Mostrar tudo

Ocultar tudo

Os magos da fraude existem desde o princípio dos tempos e agora que estamos na era da Internet, eles estão na Web saqueando consumidores online inocentes. A fraude online está em alta e as técnicas para a criação de mensagens e sites enganosos estão cada vez mais sofisticadas. Saiba mais sobre o que você pode fazer para ajudar a se proteger contra fraudes online.

O que é a fraude ou phishing online?

Uma forma corrente de fraude online, conhecida como "phishing," refere-se à prática de enviar spams aos destinatários com mensagens falsas que parecem ser válidas de uma empresa ou site bastante conhecido no qual os destinatários possam confiar, como uma administradora de cartão de crédito, banco ou instituição de caridade. O objetivo dessas mensagens falsas é enganar os consumidores, levando-os a fornecer informações pessoais importantes. Infelizmente, muitos destinatários incautos são vítimas desses esquemas de phishing e inadvertidamente fornecem as seguintes informações pessoais:

• Número da carteira de identidade.
• Senha ou PIN.
• Número da conta no banco.
• Número do cartão de débito ou de crédito.
• Código de validação do cartão de crédito  ou valor de verificação do cartão.
• Telefone e endereço.

Os criminosos usam essas informações de várias maneiras para obter ganhos financeiros. Uma prática comum é o furto de identificação, na qual o marginal rouba suas informações pessoais, assume sua identidade e pode fazer o seguinte:

• Candidatar-se e receber crédito em seu nome.
• Esvaziar sua conta bancária e estourar seus cartões de crédito.
• Transferir fundos de seus investimentos ou contas de linha de crédito para a sua conta corrente e usar uma cópia do seu cartão de débito para sacar dinheiro dessa conta em caixas eletrônicos de todo o mundo.

Para obter dicas sobre o que fazer para não ser vítima de fraudes online, consulte a seção Melhores práticas para se proteger contra fraudes online posteriormente neste artigo.

Exemplos de esquemas de phishing

Alguns exemplos de esquemas de phishing incluem:

• Emails falsos que parecem ter sido enviados pelo seu banco ou administradora de cartão de crédito avisando-o sobre a necessidade de verificação de suas informações ou sua conta será suspensa.
• Uma combinação de fraude em leilão e sites de caução falsos. Isso ocorre quando os itens são colocados à venda em leilões online legítimos para levá-lo a fazer pagamentos para sites de caução falsos.
• Transações de vendas online falsas, nas quais um criminoso oferece-se para comprar algo de você e solicita o pagamento de um valor bem acima do preço do item sendo adquirido. Em retorno, o marginal pede a você que lhe envie um cheque com a diferença. O pagamento não é enviado a você, mas seu cheque é sacado e o criminoso embolsa a diferença. Além disso, o cheque enviado contém o número da sua conta, o código de destinação do banco, o endereço e o telefone.
• Falsas instituições de caridade pedindo doações. É lamentável, mas muitos criminosos tiram proveito da boa vontade.

Infelizmente, pode ser difícil, à primeira vista, identificar se uma mensagem é fraudulenta. Por exemplo, muitos emails falsificados contêm links para logotipos de empresas reais. Entretanto, você poderá estar atento ao seguinte:

• Solicitações de informações pessoais em um email  A maioria das empresas legítimas têm a política de não solicitar informações pessoais por email. Desconfie de qualquer mensagem que solicite essas informações, mesmo que ela possa parecer autêntica.
• Texto insistente  O texto nos emails de phishing geralmente é educado e gentil. Quase sempre tenta levá-lo a responder à mensagem ou a clicar no link incluído. Para aumentar o número de respostas, os criminosos tentam criar um senso de urgência para que as pessoas respondam imediatamente, sem pensar. Normalmente, os emails falsos NÃO são personalizados, enquanto as mensagens válidas de seu banco ou empresa de comércio eletrônico são. A seguir é apresentado um exemplo de um esquema real de phishing:
  
  

  Prezado cliente do banco, chegou ao nosso conhecimento que é necessário atualizar as informações de sua conta devido a relatos de membro inativo, fraudes e mistificações. A não atualização de seus registros resultará na exclusão da conta. Clique no link abaixo para confirmar seus dados.

• Links falsos  Nas mensagens com formato HTML (HTML: a linguagem de marcação padrão usada em documentos na World Wide Web. HTML usa marcas para indicar de que forma os navegadores da Web devem exibir elementos de página, como texto e elementos gráficos, e de que forma devem responder às ações do usuário.), os links em que você é instruído a clicar contêm o nome completo ou parte do nome de uma empresa real e são "mascarados", o que significa que o link exibido não o leva para o endereço, mas para um local diferente, em geral um site falsificado. Observe que neste exemplo com o Outlook que colocar o ponteiro sobre o link revela o endereço real na caixa com o fundo amarelo. A seqüência de números ocultos não se parece em nada com o endereço da empresa na Web ou URL (URL: um endereço que especifica um protocolo (como HTTP ou FTP) e a localização de um objeto, documento, página da World Wide Web ou outro destino na Internet ou em uma intranet, por exemplo: http://www.microsoft.com/.), um sinal óbvio de que você deve desconfiar.

  

  Outra técnica comum empregada pelos criminosos é o uso de uma URL que, à primeira vista, é o nome de uma empresa bem conhecida, mas uma investigação mais cuidadosa revela uma ligeira alteração. Por exemplo, www.microsoft.com poderia aparecer como:

  www.micosoft.com

  www.verify-microsoft.com

  www.mircosoft.com

  A Microsoft ganhou recentemente dois processos judiciais contra indivíduos que utilizaram esse tipo de URLs para falsificar propriedades legítimas da Microsoft. No entanto, a prática permanece disseminada e com freqüência é protegida por fronteiras nacionais.

• O corpo da mensagem é uma imagem  Para evitar a detecção pelos filtros de spam, os emails falsos usados no esquema de phishing freqüentemente usam uma imagem, em vez do texto no corpo da mensagem. Se o spam enviado usar texto real, o Filtro de Lixo Eletrônico do Outlook muito provavelmente moverá a mensagem para a pasta Lixo Eletrônico. A imagem do corpo da mensagem é geralmente um hiperlink (hiperlink: texto ou elemento gráfico colorido e sublinhado no qual você clica para ir até um arquivo, um local de um arquivo, uma página da Web na World Wide Web ou uma página da Web em uma intranet. Os hiperlinks podem também levar a grupos de notícias e sites Gopher, Telnet e FTP.). É possível identificar isso porque quando você coloca o ponteiro sobre o corpo da mensagem, ele se torna uma mão.
  
  

  Outros tipos de imagens colocadas em emails podem estar vinculadas a um servidor de spams e atuar como beacons da Web (Web beacon: uma referência externa, como uma imagem gráfica, vinculada a um servidor Web externo que é inserida em uma mensagem formatada em HTML. Pode ser usada para verificar se o endereço de email é válido quando a mensagem é aberta e as mensagens são baixadas.). Quando você abre a mensagem, as imagens são baixadas e as informações são passadas ao servidor. Essas informações são usadas para verificar se o endereço de email é válido e, por isso, você poderá receber spams novamente. Por padrão, o Outlook bloqueia automaticamente esses tipos de imagens externas. Para obter mais informações, consulte Sobre como proteger sua privacidade bloqueando downloads automáticos de imagens .

• Anexos  Muitos esquemas de phishing solicitam a abertura de anexos, que podem infectar o computador com um vírus. Não abra anexos em emails de procedência duvidosa. Qualquer anexo que você queira exibir deverá ser salvo primeiro e verificado com um programa antivírus atualizado, antes de ser aberto. Para ajudá-lo a proteger seu computador, o Outlook e o Microsoft Outlook Express bloqueiam automaticamente certos tipos de anexos que podem disseminar vírus. Para obter informações adicionais, consulte Como o Outlook ajuda a proteger seu computador contra vírus.
• Promessas que parecem boas demais para serem verdadeiras  Use o bom senso e desconfie quando você receber ofertas de dinheiro e descontos que pareçam muito boas para serem verdadeiras.

Como faço para saber se um site é uma fraude?

Semelhantes aos emails fraudulentos, os sites falsificados contêm imagens de logotipos e links convincentes. Isso dificulta sua identificação como fraudulentos. A melhor estratégia é procurar itens que legitimem sites, como:

• Segurança SSL  Os sites legítimos usam SSL (Camadas de Soquete de Segurança) (SSL (camada de soquetes de segurança): um padrão aberto proposto, desenvolvido pela Netscape Communications para estabelecer um canal de comunicações seguro no sentido de impedir a interceptação de informações importantes, como números de cartões de crédito.) ou outra tecnologia de segurança para auxiliar na proteção das informações pessoais inseridas quando você abre uma nova conta e durante a conexão posterior ao site. A segurança é indicada na barra de status do navegador por um ícone de cadeado. Além disso, o endereço da Web é precedido por https://, em vez do http:// comum na barra de endereços do navegador.
  

  Importante  Observe que o item https:// às vezes é falsificado nos links, como no exemplo de "link mascarado" mostrado na seção Links falsos.

• Um certificado digital para o site  Uma outra vantagem do SSL é a autenticação (autenticação: em um ambiente multiusuário ou de rede, o processo de validar as informações de logon de usuário. O nome a senha são comparados com uma lista autorizada e, se houver coincidência, o acesso será concedido com o nível de permissão especificado.) – o processo de identificar um site para você. O SSL oferece esse benefício com o uso de um certificado digital, que o site apresenta ao navegador durante a conexão. Para exibir o certificado, clique duas vezes no ícone de cadeado no canto inferior direito do navegador e examine o campo Emitido para. O nome mostrado no certificado deverá corresponder ao site no qual você acha que está. Por exemplo, se o site for realmente do Wood Grove Bank, o nome em Emitido para deverá corresponder à URL "woodgrovebank.com." Caso esse nome seja diferente, pode ser que você esteja em um site falsificado. Novamente, tenha muito cuidado com pequenos erros ortográficos. Se o certificado estiver vencido, não for aprovado pela autoridade de certificação ou tiver um nome que não corresponda ao exibido na barra de endereços, o Microsoft Internet Explorer exibirá uma mensagem de aviso.

  

  Para saber mais sobre o certificado, clique na guia Detalhes. Se você não tiver certeza em relação à legitimidade de um certificado, não insira nenhuma informação pessoal. Aja com segurança e saia do site. Para conhecer mais métodos para determinar se um site é seguro, leia Como o Internet Explorer ajuda a manter a segurança dos dados.

Melhores práticas para se proteger contra fraudes online

• Nunca responda a emails que solicitem informações pessoais  Desconfie sempre de qualquer email de uma empresa ou pessoa que solicite informações pessoais — ou que envie informações pessoais e solicite sua confirmação ou atualização. Em vez disso, use o número de telefone de um de seus recibos; não ligue para o número mostrado na mensagem. De forma semelhante, nunca ofereça espontaneamente nenhuma informação pessoal para alguém que faça uma chamada não solicitada a você.
• Não clique em links suspeitos  Não clique em um link presente em uma mensagem suspeita. O link pode não ser confiável. Em vez disso, visite os sites digitando a URL no navegador ou usando o link de Favoritos.
• Use senhas de alto nível e altere-as com freqüência   Se a conta permitir, as senhas de alto nível combinam letras maiúsculas e minúsculas, números e símbolos, o que dificulta sua adivinhação. Não use palavras reais. Use uma senha diferente para cada conta e altere-as com freqüência. É difícil lembrar de todas essas senhas e é fácil perdê-las, portanto, anote-as ou armazene-as em um dispositivo como token USB, mas não se esqueça de mantê-las em local seguro! Para obter mais dicas sobre como criar senhas de alto nível e como lembrar e armazenar senhas com segurança, consulte Criando senhas de alto nível.
• Não envie informações pessoais em emails comuns  Os emails comuns não são criptografados e isso é mesmo que enviar um cartão postal. Se for necessário usar emails para transações pessoais, use o Outlook para assinar digitalmente e criptografar as mensagens com a segurança S/MIME (S/MIME (Extensões Seguras Multipropósito do Internet Mail) é uma especificação para mensagens de email seguras que usa o formato X.509 de certificados digitais e diversos algoritmos de criptografia como 3DES.). Os programas MSN®, Hotmail®, Outlook Express, Microsoft Office Outlook Web Access, Lotus Notes, Netscape e Eudora oferecem suporte à segurança S/MIME.
• Faça negócios apenas com as empresas que você conhece e nas quais confia  Use empresas estabelecidas, bem conhecidas, e que sejam famosas por seus serviços de qualidade. O site de uma empresa sempre deve ter uma declaração de privacidade que mencione especificamente que a empresa não repassará seu nome e informações a outras pessoas.
• Verifique se o site usa criptografia  O endereço da Web deverá ser precedido por https://, em vez do http:// comum na barra de endereços do navegador. Além disso, clique duas vezes no ícone de cadeado na barra de status do navegador para exibir o certificado digital do site. O nome após Emitido para no certificado deverá corresponder ao site no qual você acha que está. Se você achar que um site não é o que deveria ser, deixe-o imediatamente e reporte. Não siga nenhuma das instruções apresentadas.
• Ajude a proteger seu PC  É importante usar um firewall, manter seu computador atualizado e utilizar software antivírus. Para obter informações sobre como fazer isso, visite Proteja seu PC. Isso será especialmente importante se você se conectar à Internet por meio de um modem a cabo ou DSL (Linha de Assinante Digital). Para obter mais informações sobre a proteção contra vírus, consulte Melhores práticas para a proteção contra vírus e Melhores práticas para ajudar a evitar spams.
• Monitore suas transações  Examine as confirmações de seus pedidos e os extratos do cartão de crédito e do banco assim que recebê-los para confirmar que apenas as transações feitas por você estão sendo cobradas. Informe imediatamente qualquer irregularidade as suas contas discando o número mostrado no seu extrato. O uso de apenas um cartão de crédito para as compras online facilita o controle das transações.
• Use cartões de crédito para as transações na Internet  Na maioria dos locais, sua responsabilidade pessoal caso alguém exponha seu cartão de crédito é significativamente limitada. Em contrapartida, se você usar débito direto de um cartão do seu banco ou de débito, a responsabilidade pessoal freqüentemente corresponde ao saldo total da sua conta bancária. Além disso, prefira suar um cartão de crédito com um limite pequeno na Internet, porque isso limita o valor que um ladrão poderá roubar caso o cartão seja exposto. Melhor ainda, várias administradoras de cartões de crédito importantes estão oferecendo aos clientes a opção de comprar online com números de cartões virtuais, usados uma única vez, que expiram em um ou dois meses. Para obter mais detalhes, pergunte ao banco sobre números de cartões de crédito virtuais transitórios.

Como faço para reportar fraudes online e furto de identidades?

Se você achar que recebeu emails fraudulentos ou que foi vítima de uma fraude online, informe o problema para os seguintes grupos:

• FBI  A IFCC (Internet Fraud Complaint Center) do FBI funciona em todo o mundo com a imposição da lei e do setor para fechar imediatamente sites de phishing e identificar os responsáveis pela fraude.
• FTC   Se você achar que suas informações pessoais foram expostas ou roubadas, reporte as circunstâncias para o National Resource for Identity Theft do FTC e visite o site desse grupo para saber como minimizar os danos.
• Encaminhe os emails falsos para as autoridades   O encaminhamento das mensagens falsas às autoridades auxilia nos esforços para combater os esquemas de phishing. Alguns endereços de email que você pode usar para reportar emails suspeitos são:
  • reportphishing@antiphishing.com do APWG (Anti-Phishing Working Group), uma associação do setor que dedica-se à eliminação do roubo de identidades e de fraudes resultantes do problema crescente do phishing e da falsificação de emails.
  • spam@uce.gov da FTC.
  • abuse@msn.com do MSN.
  • abuse@microsoft.com da Microsoft.
  Siga estas etapas de acordo com o programa de email utilizado.

  Outlook

  1. Abra a mensagem falsa que você deseja reportar e, no menu Exibir, clique em Opções.
  2. Selecione todo o texto na caixa Cabeçalhos de Internet.
  3. Pressione CTRL+C para copiar o cabeçalho completo e clique em Fechar.
  4. Na mensagem falsa que você deseja reportar, clique em Encaminhar.
  5. Na linha Para, digite o endereço de email da autoridade para a qual você está reportando.
  6. Clique no corpo da mensagem e pressione CTRL+V para colar o cabeçalho completo no email.
  7. Clique em Enviar.

  Outlook Express

  1. Na lista de mensagens, clique na mensagem falsa que você deseja reportar.
  2. Clique em Encaminhar.
  3. Na linha Para, digite o endereço de email da autoridade para a qual você está reportando.
  4. Clique em Enviar.

  Hotmail

  1. Na lista de mensagens, na mensagem falsa que você deseja reportar.
  2. Clique em Encaminhar.
  3. Na linha Para, digite o endereço de email da autoridade para a qual você está reportando.
  4. Clique em Enviar.

  Outlook Web Access (OWA)

  1. Na lista de mensagens, clique na mensagem falsa que você deseja reportar.
  2. Clique em Encaminhar.
  3. Na linha Para, digite o endereço de email da autoridade para a qual você está reportando.
  4. Clique em Enviar.

Dicas sobre compras e transações bancárias mais seguras

Se você quiser mais informações da Microsoft sobre os métodos para ajudar a proteger suas informações pessoais durante as compras ou transações bancárias online, visite o site Fraudes Online. Tenha em mente que nem todos os ladrões de identidade são hackers com muitos conhecimentos tecnológicos. Alguns deles usam métodos limitados, como dumpster diving (a coleta de itens descartados), para o furto de informações pessoais. Compre um cortador de papéis e destrua recibos, ofertas de cartão de crédito pré-aprovadas e outros documentos com informações pessoais antes de jogá-los fora ou reciclá-los.

Tenha cuidado e pense antes de clicar.