Contudo, não são apenas os sites legítimos e de boa reputação que estão atrás destas selfies. Os hackers também se estão a aproveitar deste novo processo através do envio de emails de phishing, nos quais se fazem passar por um banco, uma empresa ou uma rede social. Estas mensagens pedem aos utilizadores que confirmem a sua identidade através de um link e usam como desculpa o facto de este ser um novo processo de “segurança”. Ao clicar no link, a vítima é direcionada a uma página com um formulário que solicita informações pessoais, como a morada, o número de telemóvel, etc., bem como o upload de uma selfie com o cartão de cidadão visível – ou até mesmo do cartão de crédito ou passaporte.
“Sabemos que os hackers têm utilizado as mais diversas estratégias para enganar os utilizadores,” alerta Fabio Assolini, Analista Sénior de Segurança na Kaspersky. “Neste caso, tendo os dados das vítimas nas suas mãos, os hackers podem criar contas bancárias para a troca de criptomoedas, por exemplo – que podem servir para a lavagem de dinheiro das suas atividades. Para além disso, é importante frisar que uma selfie que se faz acompanhar de um documento de identificação tem um valor muito elevado no mercado negro por comparação com uma imagem digitalizada do mesmo documento.”
A Kaspersky tem sete conselhos direcionados aos utilizadores para que estes possam analisar detalhadamente os emails que recebem e não serem vítimas deste tipo de fraudes:
- Os erros gramaticais e ortográficos
É muito provável que o texto do email enviado, bem como as informações disponibilizadas no link tenha erros gramaticais, palavras omitidas e erros ortográficos. Por isso, há uma questão sobre a qual se deve sempre pensar: os sites oficiais e os emails de grandes organizações têm erros gramaticais e ortográficos?
- O endereço do remetente é suspeito
Estes emails vêm, geralmente, de endereços que foram registados em fornecedores gratuitos ou pertencem a empresas que não têm relação nenhuma com aquela que é mencionada no corpo da mensagem. É muito importante verificar sempre de onde vem a mensagem que se está a receber, bem como o local para onde o link inserido na mesma o está a direcionar.
- O nome do domínio não corresponde
Embora o endereço do remetente pareça legítimo, é provável que o host do formulário de phishing esteja hospedado num domínio mal-intencionado ou que não esteja sequer relacionado. Por vezes, o enderenço pode ser muito parecido (ainda assim, existirão certamente diferenças); noutros casos, a diferença é notória. Um bom exemplo é uma suposta mensagem do Linkedin que, por algum motivo, convida os utilizadores a fazer o upload de uma foto no Dropbox.
- O prazo de entrega é muito curto
Muitas vezes, os autores destes emails tentam através de todos os meios apressar o destinatário, afirmando, por exemplo, que o link expirará após 24 horas. Os hackers recorrem muitas vezes a esta técnica, já que a falsa sensação de urgência faz com que muitos utilizadores ajam sem pensar. É importante perceber que é melhor perder este prazo do que enviar dados para hackers.
- A solicitação de informações já enviadas
Verificar sempre se já forneceu algumas das informações que estão a ser solicitadas – por exemplo o endereço de email ou o número de telemóvel. No caso dos bancos, a identidade do cliente já terá sido confirmada aquando da abertura da conta. Nesse sentido, por que motivo teria de a verificar novamente sob o pretexto de uma “segurança adicional”? Neste caso, seria importante procurar informações no site oficial da empresa.
- Solicitações ao invés de ofertas
Muitas soluções oferecem opções avançadas – incluindo de segurança – em troca de informações pessoais; mas na conta pessoal do consumidor na web, não por email. E, normalmente, é uma oferta que pode ser recusada. Porém, na forma em que o link do email de fraude é enviado, há apenas um botão como se se sugerisse que não há outra opção além de enviar uma selfie. Em caso de dúvida, o melhor será ligar para o atendimento ao cliente. No entanto, aconselhamos a não utilização do contacto que é fornecido na mensagem que recebe, mas sim procurar aquele que é disponibilizado no site oficial da empresa.
- Não há informações disponíveis no site oficial
A realidade é que um utilizador pode já ter confirmado a sua identidade em redes sociais, bancos ou outras empresas há algum tempo. No entanto, essa é a exceção e não a regra. Os detalhes do processo que está a decorrer, caso haja a necessidade de confirmar novamente, devem estar disponíveis no site oficial do serviço e deve ser fácil encontra-los no Google.
Além disso, para evitar que os hackers roubem a identidade pessoal dos utilizadores, é importante ter cuidado com todas as solicitações de dados que são recebidas, especialmente quando há documentos envolvidos. É, igualmente, importante a utilização de uma solução de segurança confiável com proteção contra phishing e fraudes online, como o Kaspersky Total Security.
