Alto potencial para fraudes em compras on-line e ataques de phishing direcionados às vendas pós-feriado.

Alto potencial para fraudes em compras on-line e ataques de phishing direcionados às vendas pós-feriado.

‍

Depois da temporada de férias, marcada por extravagâncias de compras como Black Friday, Cyber Monday e a correria do Natal, o espírito festivo geralmente persiste. No entanto, além das promoções comemorativas e pós-Natal, um fenômeno menos bem-vindo também persiste: o aumento do risco de fraudes em compras on-line e ataques de phishing. Os cibercriminosos exploram o frenesi do consumidor durante esse período, atacando compradores ansiosos com sites falsos, e-mails de phishing e ofertas fraudulentas que prometem descontos significativos, mas resultam em perdas financeiras ou roubo de identidade. À medida que os consumidores continuam buscando pechinchas e liberações, entender e mitigar essas ameaças cibernéticas se torna cada vez mais crucial para proteger os indivíduos e manter a confiança nas plataformas de comércio eletrônico.

‍

Fraude de CEO

Um ataque de phishing comum que ganhou força nos últimos anos envolve cibercriminosos se passando por executivos da empresa, como CEO ou gerente, para atacar funcionários desavisados. Esse esquema, muitas vezes chamado de “fraude com vale-presente” ou “fraude de CEO”, começa com um e-mail criado para parecer que é do chefe da empresa. A mensagem normalmente transmite urgência e apela ao senso de responsabilidade ou boa vontade do funcionário, solicitando ajuda na compra de vales-presente para a equipe como um gesto de agradecimento. Depois que o funcionário concorda e compra os vales-presente, o atacante solicita os códigos para “finalizar o processo”, alegando que distribuirá os presentes pessoalmente. Na realidade, o golpista usa esses códigos para ganho pessoal, muitas vezes deixando o funcionário vítima absorver a perda financeira. Essa tática de engenharia social alavanca a confiança e a dinâmica hierárquica dentro das organizações, tornando-a um método de exploração eficaz e prejudicial.

‍

‍

Domínios falsos (fraudes de falsificação de identidade de marca)

Os golpistas frequentemente copiam empresas conhecidas, como The North Face, Amazon, Rolex, eBay, Temu, Target e outras. Eles criam sites falsos com grandes descontos para atrair clientes ingênuos. Depois que a compra é feita, os golpistas roubam as informações pessoais e o pagamento da vítima, deixando-a de mãos vazias.

Adições: esses domínios falsos geralmente são sofisticados o suficiente para se assemelharem aos sites legítimos, repletos de marcas e interfaces de usuário convincentes, impossibilitando que até mesmo os visitantes mais cautelosos percebam a diferença.

‍

‍

‍

Além dessas, havia várias páginas falsas sob o mesmo domínio:

‍

‍

‍

Outros domínios falsos que se passam por marcas diferentes:

‍

‍

‍

Anúncios (publicidade maliciosa)

A publicidade maliciosa é outra ferramenta no arsenal dos golpistas. Esses anúncios promovem sites fraudulentos em mídias sociais, mecanismos de pesquisa e até redes de publicidade reais. Seu objetivo é gerar tráfego para sites fraudulentos, aumentando a probabilidade de fraudar os consumidores.

Anúncios falsos nas mídias sociais geralmente mostram certos indícios reveladores que podem ajudar você a detectá-los. Ofertas que parecem boas demais para ser verdade, como grandes descontos ou brindes, são sinais de alerta clássicos.

Sempre inspecione a página ou a conta em busca de crachás de verificação e um histórico confiável; contas falsas geralmente têm pouco seguidores ou engajamento.

Desconfie de URLs estranhos, especialmente aqueles com nomes de domínio com erros ortográficos ou extensões incomuns. Gráficos de baixa qualidade, problemas gramaticais e linguagem forte, como “Aja agora” ou “Oferta por tempo limitado”, podem indicar uma farsa.

Examine os comentários em busca de avisos ou avaliações extremamente genéricas, que podem ser falsas. Empresas genuínas fornecem informações de contato e suas promoções geralmente estão listadas em seus sites oficiais, portanto, verifique todas as reivindicações.

Anúncios solicitando métodos de pagamento não convencionais, como vales-presente ou criptomoedas, ou solicitando informações pessoais confidenciais, devem ser evitados. Se não tiver certeza, faça uma busca reversa nas imagens do produto para garantir que elas não sejam roubadas. Estar atento a esses sinais pode ajudar você a evitar anúncios fraudulentos.

‍

Skimmers de cartão de crédito

A ameaça de portais de pagamento fraudulentos que imitam gateways autênticos como o PayPal cresceu significativamente. Quando os clientes inserem suas informações, esses portais falsos são criados para roubar as informações de seus cartões de crédito e débito.

‍

Adições: Para adicionar ainda mais desonestidade, esses portais falsos são ocasionalmente integrados a sites que parecem autênticos.

‍

‍

Domínios semelhantes:

‍

‍

Os registros de malware do InfoStealer

Os troncos do ladrão se transformaram no tesouro de um golpista. Esses registros, que frequentemente são roubados por meio de infestações de malware, incluem cookies de sessão de sites de comércio eletrônico, além de nomes de usuário e senhas. Equipados com essas informações, os golpistas podem fazer login em contas pessoais sem autorização, o que lhes permite fazer pedidos fraudulentos ou roubar dados adicionais.

‍

Adições: para tornar as coisas mais sérias, os golpistas geralmente têm como alvo contas bancárias vinculadas ou métodos de pagamento registrados. Para combater essa tendência, as plataformas de comércio eletrônico precisam melhorar seus protocolos de segurança.

‍

Rastreamento de palavras-chave: o método do golpista

Palavras-chave relacionadas a festas de fim de ano são usadas por golpistas para influenciar os resultados dos mecanismos de pesquisa, anúncios nocivos e campanhas de phishing. Termos como:

“Black Friday”, “Black Friday + promoção”, “Black Friday + oferta”, “Black Friday + desconto”, “Black Friday + presente”, “Black Friday + cupom”

“Cyber Monday”, “Cyber Monday + promoção”, “Cyber Monday + oferta”, “Cyber Monday + desconto”, “Cyber Monday + presente”, “Cyber Monday + cupom”

Essas palavras-chave atraem clientes com promessas de descontos exclusivos em publicações em mídias sociais, marketing por e-mail e domínios fraudulentos.

Para aumentar sua exposição nos resultados de pesquisa, muitos golpistas incluem essas palavras-chave em seus nomes de domínio ou URLs.

O uso de plataformas de mídia social está crescendo e as fraudes estão se tornando mais comuns com hashtags como #BlackFridayDeals e #CyberMondaySavings.

Conselhos para consumidores: verifique sempre os URLs, especialmente se eles contiverem termos questionáveis. E use extensões ou ferramentas do navegador para detectar links potencialmente perigosos antes de clicar.

‍

‍

Outros domínios usando as mesmas táticas:

‍

‍

‍

Podemos ver claramente que esses domínios foram criados recentemente. Além de domínios e fraudes falsos, os alertas postais falsos aumentam durante os feriados, aproveitando o aumento das compras pela Internet. As vítimas recebem e-mails ou textos fraudulentos alegando que seu item foi atrasado ou retido. Para corrigir o problema, os usuários devem enviar informações pessoais ou pagar uma “taxa de liberação” nominal.

Nossa pesquisa revelou vários domínios falsificados que imitam as principais organizações de courier, como DHL, FedEx e USPS. Esses sites frequentemente parecem surpreendentemente legítimos, inclusive com logotipos e designs profissionais.

‍

‍

‍

Dicas para os compradores: confirme as dificuldades de entrega com o serviço de correio legítimo usando o site ou aplicativo verificado. E evite clicar em links em e-mails ou textos não solicitados.

Alguns outros domínios que fazem o mesmo são:

‍

‍

‍

Cartões eletrônicos de Natal atrasados.

Os vales-presente de fim de ano são tão comuns em janeiro quanto as luzes de Natal emaranhadas. No entanto, muitos dos cartões eletrônicos que chegam à sua caixa de entrada após as férias podem ser obra de golpistas. Essas saudações virtuais falsas são frequentemente associadas a malware, que pode infectar seu dispositivo se você clicar em um link incorporado no e-mail.

Não presuma que cada cartão eletrônico de Natal atrasado que você recebe é real, mesmo que pareça ter sido enviado por um amigo. Um cartão eletrônico válido oferecerá um código de confirmação que você pode copiar e colar no site relacionado. Se você receber um cartão eletrônico atrasado sem esse código, não o abra. Exclua e designe o e-mail como spam.

‍

‍

Dicas para se proteger de fraudes natalinas

1. Verifique a autenticidade do sitealgum texto
   • Verifique se há erros de digitação ou pequenos erros ortográficos no URL (por exemplo, “amaz0n.com” em vez de “amazon.com”).
   • Procure por “HTTPS” e o símbolo do cadeado na barra de endereço, mas lembre-se de que mesmo eles podem ser falsificados.
   • Use ferramentas como Pesquisa Whois para verificar os detalhes do registro do domínio em sites suspeitos.
2. Evite clicar em links não solicitadosalgum texto
   • Evite clicar em links em e-mails, textos ou anúncios de mídia social não solicitados que prometem ofertas incríveis.
   • Em vez disso, digite o site do varejista diretamente no seu navegador.
3. Seja cético em relação a descontos irrealistasalgum texto
   • Se um negócio parece bom demais para ser verdade, provavelmente é.
   • Compare preços em plataformas confiáveis para determinar se a oferta é legítima.
4. Atenha-se a métodos de pagamento confiáveisalgum texto
   • Use métodos de pagamento seguros, como cartões de crédito ou carteiras digitais (por exemplo, PayPal) que oferecem proteção contra fraudes.
   • Evite transferências bancárias diretas ou o uso de cartões de débito para compras on-line.
5. Habilitar a autenticação de dois fatores (2FA)algum texto
   • Proteja suas contas com 2FA, que adiciona uma camada extra de segurança além de apenas uma senha.
6. Verifique avaliações e classificaçõesalgum texto
   • Pesquise vendedores ou sites com os quais você não está familiarizado lendo avaliações em plataformas confiáveis, como Trustpilot ou Better Business Bureau.
   • Evite sites com poucas ou nenhuma avaliação.
7. Use ferramentas e extensões de segurançaalgum texto
   • Instale extensões de navegador como HTTPS Everywhere ou bloqueadores de anúncios para reduzir a exposição a anúncios maliciosos e sites falsos.
   • Use um software antivírus com proteção contra phishing e malware.
8. Monitore palavras-chave em e-mails e anúnciosalgum texto
   • Tenha cuidado com palavras-chave como “oferta exclusiva”, “oferta por tempo limitado” e termos com temas natalinos combinados com “grátis” ou “presente”.
9. Inspecione os gateways de pagamentoalgum texto
   • Antes de inserir os detalhes do cartão, verifique a autenticidade do gateway de pagamento. Procure logotipos reconhecíveis, como Visa, Mastercard ou PayPal, mas verifique sua legitimidade.
10. Fique atento às notificações de entregaalgum texto
    • Verifique qualquer e-mail ou texto com “problema de entrega” com o site ou aplicativo oficial da transportadora. Evite fornecer informações pessoais por meio de mensagens não solicitadas.
11. Ativar alertas de contaalgum texto
    • Configure alertas para atividades incomuns na conta, incluindo novos logins ou transações.
12. Denunciar atividade suspeitaalgum texto
    • Denuncie e-mails de phishing ou sites falsos para organizações como a Federal Trade Commission (FTC) ou agências antiphishing.
    • Notifique seu banco imediatamente se você suspeitar de fraude de pagamento.
13. Use endereços de e-mail descartáveisalgum texto
    • Para ofertas de compras ou inscrições, use endereços de e-mail temporários ou secundários para reduzir a exposição a ataques de phishing.
14. Eduque você e seus familiaresalgum texto
    • Compartilhe informações sobre fraudes comuns em feriados de fim de ano com amigos e familiares para garantir que eles também permaneçam protegidos.