Kaspersky Lab alerta: Falso bônus de Carnaval engana usuários do Uber no Brasil

Campanha maliciosa, que promete bônus de R$100 reais, pode clonar cartões de crédito

Os aplicativos de economia colaborativa ganharam muita popularidade no Brasil nos últimos anos, tanto que o país se tornou o maior mercado deste na América Latina. Por conta do sucesso econômico, o fenômeno ganhou atenção dos criminosos cibernéticos, que têm usado a marca do Uber para enganar usuários em campanhas maliciosas – principalmente no Carnaval, período que muitas pessoas viajam e utilizam esses apps.

A Kaspersky Lab detectou no início de fevereiro duas campanhas falsas espalhadas por criminosos digitais que prometem um bônus de Carnaval no valor de R$ 100 para quem se cadastrar no Uber pelo link enviado por eles — o real objetivo do suposto “bônus” é clonar os cartões de crédito das vítimas. De acordo com Fabio Assolini, analista sênior da Kaspersky no Brasil, “o golpe, além de clonar o cartão de crédito da vítima, dá ao criminoso um crédito de R$20 reais no aplicativo caso um novo usuário venha a se cadastrar no serviço usando seu código de referência, ou seja, ele lucra duas vezes”.

Como o ataque funciona
O golpe se inicia com o recebimento de um e-mail informando que a vítima ganhou um crédito de R$ 100:

0b1df72e-06d8-4387-89b5-16572c4dd518.jpg

Ao clicar no link para se cadastrar, o usuário será direcionado para sites falsos, criados especialmente para a campanha maliciosa. Entre os domínios usados no ataque destacamos o uberdesconto.com.br e ubercupomonline.com.br.

f45b4a3e-0c23-4039-bb38-08885ae1fd5f.jpg

Estes sites trazem formulários onde a vítima deve informar seu número de cartão de crédito completo, para assim completar o suposto cadastro:

9f942f2f-8b4b-4893-8724-4a986db147c3.jpg

O bônus vai para o bandido
Caso a vítima venha a se cadastrar de verdade, além de ter seu cartão clonado, o verdadeiro bônus de R$20 dado pelo Uber para indicação de novas contas será creditado para o criminoso autor do golpe, gerando um ganho duplo. O número de referência do criminoso está presente em todos os formulários:

345bf8cb-2265-4c8c-a9bf-d56281be1117.jpg

A popularidade do Uber e o fato do serviço lidar com o número de cartão de crédito dos usuários faz com que os criminosos vejam nisso uma oportunidade de enganar muita gente, especialmente na época do Carnaval, onde é comum as pessoas viajarem ou não utilizarem seus carros durante os dias festivos”, afirma Assolini. “O Uber não dá bônus de R$100 e, quando a oferta é muito generosa, o usuário deve desconfiar dos e-mails e links”, alerta o analista.

Todos os links usados nas campanhas maliciosas abusando do nome do Uber são bloqueados nos produtos da Kaspersky Lab como o Kaspersky Internet Security, que também oferecem o recurso Safe Money, para proteger pagamentos e uso de cartões de crédito online.

Anúncios