Em duas ocorrências distintas envolvendo os correntistas da CAIXA, fraudadores utilizam a engenharia social para praticar os golpes
Uma ocorrência é referente a fraude no aplicativo para saque extraordinário do FGTS publicado pelo – Jornal Nacional e também pelo UOL – “Com a liberação do saque extraordinário do FGTS (Fundo de Garantia do Tempo de Serviço) a partir de hoje, 20/04/2022, a Caixa Econômica Federal alerta para o risco de golpes e fraudes no resgate dos valores. A previsão é de que cerca de 42 milhões de trabalhadores possam sacar parcelas de R$ 1.000,00 até o fim do calendário de pagamentos, somando R$ 30 bilhões liberados pelo governo”.
Outra ocorrência é sobre o envio de mensagens por SMS em nome da Caixa – conforme a reportagem Golpistas se passam pela Caixa em SMS que diz que assinatura eletrônica expirou do canal RecontaAí – em que diz que assinatura eletrônica do correntista expirou e, então, os fraudadores enviam um link falso para reativação do acesso e pedem que o correntista da Caixa digite usuário e senha do Internet Banking. É neste momento que o golpe é aplicado, conforme publicação do portal.
Mas como os dados são roubados neste golpe do SMS?
Assim que o correntista clica no link ele é direcionado para um site idêntico a página inicial do Internet Banking da Caixa.
O aviso diz que a conta está pendente de validação e, para evitar bloqueio total da conta, é preciso seguir o procedimento em tela.
Só que os golpistas solicitam que o correntista da Caixa digite seu usuário e senha do Internet Banking e clique em continuar. E neste momento o golpe é aplicado.
Os bandidos passam a ter acesso a seu usuário e senha e podem acessar a sua conta corrente a qualquer momento para movimentar o seu dinheiro.
O que é um ataque com uso de engenharia social?
Ataques de engenharia social buscam complementar com dados privados as informações dos usuários que os fraudadores já possuem. Na maioria das vezes, os fraudadores tem como objetivo o roubo da identidade e, com isso, ter a chave para acesso a locais privados, roubo, extorsão e muito mais. Esses ataques geralmente aparecem na forma de e-mail, SMS, mensagens via WhatsApp, ligações telefônicas ou mensagem de voz de uma fonte aparentemente verdadeira uma vez que alguns dados do usuário que aparentemente eram restritos são citados no golpe.
O que diz a CAIXA sobre seus sistemas de autenticação?
O Crypto ID procurou a CAIXA para obter mais informações sobre como o banco está tratando a questão da autenticação, ou seja, qual é o processo para a confirmação de identidade do correntista?
A Caixa nos respondeu que para aprimorar a segurança de seus sistemas e mitigar a ação de fraudadores, o banco emprega mecanismos múltiplos de proteção e monitoramento, tais como:
– Validação de dados;
– Autenticação por senha;
– Validação de documentos;
– Segundo fator de autenticação.
A CAIXA informou ainda que aperfeiçoa continuamente os critérios de segurança de acesso aos seus aplicativos e movimentações financeiras, observando as melhores práticas de mercado e as evoluções necessárias ao observar a maneira de operar de fraudadores e golpistas.
O que recomenda a CAIXA para que os correntistas não caiam em golpes com o uso de engenharia social?
A fim de se proteger de fraudes, o banco recomenda e alerta que:
– Sejam utilizados somente os canais oficiais do banco para buscar informações e acesso aos serviços, jamais compartilhando dados pessoais, usuário de login e senha.
– A CAIXA não envia mensagens com solicitação de senhas, dados ou informações pessoais. Também não envia links e não pede confirmação de dispositivo ou acesso à conta por e-mail, SMS ou WhatsApp.
– Senhas e cartões são pessoais e intransferíveis. Assim, recomenda que senhas bancárias não devem estar disponíveis em aparelhos celulares ou computadores.
– Os clientes não devem aceitar ajuda de estranhos, mesmo dentro das agências. Caso necessitem de atendimento, devem sempre procurar um empregado da CAIXA devidamente identificado.
O banco reforça, ainda que os trabalhadores têm à disposição para serem atendidos o App FGTS, o telefone 4004-0104 (capitais e regiões metropolitanas) e o 0800-104-0104 (demais regiões), além das agências da CAIXA.
Mais orientações estão disponíveis em: www.caixa.gov.br/seguranca.
A CAIXA esclarece ainda que, em caso de movimentação não reconhecida pelo cliente, pedidos de contestações devem ser realizados em qualquer agência da CAIXA, portando CPF e documento de identificação.
Ficamos ainda com uma questão em aberto: Se o portal do governo Gov.br utiliza a validação dos correntistas da CAIXA para validação de identidade e assinatura eletrônica, isso significa que outros golpes poderiam ser aplicados decorrentes dos acessos indevidos aos perfis dos correntistas?
Por fim, a CAIXA esclarece que por questão de sigilo não pode nos informar quantos casos foram notificados à Polícia Federal de cada tipo de ocorrência.
Como não houve uma invasão aos bancos de dados, imaginamos que essas ocorrências não foram e nem serão notificadas à ANPD, mesmo causando prejuízos aos cidadãos.
AUTENTICAÇÃO
Autenticação forte faz parte da estratégia de segurança da informação de todas as empresas que utilizam meios eletrônicos. No Crypto ID temos muitos artigos e matérias sobre o tema para complementar seu conhecimento. Leia sobre Autenticação nesse link!
GOVERNO E TECNOLOGIA
Aqui no Crypto ID você acompanha as principais ações do Governo Brasileiro e de outros Países relacionadas a privacidade, proteção de dados, serviços eletrônicos, formas de autenticação e identificação digital e Cibersegurança.
Acesse agora e conheça nossa coluna GovTech!