Apesar das últimas campanhas sobre o tão polêmico saque do FGTS, os cibercriminosos continuam usando o assunto para promover novos golpes entre os usuários do WhatsApp.

Nesta semana, descobrimos uma nova fraude que está circulando e, desta vez, utiliza informações de uma falsa notícia sobre o pagamento retroativo de R$1.760 (também relacionado ao FGTS), que está sendo veiculada nas redes sociais.

No post de hoje, vamos explicar o funcionamento desta fraude e o que existe por trás de tudo isso. Confira também algumas sugestões para que você possa estar protegido contra golpes deste tipo.

Entenda como a fraude funciona

Após informar os dados pessoais, o usuário é orientado a compartilhar a informação entre 5 amigos no WhatsApp para ter acesso a lista de confirmação para o recebimento do benefício.

Imagem 1: Etapas do golpe.

Outro sinal do golpe é o uso de usuários e comentários falsos que se fazem passar pelo Facebook. No entanto, é importante considerar que a vítima nem sequer realizou o login na rede social.

Apesar das diversas divulgações, até mesmo na imprensa, sobre golpes que envolvem o tão polêmico saque do FGTS, a atual campanha já atingiu a marca de mais de 135 mil cliques até o momento da publicação deste post.

Imagem 2: Quantidade de cliques no momento da publicação deste post.

O que existe por trás do golpe?

A fraude é praticamente idêntica as campanhas utilizadas anteriormente, considerando que está focada na quantidade de cliques realizados pelas vítimas e que podem envolver plataformas de publicidade ou até mesmo a inscrição em serviços premium.

Imagem 3: Esquema de aplicação do golpe.

É interessante notar a preocupação dos cibercriminosos em impedir a análise do código. No entanto, quando acessamos a página por meio de um navegador de desktop e, em seguida, clicamos com o botão direito do mouse  (para "ver o código da página" ou mesmo para salvá-la), automaticamente é apresentada a mensagem: "Desculpa, mas por questão de segurança você não pode copiar o conteúdo".

Imagem 4: Mensagem que aparece ao clicar com o botão direito do mouse sobre a página.

Ao tentar analisar o código do site, acessando a página por meio do WhatsApp Web, também podemos observar que ao abrir o modo de desenvolvedor (ou seja, apertando a tecla F12) aparece a seguinte mensagem: “NÃO FOI DESSA VEZ :) BABACA”.

Imagem 5: Mensagem que aparece após pressionar F12, utilizando o WhatsApp Web.

Apesar do esforço para dificultar a análise, essa proteção pode ser contornada simplesmente desabilitando o Javascript da página.

Imagem 6: Desativação do Javascript da página no WhatsApp Web.

Além disso, os cibercriminosos se esqueceram de desabilitar a listagem de arquivos do site, o que permite ver a utilização de uma versão antiga de Apache, que possui uma série de exploits conhecidos publicamente.

Imagem 7: Obfuscação da URL.

Não seja mais uma vítima!

Como sempre, a regra de ouro é “para estar seguro, mantenha-se atento”. Não clique e nem mesmo abra mensagens suspeitas. Além disso, não compartilhe este tipo de divulgação e proteja os seus amigos e parentes. Mesmo que este tipo de campanha não realize a propagação de malware, podem causar prejuízos financeiros para as vítimas.

Para finalizar, utilize uma solução de segurança que seja capaz de bloquear possíveis URLs maliciosas em seu dispositivo móvel. Estas ferramentas também geram alertas para casos de phishing, que atualmente estão cada vez mais comuns e utilizando novas formas de propagação por meio de técnicas como a Engenharia Social.