Criminosos cibernéticos usam ataques de phishing em sites de compras de segunda mão para enganar compradores e vendedores em tempo real.
A compra e a venda de itens de segunda mão se tornaram bastante populares, pois há algumas plataformas que permitem que pessoas façam isso facilmente sem sair de casa. Uma dessas plataformas é a Vinted, um site bem conhecido na Europa e na América do Norte para comprar e vender roupas e outros itens usados.
Em geral, não é preciso ir muito longe dos locais populares onde as pessoas fazem negócios para encontrar cibercriminosos e golpistas cometendo seus crimes. Estou prestes a contar um caso de roubo que ocorreu na plataforma Vinted, mas, na realidade, esse tipo de crime poderia ter começado em muitos outros mercados desse tipo.
A vítima, que aqui chamaremos de Helen, é uma amiga íntima que, em geral, entende bastante de Internet. Ela faz todas as suas transações bancárias online há anos, compra regularmente em muitas lojas virtuais diferentes (desde Shein e Aliexpress até Amazon ou Zara) e também está familiarizada com plataformas de produtos de segunda mão, onde faz compras e vendas regularmente.
Helen tinha alguns itens que ainda não tinham sido vendidos em uma determinada plataforma, por isso decidiu experimentar a Vinted. Ela tinha amigos que usavam a loja há algum tempo e, ali, Helen poderia alcançar um novo público interessado nos produtos que desejava vender: um quadro e alguns calçados femininos.
Ela criou sua conta na Vinted e fez o upload dos dois itens. Minha amiga ficou animada quando, em questão de segundos, recebeu mensagens de duas pessoas diferentes. Cada uma interessada em um dos itens. Helen achou isso especialmente incrível, porque tinha os mesmos itens à venda em outra plataforma, onde ninguém havia demonstrado interesse.
O primeiro comprador interessado na Vinted enviou a ela uma captura de tela mostrando que havia pagado pelo item, e, nessa mesma imagem, havia uma solicitação do número de telefone do vendedor. Ao mesmo tempo, o segundo comprador pedia seu número de telefone para prosseguir com a transação depois que o pagamento fosse efetuado.
Aqui, devo mencionar que, antes desse incidente, Helen nunca havia sido vítima de nenhum golpe. De fato, ela conseguiu identificar mensagens de phishing no passado (sou seu consultor de segurança) e sabe que é preciso ter cuidado. No entanto, dessa vez, a empolgação e a pressa para lidar com as duas vendas ao mesmo tempo a deixaram menos atenta. Assim, ela enviou seu número de telefone para os possíveis compradores.
Alguns momentos depois, Helen recebeu duas mensagens SMS diferentes, ambas do mesmo remetente (Vinted). O teor de ambas era praticamente o mesmo, a única diferença eram os últimos caracteres do URL:
Receber o pagamento e concluir a venda https://sms2waw.win/XxxXxx
Ao clicar nele, Helen foi redirecionada para um portal de pagamento com o logotipo da Vinted na parte superior, indicando que ela precisava preencher os detalhes do cartão de crédito para receber o pagamento. Foi o que ela fez. Depois de preencher o formulário, um símbolo de carregamento foi exibido e parecia que algo estava errado. Pensando que poderia ser um problema com seu cartão de crédito, Helen inseriu os detalhes de outro cartão.
Alguns minutos depois, ela recebeu as seguintes mensagens no WhatsApp:
Tradução: Olá! Sou o suporte técnico do site Vinted/Wallapop, ajudo você a verificar seu cartão bancário.
Prezado vendedor, para confirmar seu pedido, o sistema enviou uma notificação de compra de teste automática para o seu aplicativo bancário para confirmar que você é o titular de um cartão bancário real e tem acesso ao seu aplicativo bancário. A compra de teste é uma simulação e não afetará o saldo do seu cartão de forma alguma.
Helen respondeu dizendo que não havia recebido nenhuma notificação. Alguns minutos depois, ela recebeu outras mensagens no WhatsApp de um número de telefone diferente:
Tradução: Olá, sou do serviço técnico da Vinted. A seguir, indicamos o que você precisa fazer para completar o processo de recebimento do seu dinheiro. Uma vez verificado e recebido o dinheiro, você receberá instruções sobre como enviar o produto. Tudo que você tem que fazer é esperar instruções. Você pode se desconectar do site; daremos todas as informações nesta sala de chat.
Por fim, Helen recebeu uma mensagem SMS com o nome de seu banco no campo “De”:
Tradução: Por favor, confirme uma notificação PUSH no seu aplicativo bancário pelo valor de: 299 EUR. Note que isso não é um pagamento, mas uma retenção de 3 segundos por motivos de segurança; é uma medida de segurança de todos os bancos. Em 5 segundos, o valor do item será transferido para o seu cartão. Isso deve ser confirmado! Nosso serviço trabalha para sua segurança, todos os seus dados pessoais estão protegidos.
Para verificar seu cartão bancário no sistema, você deve confirmar a notificação no aplicativo do seu banco
Helen abriu o aplicativo do banco e, de fato, havia uma notificação de que ela precisava aprovar um valor total de €299. Ela recebeu mais instruções no WhatsApp:
Naquele momento, Helen decidiu entrar em contato comigo. Ela me enviou capturas de tela das diferentes mensagens que havia recebido e me contou o restante da história. Eu disse a ela que não aceitasse nenhum pagamento e que bloqueasse seus cartões de crédito imediatamente (felizmente, essa era uma operação fácil, com apenas dois cliques no aplicativo do banco). Ela denunciou os usuários à Vinted, bem como os números de telefone para o WhatsApp e cancelou seus dois cartões de crédito. Felizmente, os golpistas não desviaram dinheiro de nenhum da minha amiga.
O dinheiro é um grande motivador, e é o que move os cibercriminosos. Esses maus elementos são mentirosos experientes e sabem brincar com nossos sentimentos no momento certo. Isso pode nos levar a tomar decisões irracionais que, em circunstâncias normais, jamais tomaríamos.
Nota: As mensagens incluídas neste artigo foram traduzidas do espanhol para o inglês (e aqui estão apresentadas em português).
Leia mais:
o golpe da "Garota com câncer" roubou mais de meio milhão de dólares
Por que todo mundo está sendo atacado no Facebook?
A vez em que quase fui enganado em meu e-mail da faculdade