O prazo para a entrega do Imposto de Renda Pessoa Física (IRPF) termina nesta quarta-feira (31), e momentos como este costumam ser oportunos para algumas quadrilhas aplicarem golpes nos contribuintes. A empresa de cibersegurança Kaspersky detectou o envio de mais de 10 mil e-mails maliciosos nesta última semana.

Essas mensagens eram enviadas pela quadrilha com informações sobre um suposto problema na declaração. Elas também vinham com um arquivo que, se baixado e executado, instalava o trojan bancário da família Guildma no computador da vítima.

Títulos como “Identificamos divergências no seu IRPF” ou “Problemas no seu IRPF” são alguns dos exemplos mais comuns nos e-mails direcionados para as vítimas.

Ao abrir a mensagem, a pessoa se depara com um ícone do falso arquivo PDF do relatório com as discordâncias na declaração. Se o contribuinte clicar no ícone, ele instalará o Guildma em seu computador.

De acordo com os relatórios que detalham essa ameaça, ela utiliza técnicas bastante avançadas para impedir que sua operação seja interrompida. “O malware é como um exército. Ele pode estar posicionado no campo do inimigo, mas só atacará depois que receber o comando da liderança. Sendo assim, sempre tentamos bloquear a comunicação entre malware e centro de comando – que tecnicamente chamamos de servidor C2 (comando & controle)”, explica o diretor da Equipe Global de Pesquisa e Análise para a América Latina da Kaspersky, Fabio Assolini.

Centro de comando

Assolini ainda explica que os fraudadores também criam páginas falsas no Facebook ou canais no YouTube para desempenharem o papel de centro de comando. “Assim, quando eles querem algo, postam uma mensagem codificada, e apenas os programas saberão qual ação tomar. Como essas plataformas são grandes e bem populares, não é simples tirar uma página do ar. Esse tempo adicional fornece aos criminosos mais tempo para executar o golpe”, conta.

O diretor da equipe de investigação da Kaspersky descobriu novas técnicas que visam a garantir a disponibilidade do centro de comando nessa campanha de phishing usando o tema do Imposto de Renda de 2023.

Ele revela que com o uso de técnicas como fastflux e doubleflux é possível criar servidores C2s de maneira infinita. Dessa forma, em uma única mensagem dessa campanha maliciosa foram identificados quase 150 endereços e mais de 75 domínios distribuindo o malware.

“Empresas que estão acostumadas a realizar o bloqueio por link suspeito/malicioso provavelmente não conseguirão evitar a instalação ou as fraudes, pois basta o Guildma usar um endereço ou domínio livre entre as centenas que estão disponíveis. Isso mostra a real necessidade de contar com informações detalhadas do funcionamento das novas ameaças para o bloqueio eficaz dos ataques”, destaca.

Quatro dicas para se proteger de ameaças relacionadas

A Kaspersky fez uma lista com quatro recomendações para os contribuintes se protegerem deste tipo de golpe:

1 – Para baixar o software da declaração do Imposto de Renda, o contribuinte deve evitar os sites de busca ou de downloads. O mais seguro é buscar o instalador diretamente no site oficial;

2 – Não clique em links ou baixe arquivos enviados por desconhecidos. Mesmo que um link pareça real, prefira entrar no navegador e digitá-lo manualmente;

3 – Não compartilhe dados confidenciais, como logins, senhas, informações de cartões bancários e dados pessoais. As empresas evitam pedir esse tipo de informação por e-mail;

4 – Proteja-se com um antivírus de qualidade que irá bloquear tanto links maliciosos quanto a instalação de malware em todos os dispositivos. Além disso, dê preferência para produtos com proteção avançada para operações financeiras, que protegem as transações no Internet Banking.

Desconfie sempre

O diretor da equipe de investigação da empresa de cibersegurança reforça que os órgãos oficiais, geralmente, não pedem dados pessoais ou enviam links externos ou documentos por e-mail, em anexo. “Se você recebeu um potencial e-mail de banco ou órgão governamental, já desconfie”, diz.

Assolini também recomenda que a pessoa ignore e-mails com pedidos de credenciais ou para clicar em um link. “Links maliciosos estão por toda parte, para roubo de dados pessoais ou bancários, então é importante que você não forneça essas informações”, completa.

Na visão dele, a melhor coisa que uma pessoa pode fazer para se defender desse tipo de ataque é verificar o site oficial da Receita, digitando manualmente a URL no navegador ou pelo aplicativo oficial, que também pode ser baixado pelo site real.

O diretor ainda explica que um sistema de ciberproteção pode fazer a diferença ao clicar em um link malicioso. Isso porque ele é capaz de avisar à vítima que aquele site pode ser um golpe. “Mas também é essencial ter consciência de onde estamos entrando ou clicando antes de compartilhar qualquer informação”, ressalta.