‘Golpe do funcionário’ atinge clientes de bancos

Em um contato por telefone, um suposto funcionário do Itaú informou Marcella Centofanti de que a conta dela havia sido invadida e bloqueada por medida de segurança. “Ele citou o que saiu e entrou na minha conta nos últimos dias”, relata ela no Twitter. “Pix que eu fiz e recebi, com nomes e valores, além de débitos automáticos precisos nos centavos.”

Leia mais:

• Dez dicas para evitar ser vítima de golpes de Pix

• Malware bancário que só age no Brasil rouba Pix de vítimas

Em seguida, ele a orientou a entrar no aplicativo do banco — e ela confirmou que a conta realmente estava bloqueada. “Pediu que eu criasse uma nova senha, sem números sequenciais nem data de aniversário. Me orientou a não compartilhar esses dados com ninguém.”

Além disso, o golpista a incentivou a fazer um boletim de ocorrência (BO) e informou que o banco buscaria por possíveis ações fraudulentas em suas transações financeiras. Depois de supostamente analisar a conta, o cibercriminoso perguntou se ela havia acessado a conta a partir de dois iPhones dois dias antes. “Neguei. Segundo ele, esses telefones haviam acessado a minha conta, em Santo André.”

O golpista, então, perguntou se Marcella reconhecia três transferências em valores de R$ 9 mil a R$ 10 mil cada. “Citou os nomes e os bancos dos endereçados. Neguei veementemente, a essa altura completamente desesperada.”

A próxima orientação dada pelo falso funcionário buscava efetivar o golpe: segundo ele, Marcella deveria entrar na área de transferência do aplicativo para desfazer a transação. “Ele queria que eu fizesse a mesma transferência, com o mesmo valor, para a mesma conta. Dessa forma, o banco reconheceria a duplicidade e cancelaria a operação.”

A cliente diz que foi só nesse momento que ela passou a desconfiar. “Eu argumentei que aquela operação não fazia sentido. Como ele já havia me passado o protocolo da ligação, eu disse que ligaria para o Itaú para checar a veracidade da chamada. Pela primeira vez, senti um tom de nervosismo na voz dele.”

O golpista, então, disse que a ligação estava sendo gravada e que ele era um funcionário do Itaú tentando impedir uma operação ilegal. “Ele disse que se a operação não fosse cancelada até as 15h47 (algo assim, um número exato e próximo daquela hora), o Itaú não se responsabilizaria pela fraude.”

Marcella pediu para falar com a gerente e o suposto atendente disse que ia transferir. Ela desligou e ligou diretamente para o banco. “Antes que eu terminasse a história, a assistente me cortou: ‘O Itaú não pede para fazer uma transferência para cancelar outra. É golpe’.”

A funcionária disse, ainda, que muitos têm sido vítimas dessa fraude. “Perguntei como é possível eles saberem detalhes sigilosos da minha conta. ‘Nós não sabemos’, ela admitiu.” Em seguida, Marcella recebeu mais uma ligação: uma mulher que dizia ser a gerente informava que estava entrando em contato a pedido do departamento de segurança do Itaú. “Só bati o telefone.”

Marcella diz que não faz ideia de como isso aconteceu. “Nenhuma outra pessoa tem acesso ao meu app. A senha de lá era única. Não clico em links de banco.” Ela destaca que o golpista não pediu nenhum dado e fingia estar preocupado com a segurança bancária dela. Segundo ela, o acesso ao extrato bancário do dia a fez acreditar na veracidade da chamada. “O Itaú identificou o acesso do bandido. Como ele capturou a minha senha? Ainda é um mistério.”

Engenharia social

O golpe usa engenharia social e é altamente sofisticado. Como os golpistas apresentam detalhes reais das movimentações financeiras dos clientes, a tendência é de que eles acreditem — o que pode levá-los a fazer as operações financeiras indicadas pelos golpistas. No Twitter, o depoimento de Marcella acompanha relatos similares de outros clientes.

O Itaú tem enviado alertas de fraudes aos clientes. Em fevereiro, por exemplo, a instituição já fez comunicados sobre o golpe do funcionário e o golpe do boleto. Antes mesmo de Marcella ser vítima da tentativa, em 7 de fevereiro, o banco já havia alertado sobre essa modalidade (em 2 de fevereiro).

Segundo o Itaú, as análises relacionadas ao caso não encontraram falhas internas nem possibilidade de participação de funcionários na fraude. “Faz parte do modus operandi desse tipo de golpe obter as informações do próprio cliente, e esta é a razão pela qual o criminoso telefona para a vítima tentando se passar por funcionário da instituição.”

A companhia reforça, ainda, que, se o cliente receber ligação com esse tipo de abordagem ou estiver em dúvida sobre a veracidade de um contato, deve desligar imediatamente. “A partir de outro aparelho telefônico, deve entrar em contato com a central de atendimento ou com seu gerente bancário.”

Vale lembrar que o bloqueio da conta bancária de um cliente pode ocorrer se forem realizadas diferentes tentativas de acesso com credenciais erradas. E isso pode ser feito a partir de qualquer aparelho com o aplicativo do banco: basta ter os números da agência e da conta da vítima. O acesso à conta bancária, por sua vez, é possível com o uso de malwares de acesso remoto ou vírus que capturam dados inseridos.