Criminosos brasileiros estão utilizando notas fiscais eletrônicas falsas para roubar dados pessoais e invadir contas bancárias. O golpe, que envolve um malware chamado CarnavalHeist, foi descoberto por pesquisadores da Cisco, empresa americana especializada em tecnologia e cibersegurança. Os hackers utilizam a infraestrutura de comando da zona Brazil South do Azure, plataforma de computação em nuvem da Microsoft, para controlar os computadores infectados e atacar instituições financeiras brasileiras. Os golpistas também usam gírias locais para descrever os bancos atacados.
Os pesquisadores da Cisco identificaram as primeiras fraudes envolvendo o CarnavalHeist em fevereiro deste ano, observando um aumento significativo nos meses seguintes, com um pico em abril. A origem do golpe foi rapidamente atribuída ao Brasil, devido às táticas e técnicas empregadas, que são semelhantes a outros ataques bancários no país. Além disso, a infraestrutura de comando da zona Brazil South do Azure é usada para controlar os computadores infectados, cujo principal alvo são instituições bancárias brasileiras. Os pesquisadores também observaram que os criminosos utilizam gírias locais para se referir aos bancos atacados.
Como o golpe funciona
A fraude com notas fiscais falsas começa com o envio de um e-mail não solicitado, abordando assuntos financeiros. A mensagem inclui um link malicioso, encurtado pelo serviço IS.GD. Especialistas da Cisco identificaram várias URLs frequentemente usadas pelos golpistas, como:
- https://is[.]gd/38qeon?0177551.5510
- https://is[.]gd/ROnj3W?0808482.5176
- https://is[.]gd/a4dpQP?000324780473.85375532000
Ao clicar nesses links maliciosos, o usuário é direcionado a um servidor que hospeda uma falsa página da web onde o golpe é realizado. Diversos sites diferentes têm sido utilizados pelos criminosos, mas todos contêm falsas notas fiscais eletrônicas.
O usuário é induzido a baixar um arquivo que executa o próximo estágio da infecção. Primeiro, um arquivo chamado "NotaFiscal.pdf" é criado no diretório "Downloads" com o texto "visualização indisponível". Em seguida, o PDF é aberto para visualização, fazendo o usuário acreditar que o documento foi realmente baixado. Enquanto isso, outro processo de instalação do programa é iniciado de forma minimizada e o componente malicioso é executado.
Como se proteger do CarnavalHeist
Para se proteger de golpes como o CarnavalHeist, é crucial desconfiar de e-mails não solicitados e evitar clicar em links ou baixar arquivos de remetentes desconhecidos, especialmente se as mensagens tratarem de assuntos financeiros. Também é recomendável manter o antivírus do computador atualizado para detectar e bloquear malwares.
Se uma URL parecer suspeita, o ideal é não acessá-la e procurar o site digitando o nome diretamente no navegador. Usuários também podem habilitar a autenticação em duas etapas para adicionar uma camada extra de segurança às suas contas bancárias e outros serviços importantes. É aconselhável manter-se informado sobre as últimas ameaças online e seguir boas práticas de segurança para proteger seus dados e finanças.