Em entrevista ao IDG Now!, Roni Katz, engenheiro de sistemas da McAfee e membro do AntiVirus Emergency Response Team da Network Associates, revela como funcionam as pegadinhas virtuais que utilizam falsos e-mails para ludibriar correntistas e como os internautas devem evitar estas armadilhas.

IDG Now! – Nos últimos tempos têm crescido o número de clientes de bancos, vítimas de roubos de dados pessoais. Como ocorre o golpe?
Roni Katz – Primeiro é feita a captura [cópia] do site de um banco, o que é bastante simples já que o Internet Explorer permite que a página possa ser salva. Então, o infrator monta um servidor web e, utilizando uma URL idêntica à do home banking original, coloca o site na rede. O próximo passo é disparar e-mails com o endereço falso, geralmente pedindo para o cliente efetuar um recadastramento para poder concorrer a algum tipo de premiação. O cliente, então, digita o número da conta e a senha. Ele tenta várias vezes e sempre dá erro. Pronto, o criador do site falso passa a ter os dados da conta do usuário, podendo sacar o dinheiro.

IDG Now! – Mas como eles evitam serem pegos pela polícia?
RK – O esquema funciona da seguinte maneira: De posse dos dados da conta, o falsário vai até a agência bancária. Normalmente bem vestido, ele aborda um cliente do banco e diz que a mãe está no hospital e que ele precisa sacar o dinheiro que o tio vai depositar, explicando à pessoa que não possui conta na agência. Então, o farsante pergunta ao cliente se ele autoriza efetuar um depósito na sua conta e, após verificação do saldo, constatando a transferência, ter o dinheiro sacado da conta e entregue a ele. Imaginando ser um ato de boa fé, já que no extrato consta um "doc" no valor, o cliente, "laranja" na operação, acaba entregando o dinheiro ao falsário. O resultado é que a partir daquele momento o culpado da fraude passa a ser o cliente abordado na agência bancária, enquanto que a pessoa que começou tudo com o roubo dos dados da conta bancária, desaparece com o dinheiro.

IDG Now! – Por que os bancos têm sido alvos desses golpes?
RK – Porque envolve dinheiro. Ao invés de assaltar a carteira, o falsário, utilizando-se de um recurso tecnológico, rouba os números de uma conta e saca o dinheiro, sem uso de violência.

IDG Now! – A que você atribui o fato de muitas pessoas caírem nesses golpes?
RK – As pessoas acham que tudo que está na web é verdade e caem nessas armadilhas. Com o aumento do número de provedores gratuitos, mais pessoas usam internet hoje em dia, sendo que nem sempre têm nível cultural e conhecimento tecnológico suficientes. Claro que tem muita coisa legal na web, mas também têm gente que usa a rede para enganar as pessoas.

IDG Now! – E quem paga a conta? Os bancos se responsabilizam pelos prejuízos dos clientes?
RK – Não. Na minha opinião o banco não pode ser responsabilizado por que alguém capturou o site dele e usou para ludibriar o cliente. O máximo que ele pode fazer, mas também não é obrigatório, é colocar um banner no site, alertando que o usuário tome cuidado ao acessar o home banking. Além disso, nenhum banco usa o e-mail como canal de comunicação para pedir ao cliente para fazer recadastramento ou para divulgar algum tipo de promoção. Normalmente, eles enviam cartas ou disparam essas ações dentro do site, por meio de pop-ups, e nunca fora.

IDG Now! – Como o cliente de banco pode evitar cair nessas armadilhas?
RK – Bom senso é a dica. Não confie em tudo que está na internet. É importante prestar atenção na digitação do endereço correto do site. Uma "letrinha" a mais pode fazer muita diferença. Além disso, os correntistas devem evitar acessar sites de home banking em cibercafés e aeroportos, já que pode haver um programa instalado para capturar senhas.

Seguindo o padrão dos spams que usam instituições financeiras como alvo, a mensagem falsa oferece seguro de vida grátis para o cliente. “Para isso, basta clicar aqui, e entrar com os dados de sua conta Itaú e confirmar o seguro para você e toda sua família”, informa o e-mail.

No momento, o link www.iitau.com.br presente no e-mail falso apenas direciona o internauta ao site de uma empresa chilena, chamada Pfenniger S/A.

Por meio de um comunicado, o Banco Itaú informa que nunca envia esse tipo de mensagem para clientes. “Quando o Banco envia link por e-mail, nunca solicita, de uma só vez, o conjunto agência/conta e senha eletrônica. Na página inicial do Itaú nunca são solicitados outros dados além da agência e conta, sendo que a senha eletrônica deve ser inserida sempre através do teclado virtual”, alerta.