Criminosos brasileiros têm utilizado notas fiscais eletrônicas falsas para roubar dados pessoais e invadir contas bancárias. O golpe, que envolve um malware chamado CarnavalHeist, foi descoberto por pesquisadores da Cisco, empresa americana do ramo de tecnologia e cibersegurança. Os hackers usam a infraestrutura de comando da zona Brazil South do Azure, a plataforma de computação em nuvem da Microsoft, para controlar os computadores infectados e atacar instituições financeiras brasileiras. Os golpistas também costumam utilizar gírias locais para descrever nomes de bancos. A seguir, confira o que se sabe até agora sobre o malware e veja como se proteger do golpe.

Como o CarnavalHeist foi descoberto?

Pesquisadores da Cisco identificaram as primeiras fraudes envolvendo o CarnavalHeist em fevereiro deste ano e notaram um aumento significativo do crime nos meses seguintes, com pico em abril. A origem do golpe foi logo atribuída ao Brasil, já que as táticas e técnicas utilizadas eram semelhantes a outros ataques bancários no país. Outro indício de autoria brasileira é que a infraestrutura de comando da zona Brazil South do Azure, a plataforma de computação em nuvem da Microsoft, é utilizada para controlar os computadores infectados, que têm como principal alvo instituições bancárias brasileiras. Os pesquisadores também identificaram que os criminosos costumam usar gírias locais para designar os bancos atacados.

Como o golpe acontece?

A fraude da nota fiscal falsa começa a partir do envio de um e-mail não solicitado, tratando de assuntos financeiros. A mensagem inclui um link malicioso, que aparece encurtado pelo serviço IS.GD. Especialistas da Cisco identificaram algumas URLs comumente utilizados pelos golpistas. São elas: 

• https://is[.]gd/38qeon?0177551.5510;
• https://is[.]gd/ROnj3W?0808482.5176
• https://is[.]gd/a4dpQP?000324780473.85375532000

Ao clicar nesses links maliciosos, o usuário é direcionado para um servidor que hospeda uma falsa página da web onde o golpe ocorre. Segundo os especialistas, diversos sites diferentes têm sido utilizados pelos criminosos, mas todos contêm falsas notas fiscais eletrônicas. 

O usuário é induzido a baixar um arquivo que executa o próximo estágio da infecção, tentando esconder a execução do malware. Primeiro, o texto “visualização indisponível” é gravado em um arquivo chamado “NotaFiscal.pdf” no diretório “Downloads”. Na sequência, o PDF é aberto para visualização, fazendo o usuário acreditar que o documento foi realmente baixado. Enquanto isso, outro processo de instalação do programa é iniciado de forma minimizada e o componente malicioso é executado. 

Como se proteger do CarnavalHeist? 

Para se proteger de golpes como o CarnavalHeist, é importante desconfiar de e-mails de contatos não solicitados e evitar clicar em links ou baixar arquivos de remetentes desconhecidos, principalmente se as mensagens forem sobre assuntos financeiros. Também é recomendável manter o antivírus do computador atualizado para detectar e bloquear malwares. 

Caso uma URL pareça suspeita, o ideal é não a acessar e procurar o site digitando o nome diretamente no navegador. Usuários também podem habilitar a autenticação em duas etapas para adicionar uma camada extra de segurança às suas contas bancárias e outros serviços importantes. É aconselhável se manter informado sobre as últimas ameaças online e seguir boas práticas de segurança para proteger seus dados e finanças.