Um novo golpe pela internet está sendo praticado no País. A ESET – fornecedora de soluções para segurança da informação – identificou uma ação fraudulenta que usa como chamariz a consulta a contas inativas do FGTS. Cibercriminosos enviam um falso e-mail sugerindo que vítima consulte o saldo de sua conta inativa do FGTS por de um link, que na realidade direciona o internauta para um site voltado a roubar dados pessoais.
Entre as informações solicitadas para preenchimento no falso site do FGTS estão CPF, data de nascimento, Número de Identificação Social (NIS), credenciais de acesso ao sistema do governo, telefone, além de informações bancárias. O objetivo dos cibercriminosos é vender os dados pessoais, realizar fraudes ou mesmo direcionar outros ataques para levantar ainda mais informações das vítimas.
Para aplicar o golpe, os cibercriminosos usaram uma falha de segurança e incluíram scripts PHP no servidor. Dessa forma, quando a vítima acessa determinadas URLs especificas, consegue visualizar uma página de internet com conteúdo legítimo.
Para evitar cair em golpes com esse, a ESET alerta sobre a importância de saber identificar uma ameaça digital, evitando clicar em e-mails desconhecidos, que solicitem informações pessoais ou a realização de downloads. Além disso, os internautas devem contar com soluções de segurança proativas instaladas e atualizadas em todos os equipamentos que acessam a internet.
Em nota a Caixa Econômica Federal negou qualquer ligação com a ação e que seu sistema tenha vulnerabilidade. Disse que o ataque em questão utiliza técnica que explora duas vulnerabilidades: o próprio internauta e seu desconhecimento dos riscos envolvidos e vulnerabilidades em servidores espalhados por toda a internet, alvos fáceis para instalar páginas falsas. “Para combater ações maliciosas dessa natureza, a Caixa dispõe de serviço especializado para encerrar o funcionamento das páginas falsas, atuando independente do país onde esteja hospedado, nos cinco continentes”.