Cuidado! Como perdi R$ 6 mil por causa de um erro de digitação
Quem é descuidado o suficiente para ter seus dados bancários roubados pela internet é trouxa. Isso é o que venho dizendo há anos até isto acontecer comigo hoje. O mais assustador é que o método dos bandidos é a prova de antivirus e às boas normas de conduta segura na internet.
Já trabalhei como Analista de Suporte Técnico anos atrás e sempre fui muito criterioso com questão de segurança. Meus computadores sempre tiveram antivírus, firewall, eu apago emails suspeitos e até denuncio suspeita de phising constantemente no Gmail. O que eu não esperava era que um erro de digitação de um único caractere fizesse mais de R$ 6 mil desaparecerem de minha conta.
Ao acessar o banco eu deveria ter digitado www.santanderempresarial.com.br e acabei digitando www.santaderempresarial.com.br. Não notou a diferença? Obviamente eu também não percebi. Quem diria que deixar de digitar um único “N” seria tão caro?
Sou cliente do Santander e ontem o banco inteiro, incluindo as agências, estiveram fora do ar (ao menos aqui em Curitiba). Ao tentar acessar o banco via internet foi pedido que eu sincronizasse o token. Normal, eu pensei, isso acontece de tempos em tempos: o relógio do token não é tão preciso quanto o do servidor do banco e eles saem de sincronia após meses ou anos. De tempos em tempos tenho que digitar duas vezes o código do token com um intervalo de tempo específico para que o servidor do banco volte a aceitar o token em seguida. Juntando isto ao fato de que o banco estava fora do ar ontem pensei que talvez eles necessitassem sincronizar todos os tokens dos clientes novamente.
O problema é que digitei estes dados em um site falso. O nome de domínio fraudulento santaderempresarial.com.br realmente existe como você pode conferir e foi registrato junto a autoridade Registro.br que cuida dos nomes de domínios de internet brasileiros. Ao visitar o site fraudulento ele mostra um site idêntico ao do banco e fui enganado com um método totalmente low tech.
ATUALIZAÇÃO 26/abr às 17h26: Ambos os sites já saíram do ar.
ATUALIZAÇÃO 28/abr: Denunciei o domínio no Registro.br e recebi esta pérola deles: “Se ao final do procedimento forem constatadas irregularidades, o(s) dominío(s) associado(s) a essa entidade será(ão) cancelados e a entidade removida de nosso sistema. Domínios cancelados ingressarão em processo de liberação.” em outras palavras isto quer dizer que o domínio voltará a ser disponibilizado para outro troglodita continuar utilizando erros de digitação para roubar senhas. Falta bom-senso, Sr. Registro.br.
ATUALIZAÇÃO 29/abr: Em nossa enquete acima até o momento 1 em cada 10 afirmam que tiveram seus dados bancários roubados pela internet. É muita gente! Parece que os bancos estão assumindo o prejuízo na maioria dos casos e ressarcindo seus clientes.
DESCUIDO ELEMENTAR
Deixei de observar se eu estava em uma conexão segura (que mostra HTTPS:// no começo do endereço do banco). Todos os bancos utilizam conexões seguras para o acesso de sua conta.
A boa notícia é que uma parte deste dinheiro, cerca de R$ 4 mil foi bloqueada pelo departamento de segurança do banco, que me ligou logo em seguida, que o TED foi feito. O restante possivelmente será extornado também. Dedos cruzados.
Mande este artigo para os amigos, pois se tem pilantra que faz site fingindo ser o Santander também devem fazer com muitos outros bancos. Aprenda com meu erro e lembre: quem tiver seus dados bancários roubados pela internet depois de ler este artigo é trouxa! [ilustração de elhombredenegro]
22 comentários
Realmente se der bobeira o cara cai. Meu e-mail já recebeu links falsos do BB e do Bradesco, denunciei os dois no site da Polícia Federal.
hahaha nunca terei esse problema…. Sou cliente do HSBC =D
Vivemos em um mundo MISERÁVEL,em que as chamadas AUTORIDADES do governo,nesse arremedo de país e lá fora,SÃO CÚMPLICES dos ladrões:Respondam uma pergunta:SE não existissem VÍRUS de computador e assemelhados, quantos milhões de dólares, deixariam de ser pagos a empresas como a Norton, por exemplo?A QUEM interessa que os autores de programas maliciosos CONTINUEM existindo?
Meu metodo é o mais seguro do mundo para nao ser roubado pelo banco nem pelos vigaristas da internet , eu simplesmente nao tenho conta em banco =)
Aí acontece igual aquela “tia” na tailândia que perdeu mais de 100mil por que os cupins comeram todas as cédulas hehehe
Existe uma forma de acesso seguro aos bancos também. seria, por exemplo, http://www.santander.b.br
os há pouco tempo o Brasil aprovou esse novo tipo de domínio (b.br) que é de uso EXCLUSIVO de banco, isto é, você precisa comprovar que é uma entidade bancária para poder usar esse domínio.
Fica a dica.
baita idéia
Infelizmente não funciona para o empresarial.
Eu até ontem conseguia entrar nesse site falso, notei que nenhum botão funcionava senão os campos de senha. Hoje retiramam o site do ar.
Engraçado que se eu colocar no url do browser http://www.santaderempresarial.com.br altera para http://www.santanetempresarial.com.br/ e dá erro.
Essa do site falso o banco também tem culpa. Óbviamente os bancos devem prevenir os seus clientes denunciando os sites falsos. Também tenho esse cuidado, e já me aconteceu esquecer uma letra e deu erro de site. Até porque o meu é muito fácil de enganar http://www.millenniumbcp.pt/ , com 2 ll’s e 2 nn’s. Há outro link que penso ser verdadeiro apesar de nunca me ter habituado http://www.bcp.pt/ .
Amigo, acho que o “Santader” sem o N ainda rouba menos que o Santander real. O original me tirou 3 mil de juros de cartão de crédito, quase a mesma coisa :'(
Galera, a Google oferece suporte pra denunciar este tipo de fraude conhecida como Phishing:
http://www.google.com/safebrowsing/report_phish/?hl=pt-br
No GMAIL (e-mail da Google) tem a opção para denunciar cada conversa de e-mail como Phishing no canto superior direito da conversa. Não acredite em e-mails, ninguém usa e-mail para solicitações confidenciais de valor material sem que você tenha aprovado expressamente.
Pôxa Marcelo, que dureza. Felizmente o seu azar não foi tão grande assim, poderia ser perda total. Console-se. Espero de coração que o restante seja devolvido também.
De consolo, você sabe, acontece nas melhores famílias.
Valeu as dicas, a da senha errada é campeã.
Putz cara que zica!! Valeu pelo toque!
O mais absurdo mesmo é tal site estar no ar; eu pensava que havia algum tipo de fiscalização de registro de domínios; principalmente, quando se trata de nomes de grandes corporações.
Será que nem o SANTANDER verifica esse tipo de coisa?
Por via das dúvidas, eu nunca acesso banco via internet. Tenho um colega formado em Ciência da Computação e com altos conhecimentos de informática (para não dizer hacker) que não usa nem mesmo cartão de crédito de tanta desconfiança; já que ele conhece as manhas para se roubar senhas. Uma vez, ele deu uma demonstração de captura de informações via WiFi que eu fiquei de ‘queixo caído’ de ver o quanto estamos vulneráveis.
Uma alternativa bem segura (pelo menos contra vírus) é usar um sistema Linux com boot por pendrive ou CD (como o KURUMIN) para toda vez que for acessar conta bancária ou usar cartão de crédito via internet. Mas, além de ser trabalhoso, não evita esse tipo de golpe.
Esse tipo de golpe o antivírus não pega!
Não importa se tem firewall, antivirus, anti-tudo, segurança na porta de casa, enfim…
Para o sistema de segurança do computador o usuário está tentando apenas acessar um site, enviar informações e receber algo. O site não invade o computador, não existe um vírus. O que acontece é que um usuário está enviando informações por livre e espontânea vontade para um site (sem querer, obviamente) e esse site só guarda as informações da conta.
Eu utilizo um artifício bem simples que previne alguns tipos de ataque que é o seguinte:
– A primeira tentativa de acesso à sua conta entre com a senha errada!
É só isso mesmo! Pois se o site é realmente do banco que você quer acessar vai saber que aquela senha não corresponde com a que eles tem no banco de dados deles.
Se entrar na sua conta, mesmo com a senha falsa, você já sabe que o site só simulou um login para pegar sua senha e conta.
Espero que essa técnica ajude mais alguém.
PS: Essa técnica é um complemento de segurança, não se deve dispensar outros meios de proteção.
pode criar um link “favorito”.
e o erro foi mais ao sincronizar…
o que posso dizer, essa grana tu não vai vê mais, morreu num paypal da vida…
A técnica que o Rodrigo ensinou aqui abaixo deve funcionar neste caso. Mas errar a senha é realmente uma dica excelente.
Nossa, eu fiquei abismado com esse lance, realmente o site é registrado no registro.br. Tambem sou assim meio neurótico com seguranca, ja fui mais antigamente, hj em dia so uso antivirus mesmo q é o MSE da MS que dá conta bem do recado alem desses cuidados comuns de bom usuário.. mas fazendo os testes aki tambem pra ver se eu cairia ou nao nessa armadilha, algo me deixou feliz e passa despercebido por algumas pessoas.. alem de usar o antivirus, eu uso complementos tb nos navegadores, e o de seguranca que recomendo é o MCAFFE SITEADVISOR. é free, funfa em qualquer navegador, eu uso o IE9 e o chrome e em ambos, ele é ativado. coloquei a url maliciosa para tentar acessar o site e ele me reportou que poderia ser um site que poderia roubar meus dados. tanto no chrome como no IE, ou seja, eu recomendo que se use tb esses complementos nos navegadores, em especial o mcaffe siteadvisor por ser free e simples, é instalar e pronto, é mais uma barreira contra essas coisas!
e como nao é removido do ar ou preso o criador do site ?
Provavelmente o site está registrado em nome de laranja ou por roubo de identidade mesmo. Isto é fácil de fazer tendo um CPF válido ou gerando um automaticamente, mas é o primeiro lugar para investigar. O site devia estar armazenado em um servidor no exterior, o que dificulta muito o rastreamento dos autores. E no final eles devem fazer tudo usando proxys anonimos o que torna muito dificil rastrear.