Golpe contra o Nubank usa senha “provisoria”

Golpe contra o Nubank usa senha “provisoria”

O número de golpes bancários no Brasil apenas aumenta ano após ano, só no começo desse ano estima-se que mais de 10 milhões de usuários foram alvos de tentativas de fraudes bancárias. Infelizmente ainda existe muita gente que prefere tentar ganhar dinheiro na maciota, sem precisar trabalhar ou pensar, apenas arrancando de trabalhadores. E não estamos falando de políticos, dessa vez.

E não pense que é difícil cair nesses golpes, eles estão cada vez mais bem trabalhados e utilizam de ferramentas oficiais das empresas para dar credibilidade ao seu modo de operação.

O golpe contra o Nubank que aqui será relatado tentou ser aplicado neste que vos escreve e agora exponho com intuito informativo para todos os leitores e, assim, deixá-los instruídos para protegerem-se.

Nubank – O suposto contato

Meio dia e meio, preparando-me para iniciar meu almoço, recebo uma ligação de um número desconhecido, como prática não atendo as ligações de números que não conheço, mas como o Whoscall não identificou nada relacionado para aquele número, acabei atendendo dessa vez.

Do outro lado da linha havia um rapaz apresentando-se como Felipe do Nubank, ele estava preocupado com a segurança de minha conta bancária, pois supostamente ela havia acabado de ser acessada por dispositivos não autorizados. Este me indaga se eu havia acabado de acessar minha conta de um dispositivo Alcatel.

O dispositivo Alcatel aqui usado é justamente pelo fato de seu baixo marketshare, ou seja, a probabilidade do usuário não possuir tal dispositivo é muito alta e garantirá a sequência do golpe, provavelmente caso o fraudador desse o azar da real existência de um smartphone Alcatel, ele diria que existe o acesso de um outro aparelho.

Já totalmente desconfiado do teor da ligação, resolvi seguir para ver onde iria, uma vez que até o momento ele não havia pedido nenhuma informação pessoal, estranhamente ele sequer tinha confirmado um número de conta bancaria, para ter certeza que falava com o titular da Nubank, percebi que poderia ver até onde ele levaria a situação, desde que eu não o alimentasse de nenhuma informação.

Afinal, aquele era um phishing, um ataque de engenharia social, o papel dele será me convencer a fazer o que ele precisa e concretizar seu golpe contra o Nubank.

Disse que o suposto Alcatel não era meu, diante disso ele informou-me que minha conta estava bloqueada por motivos de segurança e que eu precisaria trocar a senha naquele momento para voltar a ter acesso. Enquanto ele falava, resolvi abrir o app e para minha surpresa, ou não, não havia nenhum bloqueio e a conta permanecia em total funcionamento.

Mas optei por fingir-me de tonto, o Felipe, sempre disposto a ajudar, disse-me que poderia ficar tranquilo, que a ligação estava sendo gravada e eu receberia o número de protocolo por e-mail, pedindo-me para acessar o e-mail e conferir se não o havia recebido.

Conferindo o e-mail percebi que realmente chegou um número de protocolo vindo de um e-mail válido do Nubank, porém a informação é que o protocolo referia-se a um contato que EU teria feito com o Nubank e não o inverso, porém eu não havia realizado qualquer contato com a fintech.

Aqui está uma das chaves para o sucesso do golpe, o fraudador tenta realizar um contato em nome da vitima, o que faz que um protocolo seja gerado e enviado para o e-mail cadastrado na base. O contato realizado pelo fraudador, provavelmente, refere-se a qualquer bobagem, não importa o assunto, ele quer apenas que chegue um protocolo para o usuário de forma que ele possa dizer que aquele protocolo é do contato que ele está realizando.

O golpe contra o Nubank

O nosso amigável Felipe informou que uma senha provisória estava sendo gerada e que eu deveria digitar no link que receberia de um dispositivo seguro de minha escolha.

Recebi em seguida o e-mail de alteração de senha do Nubank e ele informou-me a senha “provisória”, a qual precisaria digitar no link recebido.

Neste golpe contra o Nubank, o fraudador tenta-lhe passar confiança ao deixar claro que você acessará de seu dispositivo seguro e o processo não será feito por telefone, ao mesmo tempo você recebe um link válido e real da fintech para alteração de senha, “apenas” tendo que digitar a senha que o fraudador lhe informa como “provisória”. Perceberam o truque?

Não existe senha provisória, ele está te passando a senha que ele escolheu para que você a troque e, desta forma, ele tenha acesso a sua conta. A falácia de que o processo será feito de um dispositivo seguro de minha escolha e não por telefone é realizada apenas para confundir o usuário e lhe passar suposta credibilidade.

Os golpistas não estão desconectados do mundo, sabem o quão as pessoas são informadas de não passarem senha ou dados por telefone, diante disso, mudar o processo e ao invés de pedir a senha, fazer o cliente trocar a senha de sua conta para a que ele deseja, foge do padrão conhecido e torna mais fácil convencer o usuário.

Após essa solicitação, optei por desligar a ligação e entrar em contato com o Nubank, que como esperado, meu informou não existir qualquer bloqueio ou contato realizado. Pedi mais algumas informações, como o teor do protocolo informado, para entender todos os passos do fraudador, essas informações adicionais por mim solicitadas, ficaram de serem passadas pelo time de Segurança do banco, quando as receber, atualizarei essa matéria.

Mas não é difícil imaginar que caso eu tivesse prosseguido na ligação e sido vitima da fraude, o próximo passo que o nosso amigo Felipe pediria, seria para que eu confirma-se a notificação de um novo dispositivo sendo conectado em minha conta, esse é o funcionamento do 2FA do Nubank, sempre que um outro aparelho efetua a conexão, o dispositivo confiável atual deve confirmar se autoriza o acesso.

Com toda a sua falácia, Felipe me convenceria que aquele é o procedimento para eu desbloquear a conta, lembram que ele no começo da ligação disse que ela estava bloqueada? E diante disso, ganhar acesso a minha conta e efetuar as fraudes desejadas, tendo sucesso em seu golpe contra o Nubank.

Não há qualquer evidência que algo da fintech tenha sido comprometido, mas sim que este golpe contra o Nubank trata-se de um ataque de engenharia social muito bem elaborado, que aproveita-se de comunicações reais e processos válidos para convencer o usuário.

Portanto, caros leitores, fiquem atentos, ao receberem ligações passando-se por bancos, fintechs e demais instituições, não informem seus dados, não informem tokens (Que em alguns golpes, os atacantes tentam convencer que é um número de protocolo) e não alterem senhas para supostas senhas provisórias que lhe foram informadas.

A recomendação que fica é que ao receber uma suposta ligação de uma instituição financeira, desligue e retorne o contato para o número/e-mail ou chat informado e disponibilizados oficialmente no aplicativo da financeira. Infelizmente vivemos em um mundo que é preciso desconfiar de tudo.

Enable Notifications    Ok No thanks