Os sistemas antiphishing da Kaspersky bloquearam, em 2022, cinco milhões de mensagens fraudulentas que usavam como disfarce o tema de criptomoeda, um aumento de 40% em comparação com o ano anterior. De acordo com a investigação da Kaspersky, o cenário global das ameaças financeiras mudou significativamente em 2022.

“Muitos grupos que atuavam nessa área mudaram para operar ataques de ransomware, pois estes se tornaram muito lucrativo. Mas é importante destacar que, no Brasil, mais de 90% dos malware criados no país têm foco financeiro e eles não mudaram esse objetivo. A única mudança é que as criptomoedas e carteiras digitais foram adicionadas como alvos desses golpes financeiros já fazem parte do dia a dia do brasileiro”, avalia Fabio Assolini, diretor da Equipe Global de Pesquisa e Análise da Kaspersky para a América Latina.

No último ano, as mensagens fraudulentas (phishing) usando temas de criptomoeda aumentaram 40% em relação ao ano anterior. Foram 5.040.520 de bloqueios em 2022 contra 3.596.437 em 2021, segundo a empresa.

Os dados do relatório estão correlacionados com a experiência dos usuários com relação às ameaças online. No início do ano, uma pesquisa da Kaspersky mostrou que um em cada sete pessoas entrevistadas foi vítima de phishing relacionado a criptomoeda.

Embora a maior parte dos golpes com criptomoedas envolva truques tradicionais, como páginas com prêmios ou carteiras falsas, um recente esquema fraudulento descoberto pela Kaspersky usa mensagens falsas com um arquivo PDF anexo (em inglês) informando sobre um suposto cadastro antigo da vítima em uma plataforma de mineração de criptomoedas na nuvem.

Além disso, a mensagem ainda alerta que a pessoa precisa sacar uma grande quantia de criptomoeda rapidamente, pois a conta está inativa.

O arquivo contém um link para uma plataforma de mineração falsa e, para sacar os criptoativos, é preciso preencher um formulário com informações pessoais, inclusive o número do cartão ou da conta, além de pagar uma comissão por meio de uma carteira digital ou diretamente para o endereço da carteira informado no golpe.

Golpe de troca de endereço

De acordo com dados mais recentes da Unit 42, unidade de Inteligência e pesquisa de ameaças da Palo Alto Networks, o Brasil ainda ocupa o primeiro lugar em golpes de ransomware na América Latina, tendo um aumento de 51% em relação ao ano passado.

Uma nova campanha de malware direcionada aos falantes da língua portuguesa foi descoberta pelos pesquisadores. O golpe visa redirecionar a criptomoeda das carteiras dos usuários legítimos para as carteiras controladas por agentes de ameaças.

Para fazer isso, a campanha usa um tipo de malware conhecido como clipper de criptomoeda, que monitora a área de transferência da vítima em busca de sinais de que o endereço de uma carteira de criptomoeda está sendo copiado.

O malware, que foi chamado de CryptoClippy, procura substituir o endereço real da carteira do usuário pelo do agente da ameaça, fazendo com que o usuário envie inadvertidamente a criptomoeda para o criminoso.

Pesquisadores da Unit 42 encontraram vítimas nos setores de manufatura, serviços de TI e imóveis, e apontam que, provavelmente, tenham impactado também os endereços de carteira pessoal de pessoas que se conectam pelo computador de trabalho.

Para inserir o malware nos computadores dos usuários, os ciber atacantes usaram o Google Ads e os sistemas de distribuição de tráfego (TDS) para redirecionar as vítimas para domínios maliciosos que estão se passando pelo aplicativo WhatsApp Web legítimo.

“Eles usam isso para garantir que as vítimas sejam usuários reais e também que falem português. Para usuários que são enviados para domínios mal-intencionados, a ameaça tenta induzi-los a baixar arquivos maliciosos, incluindo arquivos .zip ou .exe, que complementam a infeção”, explica Daniel Bortolazo, Gerente de Engenharia e Arquitetura da Palo Alto Networks no Brasil.

A empresa explica que ao ser infectado com este clipper de criptomoeda, o malware passa a examinar continuamente a área de transferência da vítima por meio de uma tarefa agendada para ver se ela copiou um endereço de carteira de criptomoeda.

A ideia por trás disso é que, se uma pessoa copiar o endereço de uma carteira para a área de transferência, isso indica que ela pode estar transferindo criptomoedas de uma carteira para outra. Dessa forma ele é capaz de substituir a entrada da área de transferência por um endereço de carteira visualmente semelhante, mas controlado pelo atacante.

Quando a vítima cola o endereço da área de transferência para realizar uma transação, na verdade ela está enviando a criptomoeda diretamente para o agente da ameaça.

Como evitar ser vítima de golpes

Para evitar ser vítimas de golpes online, os especialistas da Kaspersky derão as seguintes dicas:

  • Confira o endereço do site e busque por erros ortográficos. Avalie também se as palavras usadas fazem sentido. Como as empresas compram os endereços similares ao site original para evitar fraudes, o que força os criminosos a criarem URL bem diferentes. Na dúvida, busque qual é o site legítimo e jamais clique em links suspeitos.
  • Jamais informe sua senha e frase de autenticação, exceto no site legítimo. Essas informações são a única garantia de segurança.
  • Tente se informar sobre golpes e as novos mecanismos de fraude. Quanto mais informação, menores serão as chances de cair em uma armadilha.
  • Pesquise antes de investir: leia sobre os tipos de investimentos, as empresas e consulte se há reclamações sobre as organizações que chamaram mais sua atenção. Isso dará um bom contexto se a empresa é legítima ou não.
  • Tenha sempre um antivírus instalado no seu computador e celular para bloquear links e arquivos maliciosos, como o Kaspersky Premium.
  • Sempre confira o endereço de destino quando for realizar transações com criptomoedas

LEIA MAIS