Criminosos usam marcas de empresas para aplicar “phishing”, falsos leilões e cobranças indevidas

As transportadoras ligadas ao e-commerce estão enfrentando um aumento sem precedentes de golpes virtuais, nos quais criminosos se passam por empresas legítimas para enganar consumidores. As fraudes incluem phishing (tentativa de obter informações confidenciais por meio de fraude), anúncios de leilões falsos e cobranças indevidas de taxas de entrega, utilizando e-mails, mensagens no WhatsApp, redes sociais e até sites clonados.

De acordo com Bruno Tortorello, CEO da Jadlog, uma das maiores transportadoras do país, os golpistas enviam mensagens que parecem oficiais, induzindo as vítimas a clicar em links maliciosos ou pagar supostas taxas extras. “Eles se apropriam da nossa marca e logotipo para dar credibilidade ao golpe“, explica.

Outra modalidade comum é a criação de anúncios falsos em veículos de imprensa, promovendo leilões de eletrônicos a preços baixos em nome das transportadoras. Além disso, há ofertas de empregos inexistentes, contratos fraudulentos para adesão de frotas e até páginas clonadas que simulam serviços das empresas.

Alexandro Strack, diretor de TI da Jadlog, alerta que os criminosos chegam a criar perfis falsos nas redes sociais para aplicar golpes. “Já identificamos domínios com nosso nome oferecendo vagas de trabalho e cobrando valores para participação em processos seletivos“, relata. A empresa reforça que não solicita pagamentos por WhatsApp, e-mail ou redes sociais, nem realiza vendas diretas ou cobranças por canais não oficiais. “Toda comunicação real é feita apenas pelos nossos canais institucionais“, complementa.

Enquanto isso, a Jadlog investiga as denúncias, notificou a Polícia Civil de São Paulo e tem divulgado alertas sobre as fraudes. A orientação para os consumidores é desconfiar de mensagens suspeitas e sempre verificar a autenticidade das informações nos canais oficiais das empresas.

Como se proteger de golpes na internet

• Desconfie de mensagens solicitando pagamentos ou dados pessoais.
• Verifique sempre os canais oficiais das transportadoras.
• Não clique em links ou baixe arquivos de remetentes desconhecidos.
• Denuncie perfis e sites suspeitos às empresas e às autoridades.

No Brasil, foi registrado um golpe a cada 16 segundos de acordo com a edição 2024 do Anuário Brasileiro de Segurança Pública

Conforme os golpes se tornam mais frequentes, os meios que criminosos usam para aplicá-los também vão se diversificando.  Esta modalidade de crime cresceu no ambiente digital e afeta tanto a pessoa física quanto jurídica. Entretanto, algumas ações podem ser tomadas pelas empresas para evitar este tipo de armadilha.

“Toda organização, por padrão, tem que ter um firewall, o qual é um sistema de segurança instalado. Se não isso, necessita ao menos, ter um antivírus contratado de qualidade”, alerta Alex Diniz, gestor de Tecnologia da Informação.

Apesar desses dois fatores de proteção, o principal para o gestor é que haja avisos solicitando que os funcionários tomem cuidado com os e-mails que recebem. “Há muitos links disfarçados que dão acesso para um servidor externo, trazem o vírus e ransomwares [software fraudador] que podem roubar informações”, explica ele.

Ewerthon Sousa, especialista em redes de computadores, concorda que o colaborador pode tornar a empresa mais vulnerável. “A maioria das invasões dos sistemas acontece por conta de abertura de links com conteúdos duvidosos como rifas, jogos online, boletos falsos ou promoções a preços muito atrativos. Atualmente, os provedores já bloqueiam muitos conteúdos suspeitos, agora o mais comum são golpes pelo WhatsApp”, avalia.

O tecnólogo esclarece que o aplicativo de mensagens instantâneas mais usado no país possui uma segurança criptografada, mas não tem uma proteção de antivírus. “Clonar o WhatsApp tornou-se um golpe rotineiro. Assim que conseguem acessar a conta da vítima, o criminoso se passa por ela pedindo dinheiro emprestado para seus contatos. A pessoa do outro lado faz o depósito achando que é uma emergência quando, na verdade, é golpe”.

Recentemente, o próprio SETCESP foi uma vítima, mostrando que empresas não estão livres deste tipo de crime. O nome e logo da entidade foram usados pelos criminosos que tentaram prejudicar outras pessoas. O golpista entrou disfarçado em um dos grupos administrados pela entidade passou a enviar links no contato privado dos demais membros do grupo. Ao clicar neste link e repassar um código de verificação, os alvos tiveram seu WhatsApp clonado.

“O SETCESP não realiza nenhum tipo de contato para solicitar códigos de confirmação e nem dados pessoais. Se você receber alguma ligação ou mensagem de um número desconhecido se passando pela entidade, não forneça nenhuma informação”, solicita a gerente de comunicação da entidade, Camila Florencio.

A entidade de imediato excluiu do grupo o possível fraudador e fez vários informativos em seu site, redes sociais e no próprio aplicativo de mensagens, alertando seus associados e parceiros sobre o ocorrido, para que seu público não fosse prejudicado. O que segundo os especialistas está correto, já que a estratégia mais eficaz nestes casos é reforçar a comunicação.

“Para se proteger desses golpes e outros mais, o certo é não fornecer informações sigilosas para terceiros, como senhas de cartões de crédito e documentos. Também nunca passe o código recebido no celular para um desconhecido. Na dúvida, ligue para a empresa ou entre no site para verificar mais alguma informação”, avisa o gestor.

“Outra dica também de prevenção é sempre utilizar senhas mais fortes que combinem letras, números e símbolos e use dois fatores de autenticação para acessar uma conta em outro dispositivo, geralmente um por SMS e outro no e-mail, essas etapas são uma barreira a mais de proteção”, aconselha Sousa.

Ele também afirma ser importante manter todos os sistemas atualizados porque uma falha pode afetar a segurança. “Não adianta a empresa deixar a tecnologia defasada para economizar. Uns dos maiores bens que as empresas possuem, hoje em dia, são os dados, infelizmente, algumas que são hackeadas acabam tendo eles vazados, porque não investiram quando deveriam”, conta o tecnólogo.

Especialmente, no mundo conectado no qual as atividades de trabalho e de comunicação dependem do formato digital, é necessário fazer o possível para manter a segurança online. Afinal, o risco de sequestro e vazamento de dados pode abalar a imagem da empresa com o seu cliente, sem falar no prejuízo financeiro ao pagar um boleto falso ou realizar um empréstimo para um impostor.

No Brasil, foi registrado um golpe a cada 16 segundos de acordo com a edição 2024 do Anuário Brasileiro de Segurança Pública

Conforme os golpes se tornam mais frequentes, os meios que criminosos usam para aplicá-los também vão se diversificando.  Esta modalidade de crime cresceu no ambiente digital e afeta tanto a pessoa física quanto jurídica. Entretanto, algumas ações podem ser tomadas pelas empresas para evitar este tipo de armadilha.

“Toda organização, por padrão, tem que ter um firewall, o qual é um sistema de segurança instalado. Se não isso, necessita ao menos, ter um antivírus contratado de qualidade”, alerta Alex Diniz, gestor de Tecnologia da Informação.

Apesar desses dois fatores de proteção, o principal para o gestor é que haja avisos solicitando que os funcionários tomem cuidado com os e-mails que recebem. “Há muitos links disfarçados que dão acesso para um servidor externo, trazem o vírus e ransomwares [software fraudador] que podem roubar informações”, explica ele.

Ewerthon Sousa, especialista em redes de computadores, concorda que o colaborador pode tornar a empresa mais vulnerável. “A maioria das invasões dos sistemas acontece por conta de abertura de links com conteúdos duvidosos como rifas, jogos online, boletos falsos ou promoções a preços muito atrativos. Atualmente, os provedores já bloqueiam muitos conteúdos suspeitos, agora o mais comum são golpes pelo WhatsApp”, avalia.

O tecnólogo esclarece que o aplicativo de mensagens instantâneas mais usado no país possui uma segurança criptografada, mas não tem uma proteção de antivírus. “Clonar o WhatsApp tornou-se um golpe rotineiro. Assim que conseguem acessar a conta da vítima, o criminoso se passa por ela pedindo dinheiro emprestado para seus contatos. A pessoa do outro lado faz o depósito achando que é uma emergência quando, na verdade, é golpe”.

Recentemente, o próprio SETCESP foi uma vítima, mostrando que empresas não estão livres deste tipo de crime. O nome e logo da entidade foram usados pelos criminosos que tentaram prejudicar outras pessoas. O golpista entrou disfarçado em um dos grupos administrados pela entidade passou a enviar links no contato privado dos demais membros do grupo. Ao clicar neste link e repassar um código de verificação, os alvos tiveram seu WhatsApp clonado.

“O SETCESP não realiza nenhum tipo de contato para solicitar códigos de confirmação e nem dados pessoais. Se você receber alguma ligação ou mensagem de um número desconhecido se passando pela entidade, não forneça nenhuma informação”, solicita a gerente de comunicação da entidade, Camila Florencio.

A entidade de imediato excluiu do grupo o possível fraudador e fez vários informativos em seu site, redes sociais e no próprio aplicativo de mensagens, alertando seus associados e parceiros sobre o ocorrido, para que seu público não fosse prejudicado. O que segundo os especialistas está correto, já que a estratégia mais eficaz nestes casos é reforçar a comunicação.

“Para se proteger desses golpes e outros mais, o certo é não fornecer informações sigilosas para terceiros, como senhas de cartões de crédito e documentos. Também nunca passe o código recebido no celular para um desconhecido. Na dúvida, ligue para a empresa ou entre no site para verificar mais alguma informação”, avisa o gestor.

“Outra dica também de prevenção é sempre utilizar senhas mais fortes que combinem letras, números e símbolos e use dois fatores de autenticação para acessar uma conta em outro dispositivo, geralmente um por SMS e outro no e-mail, essas etapas são uma barreira a mais de proteção”, aconselha Sousa.

Ele também afirma ser importante manter todos os sistemas atualizados porque uma falha pode afetar a segurança. “Não adianta a empresa deixar a tecnologia defasada para economizar. Uns dos maiores bens que as empresas possuem, hoje em dia, são os dados, infelizmente, algumas que são hackeadas acabam tendo eles vazados, porque não investiram quando deveriam”, conta o tecnólogo.

Especialmente, no mundo conectado no qual as atividades de trabalho e de comunicação dependem do formato digital, é necessário fazer o possível para manter a segurança online. Afinal, o risco de sequestro e vazamento de dados pode abalar a imagem da empresa com o seu cliente, sem falar no prejuízo financeiro ao pagar um boleto falso ou realizar um empréstimo para um impostor.

Adotar soluções de segurança cibernética, além de uma medida protetiva é uma exigência para atender os requisitos legais de cuidados com os dados pessoais

A operacionalização das empresas passa pelo ambiente digital, que obviamente, está suscetível a riscos. No ano de 2021, os prejuízos globais ocasionados por ataques cibernéticos ultrapassaram a marca de US$ 6 trilhões.

De olho nesse tipo de crime, a LGPD (Lei Geral de Proteção de Dados) prevê uma série de medidas de cibersegurança para as instituições, na prevenção de vazamentos de dados e no que deve ser feito, em caso de incidentes.

Geralmente em ciberataques, os criminosos roubam dados de instituições como informações pessoais para cometerem fraudes, ou fazem o sequestro de arquivos das empresas, exigindo um pagamento para o resgate.

“Dados são os grandes ativos nos dias atuais. O Brasil ocupa a 5ª posição entre os países mais atacados no ranking global”, alerta a coordenadora da área de Direito Contratual, Digital e Regulatório do escritório De Natale, Karen Seolin.

Ela orienta que as organizações tenham uma gestão de risco que detectem as vulnerabilidades de seus sistemas de proteção. “Um antivírus desatualizado, drivers mal instalados e senhas administrativas padrão deixam as empresas menos protegidas”.

Rodrigo Cruz, que é head de Data Privacy e DPO na BDR Consulting, informa também que os ciberataques estão crescendo. “Se antes a preocupação das transportadoras estava restrita ao roubo e furto de veículo e carga, agora elas precisam se atentar às fraudes virtuais”, avalia ele.

Ainda assim, Cruz acredita que não existem sistemas de defesa infalíveis, mas é possível mitigar riscos em várias esferas, se adequando as boas práticas de segurança previstas pela LGPD. Para que se algum vazamento de dados aconteça, a empresa não seja vista pela ANPD (Autoridade Nacional de Proteção de Dados) como facilitadora ou conivente com o incidente.

O especialista na BDR Consulting avisa que se acontecer um incidente grave de vazamento de dados, a instituição tem, de acordo com a legislação, até 48h para avisar a ANPD e elaborar uma documentação com avaliação interna do acidente, entre outras providências.

Já para diminuir a exposição aos riscos, a especialista em proteção de dados, Ariana Lopes, indica medidas que tornam os dados mais seguros, como por exemplo, não resgatar mensagens de lixo eletrônico, usar gerenciador de senhas e manter os back ups na nuvem, em um local diferente do servidor da empresa.

“Quando um funcionário é demitido, quanto tempo a empresa demora para suspender os acessos dele?”,  questionou. “Assim como os trâmites burocráticos, essa providência deve ser feita de forma imediata”, aconselhou a especialista.

Ela aproveitou para destacar a importância de a empresa orientar seus funcionários a fazerem a troca de senhas periodicamente e a não clicarem em links suspeitos e nem acessarem e-mails pishing — aqueles que vem com uma mensagem falsa elaborada para parecer legítima e normalmente, solicita informações pessoais confidenciais.

“Geralmente os ransomwares vem por e-mails de phishing. É um tipo de software de sequestro de dados, feito por meio de criptografia, que usa como refém arquivos da vítima e cobram para restabelecer o acesso a estes arquivos”, apontou.

Os três especialistas estiveram presente no quinto webinar da ‘série LGPD’, e trataram especificamente sobre a cibersegurança aplicada a legislação. O seminário online foi promovido pelo SETCESP em parceria com o escritório De Natale, transmitido pela plataforma EAD da entidade, no dia 3 de março.

Mas a gravação ainda está disponível e todas as orientações sobre o assunto em detalhes, podem ser consultadas na íntegra.

Acesse e assista o webinar.

8 dicas de como proteger sua empresa de ataques cibernéticos:

• 1 – Faça uma lista de todos os softwares, dados e equipamentos que são utilizados, incluindo desktops, notebooks, smartphones e tablets;
• 2 – Use senhas em todos os equipamentos;
• 3 – Crie e compartilhe uma política de segurança cibernética com os colaboradores;
• 4 – Mantenha seus softwares atualizados e use antivírus em todos computadores e dispositivos eletrônicos;
• 5 – Mantenha um backup do seu banco de dados em segurança na nuvem;
• 6 – Limite e registre o tráfego de rede com um Firew;
• 7 – Investigue quaisquer atividades incomuns em sua rede; e
• 8 – Restrinja permissões em arquivos compartilhados.

O instituto Data Folha realizou uma pesquisa recentemente com mais de 170 empresas de pequeno, médio e grande porte, e o resultado preocupa: a pesquisa mostrou que 40% das empresas entrevistadas sofreram algum tipo de ciberataque nos 12 meses anteriores.

A pesquisa apontou que as empresas desenvolveram uma consciência sobre a importância do investimento em cibersegurança, entretanto, o maior empecilho para que as empresas se protejam ainda é a questão orçamentária: 65% dessas empresas alegam a dificuldade financeira para aplicação de políticas de cibersegurança adequadas.

O Delegado da Divisão de Crimes Cibernéticos, Dr. Thiago Chinellato, destacou que os incidentes de segurança acontecem geralmente após uma falha humana, e reforçou a importância dos treinamentos dos funcionários sobre segurança da informação e cibersegurança.

A De Natale reitera alguns pontos importantes na adequação a Legislação: inicialmente é necessário reiterar que os prejuízos causados pelos ataques são, muitas vezes, incalculáveis. Existiram casos recentes no país de sequestro de dados (ransomware), por exemplo, que custaram milhões para algumas empresas que não puderam recuperar seus dados. Outro ponto importante são as sanções, que inicia pela multa simples de até 2% sobre o faturamento, limitada a 50 milhões por infração, passando pela multa diária, publicização da infração, ou ainda bloqueio e eliminação dos dados.

As empresas deverão analisar a adequação à LGPD como investimento, a fim de reduzir danos posteriores.

*Com informações do G1