Golpe do PayPal usa Docusign para contornar a segurança

Os burlões são como as baratas: não importa quantas vezes pensamos que os esmagámos, eles encontram uma forma de voltar a entrar na nossa vida. E, ultimamente, têm vindo a utilizar um velho truque para contornar a segurança do seu correio eletrónico e roubar o seu dinheiro suado. O esquema mais recente? Uma mistura sorrateira de phishing do PayPal e uma plataforma de confiança que provavelmente já utilizou antes: Docusign.

Sim, você leu certo. Os golpistas agora estão usando o Docusign - um serviço criado para facilitar sua vida - para fazer com que seus e-mails de phishing pareçam legítimos. É como se um lobo aparecesse à sua porta vestindo uma camisola de ovelha, completa com um monograma. Mas não se preocupe, estamos aqui para ajudá-lo a identificar a lã que está sendo puxada sobre seus olhos.

Como funciona o último golpe do PayPal

Aqui está o passo a passo: Os golpistas criam uma conta Docusign e usam seus modelos para enviar faturas falsas do PayPal. Como os e-mails são tecnicamente provenientes da Docusign, eles passam pela maioria dos filtros de segurança de e-mail como uma lontra lubrificada. Depois de abrir o e-mail, o utilizador é recebido com um documento que parece ser do PayPal, com logótipos e linguagem que soa a oficial. Mas aqui está o ponto alto: o endereço de correio eletrónico é uma pista falsa.

Como Pieter Arntz, um investigador de inteligência de malware da Malwarebytes, salienta, estes e-mails vêm frequentemente de um endereço aleatório do Gmail - não é exatamente o tipo de coisa que se espera de uma empresa de mil milhões de dólares como o PayPal. E se aprofundar um pouco mais, irá reparar noutros sinais de alerta, como o endereço "Para" que não corresponde ao seu e-mail ou que nem sequer existe.

Porque é que este velho truque ainda funciona

Pode estar a pensar: "Isto parece uma coisa de 2010. Porque é que ainda existe?" Bem, os burlões apostam em duas coisas: confiança e distração.

Primeiro, a Docusign é uma plataforma de confiança. Quando se vê um e-mail deles, é menos provável que se questione a sua legitimidade. Em segundo lugar, sejamos realistas - estamos todos ocupados. Quem tem tempo para analisar cada e-mail? Os burlões sabem disso e usam-no em seu proveito.

Mas aqui está a boa notícia: este esquema é fácil de detetar se souber o que procurar.

Sinais de alerta a que deve estar atento

1. Endereços de e-mail suspeitos: Se o e-mail alegar ser do PayPal, mas vier de um domínio do Gmail ou de outro domínio que não seja do PayPal, trata-se de um golpe.
2. Não é necessária assinatura: O Docusign serve para assinar documentos. Se o e-mail não exigir uma assinatura, algo está errado.
3. Endereço "Para" incompatível: Se o e-mail não for dirigido a si, não é para si.
4. Tácticas de pressão: Os burlões adoram a urgência. Se o e-mail exigir uma ação imediata, dê um passo atrás e verifique.

Como se proteger de golpes do PayPal

• Vá direto à fonte: Se você receber um e-mail suspeito, não clique em nenhum link. Em vez disso, inicie sessão na sua conta PayPal diretamente (não através do e-mail) para verificar se existem problemas.
• Verifique o documento: Se o e-mail incluir um link da Docusign, acesse Docusign.com e insira o código de segurança do documento manualmente. Se ele for falso, você receberá uma mensagem de erro.
• Ativar a autenticação de dois factores: Isto adiciona uma camada extra de segurança às suas contas.
• Comunicar actividades suspeitas: Se detetar uma fraude, comunique-a ao PayPal, à Docusign e ao seu fornecedor de correio eletrónico.

O panorama geral: O phishing está a evoluir

Embora este esquema possa parecer um regresso a tempos mais simples, o phishing como um todo está a evoluir. Como Paul Walsh, CEO da MetaCert, salienta, o velho conselho de "procurar erros ortográficos" está desatualizado. Os burlões estão agora a criar mensagens bem escritas e com aspeto profissional que são mais difíceis de detetar.

Além disso, o phishing já não é apenas um problema de correio eletrónico. Os burlões utilizam cada vez mais SMS, chamadas e até redes sociais para atingir as vítimas. Walsh argumenta que a inteligência tradicional contra ameaças não é mais suficiente para combater esses ataques, e novas soluções - como a autenticação de URL antes da entrega - são necessárias para ficar à frente do jogo.

O que o PayPal está fazendo

O PayPal não está de braços cruzados. A empresa utiliza uma combinação de investigações manuais e ferramentas avançadas de deteção de fraudes para proteger os utilizadores. Eles também lançaram iniciativas como a campanha Smarter Than Scams (Mais inteligente que fraudes), entre outras, para aumentar a conscientização sobre as tendências comuns de fraude.

Mas o ponto principal é o seguinte: independentemente do número de salvaguardas existentes, a melhor defesa é o utilizador. Mantenha-se atento, confie no seu instinto e lembre-se: se algo lhe parecer estranho, provavelmente é.

Conclusão: Esteja atento

Os burlões podem estar a voltar atrás no tempo, mas isso não significa que tenhamos de cair nos seus truques. Mantendo-se informado e seguindo alguns passos simples, pode ser mais esperto do que até mesmo o mais astuto dos fraudadores. Por isso, da próxima vez que receber um e-mail que lhe cheire a esturro, não morda o isco. Em vez disso, seja a pessoa que atrai o burlão, denunciando-o e prosseguindo com o seu dia, sem burlas.

Afinal de contas, a melhor forma de derrotar um burlão é certificar-se de que é ele que fica a sentir-se tolo. E, sinceramente, não há nada mais satisfatório do que isso.