Ofertas de vagas de emprego estão se tornando uma arma atraente para o cibercriminoso brasileiro. Na semana passada, por exemplo, o DFNDR Lab – laboratório de segurança digital da PSafe – identificou um golpe que prometia acesso a um processo seletivo em uma grande rede de supermercados atacadista. Em quatro dias, pelo menos um milhão de pessoas acessaram o link malicioso.

• Malwares bancários brasileiros são sofisticados e o tipo favorito dos nossos cibercriminosos
• A brecha que simula sites e dribla o HTTPS é bem perigosa – e consegue enganar o Firefox

De acordo com o laboratório, o site apresentava uma página que simulava uma pesquisa com três perguntas: “Você é maior de idade?”, “Já trabalhou registrado?” e “Tem disponibilidade para fazer horas extras?”. A promessa era a participação em processo seletivo para vagas com remuneração de até R$ 2.800. Durante todo o 2º semestre de 2017, foram detectadas ameaças do mesmo tipo, seja com ofertas em grandes empresas, como a Coca-Cola, ou via correntes espalhadas pelo WhatsApp com vagas em grandes redes de supermercado, como o Carrefour.

Na semana passada, o pessoal da Kaskpersky detectou uma oferta em outra rede varejista que prometia salários entre R$ 1.982 e R$ 2.435, com início imediato.

Mas por que o cibercrime está procurando as pessoas que, em tese, estão sem grana e buscando uma oportunidade? Acontece que o buraco é mais em baixo: eles querem construir uma base para novos ataques e é melhor ficar esperto com as notificações que você recebe pelo seu navegador.

Isso porque os cibercriminosos estão começando a utilizar as notificações push dos browsers para disseminar novos ataques. É comum que o primeiro passo se dê em um site malicioso que pede a sua autorização para enviar notificações, mas de uma força disfarçada.

Neste golpe da rede atacadista, depois que a vítima respondia à pesquisa, vinha outra pergunta: “Gostaria de agendar uma entrevista?”. Clicando na opção “Sim, claro”, a pessoa estava autorizando o envio de notificações por meio de seu navegador. A partir deste momento, o cibercriminoso consegue enviar outras mensagens, dando prosseguimento ao mesmo golpe ou enviando novas supostas oportunidades.

O esquema não para aí: a página ainda costuma pedir para que a vítima compartilhe a vaga com seus contatos e grupos do WhatsApp. De vez em quando, o processo se inverte e o primeiro passo é o compartilhamento: para ter acesso a entrevista, é preciso enviar o link para um determinado número de amigos.

Exemplo de site que solicita compartilhamento para liberar o acesso. Imagem: DFNDR Lab

As armadilhas se apropriam de nomes de grandes empresas, como Assaí, Coca-Cola, Carrefour, entre outras, para aparentar credibilidade e enganar usuários que buscam por processos seletivos. Em conversa com o Gizmodo Brasil, Fabio Assolini, pesquisador de segurança na Kaspersky, conta que o mote de vaga de emprego já ocorre há muito tempo, em diversos ataques e em diferentes plataformas, tanto para distribuir conteúdo malicioso ou quanto para roubar dados para fazer phishing:

“O ataque é mais comum no começo do ano, porque essa é a época em que as pessoas mais procuram emprego e há mais vagas disponíveis. A novidade é a forma como o golpe está chegando ao usuário. Um link pode chegar por email, rede social, SMS, WhatsApp e as novas campanhas utilizam o recurso de notificações dos navegadores modernos. Todos, com exceção do Internet Explorer, suportam a funcionalidade.”

Por que notificações?

A vantagem é clara: uma vez que o usuário sincroniza os dados entre os navegadores do computador e do celular, as notificações podem chegar em qualquer um dos dispositivos. É muito fácil disparar novas mensagens. Além disso, o pedido para o envio de notificações push se tornou praticamente padrão entre os sites de notícia; é difícil acessar uma página e não se deparar com um pedido do gênero. Como o usuário se acostumou a recebê-las, às vezes não percebe que as mensagens estão vindo de um site estranho e confiam.

As notificações também têm outra vantagem: o usuário comum geralmente não sabe desativar os alertas. É preciso entrar em diversos menus e se aprofundar nas configurações do navegador para retirar essa permissão.

No Chrome, acesse Configurações, depois Avançado, Configurações de Conteúdo e, então, Notificações; no Safari acesse as Preferências, depois vá na aba Sites e então Notificações; no Firefox é preciso ir em Preferências, Privacidade e Segurança, rolar até a seção Permissões e clicar em Configurações na parte de Notificações.

• Como bloquear as irritantes solicitações de notificações de sites no Chrome

Ganhando dinheiro

A receita das notificações é bastante eficaz para fazer uma grana. O pesquisador da Kaspersky aponta que existem três principais formas de se ganhar dinheiro a partir desse esquema.

É muito comum que se alugue essa audiência, por exemplo. Uma vez que um cibercriminoso conseguiu ativar as notificações em milhares de dispositivos, ele permite o envio de um novo golpe por uma certa quantia de dinheiro.

Outra forma é exibindo uma página falsa, com uma mensagem mostrando a conclusão do processo, mas com inúmeros anúncios publicitários. A cada visualização de página ou clique em um anúncio, alguns centavos entram na conta do atacante. Apesar de não haver um prejuízo financeiro direto para quem acessa o site, não há nenhuma das recompensas prometidas no início.

Em outros casos, se repete esse lógica, mas se solicita a instalação de um app: ao término dos compartilhamentos ou da resposta à pesquisa, o usuário sofre uma série de redirecionamentos que levam em conta se ela está em um celular ou computador, além de sua localização geográfica e oferece a instalação de um aplicativo. Esse app pode ser legítimo, daqueles que possua um sistema de afiliados que paga por instalação, mas podem ser também arquivos maliciosos que roubam dados dos usuário.

Outra possibilidade é quando a página final solicita o número de celular da vítima. É comum que, ao chegar nesta fase, a pessoa não tenha percebido se tratar de um golpe e de fato colocar o seu número. E então passam a receber serviços de SMS premium que cobram um valor semanal – geralmente variam entre R$ 2,99 a R$ 5,99 – para receber mensagens com notícias ou outros SPAM.

Além de tudo isso, os dados também sempre podem ser úteis para novos phishings.

Em pelo menos dois desses casos, a vítima não tem um prejuízo financeiro – e quando tem, é baixo. E como bem nota Assolini, o perfil do cibercriminoso brasileiro é daquele que atira para todos os lados – então não importa muito se estão atingindo um público de alta ou baixa renda. O pesquisador lembra ainda que é muito comum ataques de phishing para clientes de cartões American Express, que geralmente é um público de alta renda. O interesse sempre é o lucro rápido e fácil.

Conversando com o pessoal da ESET, o alerta especial é para as mensagens suspeitas recebidas via WhatsApp – vetor comum para esse tipo de ataque e que possui alcance gigantesco no país. “O app de mensagens é um dos mais utilizados e, portanto, é intensivamente usado por cibercriminosos. Embora a engenharia social por trás dessas campanhas seja particular e se concentre em aproveitar a busca de emprego que muitas pessoas fazem, segue a mesma linha de outras campanhas que vimos antes, oferecendo cupons de desconto”, conta Camilo Gutierrez, Chefe do Laboratório da ESET na América Latina.

O ditado popular segue válido: quando a esmola é demais, o santo desconfia.

Imagem do topo: Marcos Santos/USP Imagens