Massimiliano Brolli:18 Outubro 2025 09:24
O crime cibernético está cada vez mais pairando sobre o infeliz mundo online. Perfis falsos e golpes são desenfreados nas redes sociais, que, mesmo com a melhor inteligência artificial, lutam para acompanhar um fenômeno que gera golpes de todos os tipos. Esta coluna tem como objetivo conscientizar todos sobre o número cada vez maior de golpes online, principalmente originados de e-mails e redes sociais. Isso será feito por meio de histórias em primeira pessoa contadas pelas infelizes vítimas, fornecendo uma lição final aprendida.
Autor : Massimiliano Brolli
Experiência de Pasquale
Olá pessoal, meu nome é Pasquale, tenho 55 anos e tenho uma conta bancária online há muito tempo e estou feliz com isso.
Sempre utilizei estes serviços bancários online, que me permitem tirar o máximo partido dos meus cartões de crédito (sou uma grande fã do cartão de crédito recarregável, porque me faz sentir mais segura) e a possibilidade de fazer transferências bancárias online, o que me permite apreciar a velocidade da internet a partir do conforto do meu sofá.
Digamos apenas que os códigos de confirmação se tornaram muito comuns ultimamente, mas também é verdade que, dadas as notícias que ouvimos sobre crimes cibernéticos e hackers, são soluções que nos permitem manter nossas carteiras seguras. Eu sei uma coisa ou duas sobre isso.
Agora vou contar o que aconteceu comigo há cerca de seis meses. Era um sábado chuvoso de abril e estava frio.
Eu não saí naquele dia porque não fazia sentido dado o dia sombrio.
Eu estava no computador lendo alguns artigos na internet, voando de uma rede social para outra, quando em determinado momento recebi uma mensagem de texto do meu banco que me dizia:
Prezado cliente, fomos atingidos por um grande ataque cibernético. Para nos permitir restaurar sua conta o mais rápido possível, faça login neste endereço e confirme sua conta. Caso contrário, você precisará ir a uma agência para que possamos restaurar sua conta.
No final, havia um link que apontava para um site.
Ao ler esta mensagem, corri para o site do banco, onde me pediram para confirmar meu nome de usuário e senha. Eu já sabia que eles me pediriam documentos que levariam uma semana para recuperar.
Acedi depois ao portal onde estava presente o site do banco e no centro estava um agradecimento por ter certificado as credenciais de acesso.
Senti-me aliviado mesmo quando me perguntei que danos os hackers poderiam ter causado aos computadores do meu banco, sem perceber que o alvo da fraude não era o banco, mas eu.
Volto a ficar online, vou ao Facebook e quase imediatamente recebo um telefonema de um número que não tinha no meu catálogo de endereços.
Foi uma garota que me contou em italiano
Prezado cliente, nós somos o banco [….] E agradecemos por acessar nosso site e certificar suas credenciais de login. Infelizmente, estamos fazendo tudo o que podemos para limitar os danos. Sabemos que você inseriu suas credenciais em nosso site, mas como alguns dos sistemas ainda estão nas mãos de cibercriminosos, queríamos saber se por acaso você recebeu um código de desbloqueio do banco.
Eu respondi:
“espere enquanto eu verifico”
Na verdade, outra mensagem de texto havia chegado, mas eu ainda não tinha verificado quem era. Eu respondi à garota, dizendo
“Sim, chegou. É o código de desbloqueio padrão que recebo para acessar minha conta.”
Ela me disse
“Sim, exatamente”
Ela gentilmente me pediu para fornecê-lo a ela para eliminar a possibilidade de hackers acessarem os fundos da minha conta, pois era um código de desbloqueio OTP. Em seguida, forneci o código para a garota, que me agradeceu e desligou o telefone.
Após cerca de dois ou três minutos, chegou um terceiro SMS confirmando a transação bem-sucedida de 5.000 euros para uma conta desconhecida.
Pouco depois, percebi que hackers haviam roubado US$ 5.000 da minha conta e que eu havia sido vítima de um ataque de “engenharia social”. Eu nunca tinha ouvido o termo antes, mas pelo que entendi, é um método de segmentar pessoas usando técnicas psicológicas e sociais. Desculpe se estou divagando, mas não sou especialista neste campo.
Naquela noite me senti muito mal porque, sim, lamentei os 5000 euros obviamente, mas o que mais me irritou foi a maneira como fui enganado.
Mais tarde, eles também me explicaram que era uma combinação de duas técnicas chamadas SMishing e Vishing, bMas até então os 5000 euros haviam sido perdidos para sempre e o banco não me devolveu um único euro.
O que Pasquale fez de errado?
- Pasquale não sabia que os cibercriminosos, usando um “senso de urgência”, tentam roubar a boa fé das pessoas e induzi-las a cometer fraudes. A partir desse momento, ele começou a suspeitar de mensagens pedindo-lhe para agir imediatamente;
- As credenciais (nome de usuário e senha) normalmente nunca são solicitadas pelos bancos por meio de sistemas interceptáveis, como SMS ou e-mail, portanto, ele deveria ter aumentado imediatamente seu nível de vigilância, pois provavelmente era um ataque de smishing. A partir desse momento, Pasquale nunca mais inseriu nenhum nome de usuário ou senha em nenhum site, com base em uma solicitação que recebeu por e-mail;
- Durante o telefonema, Pasquale foi tranquilizado pela garota, que muito gentilmente apelou para seu senso de urgência novamente, pedindo-lhe o código, que obviamente era o OTP enviado pelo sistema do banco assim que os criminosos iniciaram uma transação em sua conta. A partir desse momento, Pasquale começou a suspeitar cada vez mais de ligações feitas por desconhecidos.
Pasquale finalmente descobriu como se comportar nessas situações. Você vai fazer o mesmo?
Massimiliano Brolli
Responsável pela equipe de RED e Cyber Threat Intelligence de uma grande empresa de telecomunicações e laboratórios de segurança cibernética 4G/5G. Ele ocupou cargos gerenciais que vão desde Gerenciamento de Riscos de TIC até engenharia de software e ensino em programas de mestrado universitário.