Anatomia de um golpe de pesquisa – como perguntas inocentes podem roubá-lo

Views: 566
0 0
Read Time:8 Minute, 10 Second

Temos recebido um monte de e-mails de fraude de pesquisa ultimamente – e você provavelmente tem montes desses, também.

Então pensamos em levá-lo através de um golpe recente de ir para ai, com capturas de tela para documentar o caminho que os bandidos nos atraíram junto.

Às vezes, uma imagem vale 1000 palavras (ou 1024 palavras, se você está acostumado a números binários como muitos programadores de computador), então esperamos que esta turnê visual seja útil para que você possa mostrar aos seus amigos e familiares o que tomar cuidado.

Afinal, não parece haver muito mal em responder a algumas perguntas pseudoanônimas, como “você visitaria nossas lojas pessoalmente se elas estivessem abertas mais tarde?”, ou “com que frequência você navega no nosso site para novos produtos?”

Muitas marcas fazem perguntas desse tipo, e às vezes oferecem pequenas recompensas para as pessoas que se incomodam em preencher a pesquisa – US$ 5 na sua próxima compra, por exemplo, ou um produto gratuito de valor modesto com seu próximo pedido.

Os golpistas, no entanto, têm objetivos muito mais ousados.

Normalmente, os cibercriminosos te sugam com uma promessa aparentemente e crível, mas de repente mudar as coisas sugerindo que você é um dos poucos sortudos que vai ganhar um presente que é muito, muito mais valioso do que apenas um código de desconto para 5% de desconto na sua próxima compra.

Mas há uma pegadinha…“Com o Sophos, não tivemos infecções por ransomware”Inicie um teste gratuito de 30 dias do Sophos Intercept X Endpoint em menos de 2 minutos.Baixe uma avaliação gratuita

Cuidado com a captura.

Aqui está um que recebemos no fim de semana – este chegou a um antigo endereço de e-mail australiano nosso, então os bandidos tinham roubado uma marca australiana bem conhecida para nos atrair.

Mas recentemente também recebemos uma onda de mensagens semelhantes em alemão, roubando grandes marcas de compras alemãs, bem como “ofertas” baseadas em marcas americanas populares que chegam a vários endereços de e-mail dot-com que usamos.

Então, onde quer que você esteja, as chances são de que os golpes de pesquisa que você ou sua família recebem reivindiquem representar marcas que você conhece.

Aqui, a identidade da marca roubada pelos bandidos era Bunnings, uma rede bem conhecida de lojas AUSSIE DIY:

Como você pode ver, os bandidos começaram de forma bastante suave aqui – eles estão oferecendo presentes modestos para participar, como “[h]ealth, produtos de cuidados com a pele e muito mais”.

Felizmente, eles cometeram alguns erros óbvios no início.

A data no e-mail é incorreta (são várias semanas atrás), o que vai contra a urgência expressa no conselho de “apressar-se”, e as lojas DIY não são realmente o tipo de lugares que o atrairiam com produtos de cuidados com a pele – construir hardware e ferramentas elétricas seria mais em sua linha.

No entanto, se você clicar, o material visual parece OK, porque os bandidos roubaram de Bunnings:

Então vem a pesquisa:

Estamos supondo que os bandidos estragaram o próximo estágio.

Assumimos que as perguntas inocentes foram roubadas de uma pesquisa genuína realizada no passado, porque a ortografia e gramática é melhor do que em outros lugares do golpe, mas a pesquisa que eles estão realizando foi obviamente tirada de uma mercearia, não de uma loja de ferragens:

(Só vimos três das seis perguntas aqui porque respondemos Nunca e Nenhum ao Q2 e Q5; quando tentamos novamente e respondemos de forma diferente, nos fizeram perguntas adicionais do tipo que você poderia esperar – para um supermercado, pelo menos.)

Em seguida, vem uma falsa notificação de que sua “pesquisa” está sendo “processada” – observe como os bandidos adicionaram texto para dizer “38 visitantes” mas apenas “6 recompensas restantes”, presumivelmente para lhe dar uma sensação de estar à frente do resto da multidão:


Este é um truque comum – adicionar um toque de urgência e importância – mas também é uma oferta útil que você está indo para um golpe.

Afinal, o tom inicial era que você era uma das 250 pessoas que tinham sido pré-selecionadas para fazer uma pesquisa, e que você se qualificaria para um presente apenas participando.

Se isso fosse verdade, então o número máximo de participantes da pesquisa teria sido conhecido com antecedência e os presentes não poderiam de repente ter começado a se esgotar.

Agora, no entanto, restam apenas seis recompensas (e, surpreendentemente, 38 das apenas 249 outras pessoas no mundo que foram selecionadas para participar estão todas online agora).

Lembre-se, se você está fazendo uma pesquisa e vê qualquer coisa que não faz sentido – qualquer coisa – então você precisa sair do site imediatamente antes de ser sugado para dar qualquer informação pessoal.

Empresas legítimas e pesquisas geniune devem ser claramente explicadas com antecedência, então se as traves se movem no meio do caminho, você está sendo enganado.

Como muitos sites de golpes, este inclui uma lista do que parecem comentários deixados por outros usuários:

Mas essas nem mesmo críticas desonestos deixadas por usuários contratados que foram pagos para contar mentiras – são comentários totalmente falsos que são simplesmente conectados à página da Web.

Se os bandidos podem obter comentários desonestos publicados em sites como o Google Play, que eles só podem manipular indiretamente usando contas “sockpuppet” criadas para o propósito, imagine como é fácil para eles publicar comentários inventados em um site que está inteiramente sob o seu próprio controle!

Aí vem a picada

Agora vem a isca e a troca, seguida pela picada.

Clicamos no mesmo link de e-mail várias vezes e a etapa final era visualmente diferente cada vez, e as URLs na barra de endereços eram diferentes, embora todas as páginas da Web que passamos neste caso eram links HTTPS mostrando um cadeado genuíno na barra de endereços.

Lembre-se que o cadeado HTTPS diz que a conexão é criptografada contra vigilância, não que os dados reais na página da Web são verdadeiros.

Em uma visita, de repente nos formamos em produtos gratuitos de cuidados com a pele para ganhar um iPhone 11 Pro gratuito:

Da próxima vez que seguimos o link do e-mail original, fizemos ainda “melhor” e tivemos a escolha de um android top-end, iPhone, iPad ou console de jogos.

Observe como as recompensas que foram suficientes no início para 250 pessoas pré-selecionadas desceram para apenas seis no meio do caminho; a essa altura, só resta um – ou assim dizem os bandidos:

Parece que tivemos sorte, com um telefone sobrando para nós, porque agora podemos escolher uma cor!

Observe como os bandidos até mesmo têm uma tentativa de phishing para sua senha de e-mail aqui, pedindo-o junto com o seu endereço de e-mail.

Lembre-se que quando você dá a outras pessoas seu endereço de e-mail, é para que eles possam enviar mensagens para você.

O remetente de uma mensagem de e-mail precisa de sua própria senha de e-mail para fazer isso, não sua senha:

E a última picada é fazer você pagar uma taxa nominal de entrega – o tipo de baixo, baixo custo que ainda faz o telefone em si, avaliado em mais de US $ 1000, sentir-se “livre”:

Nós não mostramos isso aqui, mas depois de colocar os detalhes do seu cartão (o site verifica que o número do cartão tem um dígito de verificação válido, mas isso é tudo), você é despejado na página de pesquisa principal do Google.

Dessa forma, os bandidos evitam ter que inventar uma mensagem de erro falsa para explicar por que eles realmente não fizeram uma transação – mas você pode ter certeza de que eles vão tentar os detalhes que você inseriu assim que puderem, porque os dados que você colocou no formulário foram diretamente para eles.

O que é que eu faço?

  • Cuidado com as histórias óbvias de falsidade. Pesquisas genuínas existem, e você pode decidir participar de algumas delas. Mas a menos que tudo – e queremos dizer tudo – se soma no início, fique longe. Erros ortográficos, datas erradas e perguntas inesperadas, como neste caso, devem ser todo o aviso que você precisa. Em caso de dúvida, deixe de fora.
  • Cuidado com truques de isca e troca. Pesquisas podem parecer genuínas no início porque os bandidos muitas vezes os copiam de uma marca legítima. Mas quando as “regras de engajamento” começam a mudar e as traves se movem, como fizeram aqui (250 recompensas se transformaram em apenas seis e finalmente em apenas uma), saia do local o mais rápido possível.
  • Não há iPhone grátis. Ou Android, ou tablet, ou laptop. Simplesmente não há. As lojas não distribuem telefones celulares de US$ 1.000 em troca de você dizer se você acha que eles devem ficar abertos mais tarde. Eles simplesmente não fazem. Siga sua cabeça e não seu coração.
  • Use um produto de segurança em seu laptop ou telefone. Sophos Home (Windows e Mac) e Sophos Intercept X para Celular (Android) são gratuitos. Esses produtos adicionam à proteção incorporada em seu dispositivo, digitalizando programas e dados baixados para ameaças antes de serem usados, e bloqueando sites ruins ou fraudulentos antes que seu navegador possa visitá-los em primeiro lugar.
  • Relatório comprometeu cartões de pagamento imediatamente. Se você chegar tão longe digitando qualquer dados bancários em uma “página de pagamento” e, em seguida, perceber que é um golpe, ligue para o número de relatórios de fraude do seu banco de uma só vez. (Olhe na parte de trás do seu cartão real para que você obtenha o número de telefone certo.)

P.S. Não se esqueça que apenas digitar dados em um formulário da Web expõe-os a bandidos porque eles podem “keylog” o que você coloca em uma página da Web mesmo que você nunca pressione o botão para enviá-los.[Finish]

FONTE: NAKED SECURITY

POSTS RELACIONADOS