A Polícia Federal alerta para o golpe nomeado de “Mão Fantasma” que está sendo aplicado por criminosos com a intenção de roubar credenciais bancárias e transferir o dinheiro das contas. Estima-se que 40 mil pessoas já foram vítimas da prática criminosa no Brasil.

Nomeado oficialmente de Ghost Hand Attack, a modalidade foi apresentada no Fórum Konferencia@Casa 2021 da Kaspersky. O golpe começa com a vítima recebendo uma ligação que a gravação aparenta ser de uma central telefônica de seu banco ou instituição financeira. Ao ser transferido para um atendente – que na verdade é próprio criminoso – ele informa que há movimentações estranhas como uma compra suspeita ou uma possível invasão na conta.  

publicidade

Leia mais:

“A técnica no final das contas é muito primária. Como as pessoas já são bombardeadas por ligações e mensagens de instituições financeiras, elas acabam acreditando naquele que está melhor camuflado. Então é muito mais uma coisa estética, a vinheta, a voz ser crível, o vocabulário correto. Existem mensagens gravadas que se assemelham muito às mensagens transmitidas pelos bancos, aí a vítima acaba entrando num fluxo de atendimento de fato. Isso nada mais é que uma engenharia social mas com uma roupagem um pouco mais apurada”, explicou Arthur Igreja, especialista em Tecnologia e Inovação, em entrevista para o Olhar Digital.

publicidade

Outra maneira de começar o golpe são mensagens de texto e e-mails com links falsos que levam para baixar aplicativos ou atualização de segurança

Com as abordagens descritas o golpista diz que é necessário realizar uma falsa atualização de segurança para o aplicativo do banco e convence a vítima a instalar um aplicativo (também falso) para que os problemas de segurança sejam resolvidos. 

publicidade

Entenda na matéria em vídeo como fugir do golpe:

O aplicativo utilizado é capaz de fornecer acesso do dispositivo ao criminoso. No podcast Segurança em Rede, episódio: “Fuja da Mão Fantasma” do Banco do Brasil, um cliente que quase caiu no golpe relatou que o aplicativo usado pelo criminoso foi o TeamViewer.

publicidade

Mas é só no TeamViewer?

“O golpe pode ser aplicado em qualquer aplicativo que conceda o acesso ao aparelho. Esse procedimento também pode ser feito por desktops em tablets e smartphones. O criminoso pode pedir senhas eletrônicas para o usuário”, afirma Igreja.

Com o aplicativo instalado, o golpista toma o acesso do celular em tempo real e começa a transferir os valores da vítima, solicitar empréstimos e realizar outras transações. 

Após o golpe ser aplicado, quais medidas podem ser aplicadas pela polícia para encontrar o criminoso que lesou a vítima?

“No caso do Team Viewer é possível rastrear. Afinal, para utilizar o software é necessário fazer uma concessão para uma determinada máquina, então você tem um IP fazendo o acesso você pode ter um usuário ou até uma conta registrada no TeamViewer, por exemplo. O rastreio começa por identificar qual numero ligou, mas é algo demorado. É possível ser feito dentro de uma investigação por pessoas tecnicamente capacitadas a fazer esse rastreio”, detalha o especialista em Tecnologia e Inovação.

Confira dicas da Polícia Federal para se proteger do golpe:

  • Os bancos nunca entram em contato solicitando a instalação de aplicativos ou enviam links para seus clientes sem que eles tenham pedido. Na dúvida, entre você mesmo em contato com seu banco pelo número de telefone que fica atrás do seu cartão ou compareça à sua agência para obter esclarecimentos.
  • Nunca instale aplicativos desconhecidos ou recebidos por mensagens instantâneas, SMS, WhatsApp ou e-mails.
  • Evitar baixar aplicativos bancários fora da loja oficial do sistema operacional do seu celular
  • Os aplicativos oficiais dos bancos já são seguros. Não há nenhum registro de violações de segurança registrados e não é necessário instalar nenhum aplicativo adicional para aumentar a segurança.
  • O cliente pode ver no próprio aplicativo, caso uma transação não tenha sido aprovada. Se não constar nada, é um sinal de que isso pode ser um golpe.
  • Sempre utilize a autenticação de dois fatores para autorização de transações.
  • Desenvolva o hábito de alterar as suas senhas regularmente, criando senhas fortes e as armazenando em segurança em um gerenciador de confiança.
  • Se já tiver sido vítima do golpe da “mão fantasma” ou de qualquer outra fraude financeira, procure uma delegacia especializada em crimes digitais e registre um boletim de ocorrência.

Ataque da Mão Fantasma é indetectável para instituições financeiras

Até o momento, apenas três famílias de RATs usadas em Ataques de Mão Fantasma foram detectadas pelas instituições: o grupo de trojans bancários Ghimob, BRata e TwMobo. Inicialmente atuando apenas no Brasil, hoje os três programas maliciosos já vitimaram pessoas e instituições na América Latina, Europa e nos Estados Unidos.

E por se tratar de operações diretamente do celular da vítima, é difícil para instituições financeiras detectarem que as transferências originam de fraudes. Os RATs não furam bloqueios de segurança ou de acesso pessoal diretamente do dispositivo infectado. Além disso, possuem acesso direto aos fatores de autenticação, como código SMS e email, podendo mudar as senhas para o que quiserem.

Cavalo de Tróia/símbolo de um cavalo de Tróia vermelho no fundo da placa de circuito do computador azul
Trojan bancário remoto Ghimob retorna com novos bancos como alvo. (Imagem: wk1003mike/Shutterstock)

Malwares surgiram em 2019, mas se intensificaram agora

Pioneiro dos malwares de Ghost Hand Attack, o BRata surgiu em 2019, e reapareceu atualmente com algumas modificações. O trojan aparece como app falso na própria Google Play Store e, ao infectar um dispositivo, permite total controle remoto do aparelho, redirecionando-o para páginas de phishing.

No seu ressurgimento, o BRata apareceu com seis linhas novas de código, para roubo de contas bancárias internacionais. O número de instalações deste app de Ataque de Mão Fantasma chegou a 40 mil.

O Ghimob é outro trojan remoto que age de maneira similar. Ao abusar do recurso de detecção de movimento do smartphone, usado para orientar pessoas com problemas de visão, o trojan rastreia os acessos de tudo o que a vítima vê e faz. Dessa maneira, captura senhas e padrões de desbloqueio.

“A principal novidade do Ghimob é a técnica utilizada para burlar a autenticação biométrica”, explica Assolini. “ Os criminosos ligam para as vítimas se passando pelo suporte técnico do banco e pedem para confirmar a identidade dela por meio de uma chamada de vídeo. Neste momento, gravam a ligação para usar o vídeo na autenticação bancária”.

TwMobo só é removido com reset de celular ou antivírus

Porém, o mais recente dos três Ghost Hand Attacks causa uma preocupação ainda maior. Batizado de “Duro de Matar”, os trojans TwMobo não só assumem o controle total do smartphone, mas também travam o dispositivo no Modo de Proteção.

O perigo deste último malware está no fato de que ele não mira apenas dados bancários e redes sociais, mas todo o comportamento da vítima. O trojan também capta visualizações e interesses da vítima para vender os dados a e-commerces, agindo como uma versão mais nefasta dos rastreadores do Facebook.

mulher usando celular com números na frente
Malware espiona redes sociais e páginas visitadas para vender dados a empresas. (Imagem: boyhey/Shutterstock)

Para piorar, os ataques desta família utilizam proteções mais avançadas que as anteriores. “O TwMobo fica oculto após a instalação,” alerta Assolini. “Como os criminosos tem controle do dispositivo e permissões de administradores, podem simplesmente ocultar o ícone em seu primeiro acesso remoto.”

O especialista avisa que, em todas as incidências desta variação, o Ataque de Mão Fantasma só foi removível por um reset de fábrica, ou com uma varredura de um antivírus atualizado.

Já assistiu aos novos vídeos no YouTube do Olhar Digital? Inscreva-se no canal!