O Facebook está oferecendo US$ 100 milhões em doações em dinheiro para empresas afetadas pela pandemia do coronavírus. Os candidatos qualificados podem receber uma bolsa no valor de cerca de US$ 3.300, anunciou o blog da empresa. Sem surpresa, os cibercriminosos não perderam tempo criando esquemas para explorar essa generosidade.
Sabendo que muitos tinham ouvido falar sobre as doações, mas apostando em poucos tendo absorvido os detalhes, os cibercriminosos apresentaram a notícia como se o Facebook estivesse distribuindo dinheiro a todos os usuários da rede social afetados pelo COVID-19.
A isca
Vítimas potenciais veem um artigo aparentemente da CNBC, líder mundial em notícias de negócios e com uma audiência mensal na casa das centenas de milhões, dizendo que o Facebook está oferecendo auxílio financeiro aos usuários atingidos pelo COVID-19 e incluindo um link para se candidatar. A gramática deve revelar o jogo, e a URL, que não começa com cnbc.com, é outro elemento suspeito.
Aqueles que fazem vista grossa ao inglês desajeitado e à URL errada são levados a outro portal que tem mais do que uma semelhança impressionante com o site da Mercy Corps, uma instituição de caridade que ajuda vítimas de desastres naturais e conflitos armados. No entanto, o único tópico neste caso são os subsídios do Facebook, e é solicitado à vítima a especificação de há quantos anos possui perfil na rede social. A gramática do site ainda é podre e a maioria dos links não funciona. É especialmente triste que o anúncio de emprego para o cargo de CEO de subsídios do Facebook também não possa ser clicado – talvez fosse a chance de alguém conseguir um emprego! E, claro, a URL do site não contém facebook.com, portanto, claramente não tem nada a ver com a rede social.
Se você persistir em ignorar as esquisitices gritantes e decidir se inscrever, primeiro será solicitado seu nome de usuário e senha do Facebook. Se você os inserir, eles irão direto para os cibercriminosos. Então, para aceitar sua inscrição, o site exige muito mais informações, supostamente para verificar sua conta: seu endereço, número de seguridade social (para cidadãos norte-americanos) e até mesmo uma digitalização dos dois lados de sua carteira de identidade. Nenhum campo pode ser deixado em branco, e o site o alertará diligentemente sobre qualquer omissão.
Quando o formulário é preenchido e enviado, o site exibe uma mensagem de confirmação de que sua inscrição foi aceita e você será contatado em breve.
Não prenda a respiração. O procedimento de verificação é simplesmente uma cilada para obter acesso à sua conta do Facebook, que os cibercriminosos podem usar para tentar enganar seus amigos e tirar dinheiro deles. Além disso, os campos do formulário fornecem aos criminosos informações pessoais suficientes para roubar sua identidade. Armados com isso e com a digitalização de seus documentos, eles provavelmente conseguirão acessar qualquer uma de suas contas, incluindo serviços bancários online.
O verdadeiro site da CNBC tem, de fato, um artigo sobre auxílio financeiro do Facebook, mas para empresas – os verdadeiros beneficiários do programa. E foi escrito por alguém com melhor domínio da língua inglesa. Quanto às notícias falsas da CNBC, seu único propósito é enganá-lo fazendo-o acreditar que o Facebook agora é uma instituição de caridade para seus usuários.
Como evitar cair em phishing
Para se proteger contra phishing, você precisa ser vigilante e contar com uma solução de segurança confiável que não permitirá que você chegue perto de sites de phishing. E, embora a última hipótese seja simples (basta instalar a solução e pronto), ficar atento em todos os momentos requer um pouco de esforço:
Observe cuidadosamente as URLs dos sites que você visita. Se apenas uma letra parecer fora do lugar, ou se o .com usual foi substituído por .com.tk ou algo parecido, seu instinto deve dizer que é phishing. Nunca insira informações pessoais em tal site.
Preste atenção à gramática e ao layout. Se algo cheira a golpe, provavelmente é.
Desconfie naturalmente de quaisquer formulários que solicitem informações pessoais. Se for solicitada uma digitalização de passaporte, verifique três vezes se você realmente está no site oficial – e mesmo se estiver, pense novamente se a oferta realmente vale a pena enviar tais dados confidenciais.