SSN”, ou “Eu não estou tendo um SSN” (A gramática não parece ser o ponto forte dos golpistas).
Para contornar o problema de não ter um SSN, o site oferece a venda de um número temporário! Em comparação com a quantia que você tem direito, U$ 9 é uma pechincha.
Se você tentar completar a transferência sem comprar um SSN, o site retornará uma mensagem de erro e vai exigir um número temporário. E se em algum momento você fornecer um número autêntico de SSN, ainda assim será necessária a compra de um novo número temporário.
Quem decide comprar um SSN temporário é redirecionado para um formulário de pagamento. Se você fizer isso a partir de um endereço IP russo, esse formulário de pagamento aparecerá em russo e o preço de compra será especificado em rublos. Isto é estranho. Por que uma agência do governo dos EUA exigiria pagamento em moeda estrangeira?
Residentes de outros países provavelmente serão redirecionados para um formulário em inglês menos suspeito, solicitando pagamento em dólares.
Os golpistas online russos estão se internacionalizando?
Obviamente, é um golpe. O Fundo de Proteção de Dados Pessoais não existe, muito menos a Comissão de Comércio dos EUA, como você pode imaginar. O nome verdadeiro da organização na qual os golpistas estão tentando se passar é Comissão Federal de Comércio (Federal Trade Commission, no original em inglês), mas a FTC não distribui compensações indiscriminadamente.
Os próprios golpistas provavelmente falam russo, como sugerido pelo formulário de pagamento do rublo, além da suspeita semelhança do esquema com outras ofertas fáceis de dinheiro que regularmente tentam residentes da Rússia e da Comunidade dos Estados Independentes (CEI)
A isca nesses esquemas variam – brindes, pesquisas eletrônicas, economias secretas de aposentadoria e até mesmo empregos de meio período como despachante de táxi – mas eles tendem a estar na Rússia (como é possível perceber nos links anteriores), mas o ponto principal é sempre o mesmo: a tentadora promessa de dinheiro fácil, seguida de uma exigência de pagamento por um serviço inexpressivo, seja uma comissão, um “pagamento de segurança” ou um SSN temporário
O esquema detalhado neste texto utiliza os mesmos sistemas de pagamento que os citados acima. Isso também deixa um rastro familiar de cibercriminosos russos. A única diferença com o golpe de compensação é a amplitude geográfica do ataque. Por exemplo, desta vez, as vítimas estavam localizadas não apenas na Rússia e nos países vizinhos, mas também na Argélia, Egito, Emirados Árabes Unidos e em outros lugares.
Como se prevenir dessa armadilha?
Esses golpes são direcionados às vítimas esperançosas que não considerariam essa oportunidade suspeita. Portanto, nossa dica principal é permanecer vigilante:
- Não confie. Se alguém lhe promete uma grande quantia de dinheiro em troca de algo trivial, como responder uma enquete, é praticamente certo que se trata de um golpe. E se você for demandado a pagar algo para receber um montante, você pode estar duplamente certo de que é uma trapaça.
- Verifique. Pesquise no Google sobre a organização para descobrir se ela realmente existe e, se existir, dê uma boa olhada em sua página na internet. Preste atenção ao idioma: uma organização respeitável não vai publicar textos cheio de erros.
- Use fontes confiáveis. Se você estiver preocupado com a segurança dos seus dados, especificamente senhas, poderá verificar se eles foram afetados por um vazamento no site com. Criado pelo especialista em infosec Troy Hunt, esse recurso de pesquisa de violação de dados fornece as informações mais atualizadas sobre vazamentos de dados
- Proteja-se! Use uma solução antivírus confiável com proteção contra phishing e fraudes online, como o Kaspersky Internet Security.