A linha do assunto era quase irresistível. E o email vinha de um amiga com a qual eu me comunicava, mais ou menos, a cada dez meses ou quando ela estava na cidade. Então, imagine minha preocupação quando li a seguinte mensagem:

Desculpe não ter lhe informado sobre minha viagem. Estou escrevendo isso enquanto choro. Vim para Odessa, Ucrânia, para umas férias curtas e infelizmente fui roubada no estacionamento do hotel onde estou hospedada. todo o dinheiro, cartões de crédito e celular foram roubados, mas, felizmente, ainda tenho meu passaporte.

Fui à embaixada e polícia aqui, mas eles não estão ajudando em nada e meu voo sai em poucas horas e estou com problemas para pagar a conta do hotel. o gerente do hotel não vai nos deixar partir a menos que pague a conta, estou ficando louca.

Eu podia ouvir a voz de minha amiga enquanto lia o email. Ela também viaja pelo mundo e tem muito interesse na Europa Central e Oriental e é, definitivamente, alguém que iria a Odessa em um fim de semana prolongado para ver a famosa escadaria do Potemkin, ou visitar a cidade como parte de um grande passeio em torno do Mar Negro. A pontuação ruim e espaçamento estranho me confundiram. Mas, novamente, ela estava em pânico e sob grande pressão de tempo.

Em outras palavras, eu fui fisgado. Então, respondi.

A longa cauda do email encontra as mentes fracas

A utilização de canais de comunicação diversos para roubar dinheiro ou extrair informações de uma pessoa tem uma grande e variada história. Muitas fraudes contam com a promessa de retorno fácil. O Príncipe da Nigéria é um desses casos. A fraude é similar ao caso do Prisioneiro Espanhol do século XIX, mas geralmente dependia de cartas, faxes e emails como parte de um plano de vários estágios que tem como alvo pessoas com dinheiro suficiente para supostamente ajudar a tirar milhões de dólares de um país africano, frequentemente a Nigéria (daí, o nome). Aqueles que mordem a isca e pagam as taxas de transferências (falsas) recebem a promessa de retornos exponenciais em seus investimentos, que nunca emergem. Há dezenas de variações da fraude. Por exemplo, um parente há muito esquecido deixa um monte de dinheiro para alguém. Para conseguir a herança, a pessoa precisa pagar todas as taxas legais. Mas, em geral, a maioria dessas fraudes conta com a ganância para atrair interesse.

Em contraste, os ataques de phishing do “amigo encurralado” aproveita a boa vontade do leitor. Todos queremos ajudar pessoas que conhecemos e gostamos. Eu certamente quero. Em meu caso, os vigaristas usaram malware (provavelmente, um cavalo de Troia) para invadir a conta de email da minha amiga e acessar seus contatos. A mensagem que recebi era endereçada a cerca de vinte pessoas. Não é claro se os hackers criaram sua lista de alvos usando o histórico de comunicação entre minha amiga e seus contatos ou suas localizações geográficas. No entanto, isso parece provável, já que outras fraudes empregam táticas similares. Por exemplo, listas de correio invadidas de organizações de caridade permitem que os patifes estabeleçam trabalhos de caridade falsos e visem as pessoas que fazem mais doações, baseando-se em atividade passada.

Além disso, email é barato e fácil. Ao roubar ou comprar bancos de dados roubados, os fraudadores podem obter acesso a centenas de milhares de endereços. Com um pouco de segmentação, eles colocam a seu favor a probabilidade de alguém morder a isca.

Fracasso na versão da amizade do Teste de Turing

Em meu caso, minha falsa amiga disse que eu deveria transferir milhares de dólares a um Western Union em Odessa. Antes de concordar, perguntei a ela o nome de um conhecido em comum, que uma vez saiu conosco para jantar. Claro, ela não conseguiu responder. Então, liguei para o telefone fixo da minha amiga (em outro país) e deixei uma mensagem alertando que sua conta de email havia sido comprometida.

Agora, gosto de acreditar que sou esperto o bastante para não cair em tal fraude. Mas os criminosos têm acesso às mesmas análises de governos e grandes corporações. Eles também praticam sua arte há décadas (às vezes, séculos), então possuem uma visão incrível sobre a melhor maneira de influenciar até mesmo as mentes mais fortes. Para continuar esperto, há várias coisas a fazer:

  • Saber o que é phishing. O conhecimento é um grande passo para a prevenção. Saber que os fraudadores estão à solta e se fazendo passar por contatos confiáveis é muito importante para conseguir identificá-los.
  • Saber o que eles procuram. Qualquer solicitação por email (ou por mídia social, aliás) que solicite dinheiro deve ser considerada imediatamente suspeito. Assim como solicitações de dados pessoais, ou nomes e senhas de contas.
  • Procurar por pistas. Além de solicitações de dinheiro ou insinuações de que dinheiro pode ser necessário, preste atenção em palavras mal escritas, gramática ruim e outras esquisitices na redação do texto. Praticamente todos os bancos e a maioria dos governos e organizações comerciais nunca pedem informações pessoais, informações de login, ou dinheiro através de e-mail. Por isso, se essas informações fazem parte da solicitação, suspeite bastante.
  • Verificar o endereço de email. Ele pode ser parecido com o do suposto remetente, mas verifique se faltam caracteres ou se há caracteres adicionados.
  • Nunca clicar, copiar, colar ou encaminhar. Em todos os emails que parecerem remotamente suspeitos, não clique em nada, não copie o texto e cole em outro email ou documento e não encaminhe. Para documentar o email (para alertar seu amigo ou uma empresa), a melhor abordagem é fazer uma captura de tela.
  • Não responder. Sim, eu fiz isso, mesmo que tenha percebido as pistas. Sua resposta diz aos vigaristas que você presta atenção e abre tais emails. Os criminosos tomarão nota disso e possivelmente guardarão seu email para outra fraude mais tentadora, no futuro.

As etapas acima podem não ser à prova de falhas. Mas podem ajudar a garantir a adoção de uma mentalidade segura.

Compartilhe essa história:


Tópicos relacionados:

Segurança

Gostou deste artigo? Tente esses:

Pular para o conteúdo Pular para o menu