Os cibercriminosos costumam enviar e-mails de phishing em nome de empresas conhecidas para extrair credenciais das contas pessoais dos usuários, números de telefone e outras informações que podem ser úteis para golpes ou invasões de contas. Obviamente, entre os alvos mais atraentes para os phishers estão os clientes de organizações financeiras, como bancos, criptomoedas, sistemas de pagamento e similares.
Desta vez, detectamos ataques de phishing contra a plataforma online de serviços financeiros Wise (até recentemente — TransferWise), que é usada por milhões de pessoas. Analisamos a configuração e explicamos o que fazer para não se tornar uma vítima de fraude e roubo de dados.
Um pouco sobre a Wise
Por que a Wise em particular? Não é só porque as pessoas têm dinheiro por lá. Até recentemente, a empresa era conhecida como TransferWise, e seu principal negócio eram as transferências internacionais de dinheiro de baixo custo. Em 2021, ela ampliou sua gama de serviços para incluir não apenas transferências internacionais, mas também contas multimoedas e cartões de débito (entre outros).
Como parte de um rebranding, a Wise retirou a “Transferência” de seu nome. E daí entraram os cibercriminosos, que decidiram explorar alguma possível confusão relacionada à mudança de nome.
Como funciona o esquema
Um ataque começa com um e-mail de phishing supostamente da equipe de suporte do Wise. O e-mail informa à vítima que, devido ao rebranding, ela precisa “migrar sua conta para a nova plataforma”.
O usuário desatento pode facilmente considerar a mensagem como legítima, já que o wise.com aparece na linha com o nome do remetente e o corpo da mensagem contém o logotipo da empresa com a bandeira azul da marca registrada. Um olhar mais atento, no entanto, revela algumas bandeiras mais vermelhas do que azuis: o endereço do remetente consiste em uma sequência aleatória de números junto com palavras totalmente não relacionadas ao Wise e, por algum motivo, o domínio pertence a… Escola Moringa no Quênia! O próprio texto está cheio de erros de digitação e de ortografia, o que uma empresa respeitável não permitiria que acontecesse.
Há dois links no e-mail: um supostamente apontando para o novo site, o outro para entrar em contato com os remetentes. Na verdade, ambos levam à mesma página, que redireciona automaticamente a vítima para outro site de phishing.
O site de phishing parece muito mais convincente do que o e-mail, com a mesma mensagem de boas-vindas e design do site verdadeiro da Wise. A única diferença é a imagem à esquerda da página e também a URL, que exibe inesperadamente o nome de um aplicativo malicioso para encontrar restaurantes e serviços com desconto. Nesse momento, os cibercriminosos solicitam que o usuário insira seu e-mail e senha para o login da conta.
No entanto, as credenciais não são as únicas informações pessoais coletadas: ao “aceitar” o e-mail e a senha (não importa se as informações preenchidas são verdadeiras, não há verificações), o site pede o telefone da vítima. E, cabe lembrar, você não precisa digitar seu número de telefone para fazer login no site verdadeiro da Wise.
Quando o usuário clica no botão Continuar, o site parece travar: enquanto os dados são enviados aos cibercriminosos, a vítima vê apenas um logotipo giratório com a palavra “carregando”.
O usuário impaciente que clicar no botão Continuar é novamente redirecionado para o site oficial da Wise. A ideia aqui é que, mesmo que o usuário perceba algo errado e verifique o URL neste momento, ele não perceberá que seus dados caíram nas mãos de cibercriminosos e continuará navegando tranquilamente online.
Para onde vão os dados?
Muito provavelmente, são os números de telefone que os cibercriminosos desejam, acima de qualquer outra coisa. Eles provavelmente coletam tais contatos, criam bancos de dados e vendem esses dados para golpistas que atacam por telefone. E, a partir das contas comprometidas, eles podem obter informações adicionais sobre usuários, em particular, nome, sobrenome e endereço residencial. Munidos de tais informações, os golpistas que atacam por telefone podem parecer muito mais convincentes.
Como se manter protegido
Para evitar a armadilha e proteger seus dados, siga algumas regras básicas de cibersegurança.
- Quando você receber um e-mail aparentemente de uma empresa conhecida, comece verificando de onde ele realmente veio. Se o endereço do remetente incluir uma confusão sem sentido de números e letras, palavras aleatórias ou um domínio incomum, é mais do que provável que seja uma farsa.
- Não clique em links de e-mails e notificações, mesmo que ache que conhece o remetente; é sempre melhor abrir sites a partir de seus favoritos ou de um mecanismo de pesquisa, ou inserir as URLs manualmente.
- Se você suspeitar de phishing, entre em contato com a equipe de suporte da empresa de onde o e-mail supostamente veio, e eles lhe dirão com certeza se é real ou falso. Se necessário, eles tomarão medidas e alertarão outros usuários.
- Instale um antivirus confiável com proteção antiphishing e contra fraudes online, no qual vai te avisar a tempo sobre a ameaça.