Cuidado com avisos falsos de renovação do Malwarebytes em seu calendário

Tomámos conhecimento de uma campanha fraudulenta que envia convites de calendário falsos que se fazem passar pelo Malwarebytes e tentam induzir os destinatários a ligar para um número fraudulento de “suporte de faturação”.

Já escrevemos sobre como os convites do calendário podem ser usados ​​para fins de phishing e até mesmo sobre como os convites do Google Agenda podem ser usados ​​como armas para roubar dados privados.

As quantias nesses convites falsos são grandes e chamam a atenção, geralmente várias centenas de dólares por vários anos de serviço.

Os golpistas querem que você acredite que uma cobrança considerável já foi realizada, para que você reaja imediatamente, em vez de pensar criticamente.

O objetivo é fazer com que você ligue, em vez de clicar em um link. A descrição do calendário parece um recibo, mas o verdadeiro apelo à ação é sempre o mesmo: pedir-lhe que ligue imediatamente para um número para contestar ou cancelar a cobrança.

Depois de ligar, o golpista pode pressioná-lo em tempo real. Eles podem pedir detalhes de pagamento, convencê-lo a instalar software de acesso remoto ou manipulá-lo para enviar dinheiro.

Qual é a aparência do convite de calendário falso

O corpo do convite do calendário está repleto de detalhes falsos que pretendem parecer que vieram de um sistema de cobrança:

• Várias linhas de ID, como ID de membro, UID do cliente, ID do cliente, número de serviço
• Uma sequência de transações inventadas ou códigos de conta

A linguagem e a formatação gritam um script fraudulento copiado e colado, em vez de comunicação profissional.

Existem várias inconsistências que você pode procurar:

Frase não natural ou incorreta:

• “Duração da associação: 4 anos”
• “Estamos emocionados por ter você conosco por mais um ano!” (em um aviso de renovação de 4 anos)
• “Seus benefícios de associação permanecem totalmente ativos.”

Capitalização e formatação inconsistentes:

• “QUATRO ANOS (todas em maiúsculas)”
• “04 Ano”
• “US$ 344,55”

Números de telefone escritos com pontuação ímpar:

• 1.810.228.8708
• 1 865 3849684

Saudações e encerramentos excessivamente efusivos e genéricos:

• “Prezado senhor/senhora”, “Saudações a todos”, “Olá”
• “Atenciosamente”, “Muita gratidão”, “Sempre grato”, “Com alegria, cumprimentos”

Individualmente, qualquer um deles pode ser apenas uma escrita desleixada. Ver muitos deles juntos em um aviso de cobrança não solicitado é um forte indicador de fraude.

O que acontece se você ligar para o número

O convite do calendário em si não cobra nada. Seu objetivo é induzi-lo a ligar para o número de telefone do golpista.

Depois que você estiver na linha, várias coisas podem acontecer.

Roubar cartão de pagamento e dados bancários

Um script comum é assim:

Você liga, chateado com a enorme “renovação”.

O golpista concorda que é um erro e diz que pode “reverter a cobrança”.

Eles então pedem:

• O número completo do seu cartão, data de validade e CVV.
• Sua conta bancária e número de roteamento.
• Senhas únicas enviadas pelo seu banco “para confirmar o reembolso”.

Depois de terem essas informações, eles podem:

• Faça compras ou saques não autorizados.
• Inscrever você em outras assinaturas fraudulentas.
• Use os detalhes do seu cartão para mais roubos de identidade.

A falsa renovação é apenas um pretexto para fazer com que a entrega de dados financeiros pareça razoável.

Convencendo você a enviar dinheiro diretamente

Em algumas versões, o golpista finge reembolsar muito. Eles podem:

• Peça para você fazer login no banco on-line enquanto eles estão ao telefone.
• Oriente você a movimentar dinheiro ou manipular sua conta, às vezes com software de acesso remoto.
• Alegue que houve um erro e você deve “devolver” o reembolso excessivo, geralmente por meio de métodos incomuns, como cartões-presente, criptomoeda, transferência eletrônica ou aplicativos de pagamento ponto a ponto.

O resultado é que você envia dinheiro de verdade para resolver um problema que nunca existiu.

Obtendo acesso remoto ao seu computador

Os golpistas do tipo suporte técnico geralmente aumentam a chamada solicitando que você instale ferramentas legítimas de acesso remoto, como AnyDesk, TeamViewer e outras.

Eles afirmam que precisam de acesso:

• para cancelar a assinatura
• para verificar sua conta
• ou para ajudá-lo a processar o reembolso

Uma vez na sua máquina, eles podem:

• Capture senhas e cookies de sessão
• Mova arquivos ou instale malware
• Manipule o que você vê em seu navegador (por exemplo, editando HTML para “provar” que um reembolso foi realizado)

Quanto mais tempo permanecerem conectados, mais danos poderão causar.

Coletando informações pessoais para fraudes posteriores

Mesmo que você desligue antes de fornecer os dados bancários, o golpista ainda pode tentar extrair:

• Nome completo, endereço e data de nascimento
• Endereços de e-mail e senhas para “localizar sua conta”
• Respostas a perguntas comuns de segurança (primeira escola, nome de solteira da mãe, etc.)

Combinadas com outros dados violados, essas informações podem ser usadas posteriormente para:

• Fraude em novas contas (como abertura de empréstimos ou cartões de crédito em seu nome)
• Controle de contas de seu e-mail, armazenamento em nuvem ou outros serviços
• Ataques de phishing direcionados que fazem referência à chamada anterior

Construindo confiança para fraudes futuras

Não se deixe enganar. A pessoa ao telefone geralmente parece paciente, educada e profissional. Eles estão tentando convencê-lo de que trabalham para a empresa mencionada no convite e normalizar a ideia de que você deve ligar para eles sempre que houver um problema de cobrança.

Depois de ganharem sua confiança, eles podem:

• Ligue de volta semanas ou meses depois com uma nova história
• Venda seus dados para outros golpistas que sabem que você provavelmente responderá

A única constante: eles querem que você aja de forma rápida e privada. O objetivo é apressar você a lidar com eles, e somente com eles, em vez de verificar de forma independente com seu banco ou com a empresa real.

Como reconhecer golpes de calendário

Empresas legítimas enviam faturas e confirmações de renovação como e-mails, mensagens no aplicativo ou notificações de conta. Eles não os enviam como compromissos de calendário criados por pessoas aleatórias usando endereços de e-mail privados.

As bandeiras vermelhas incluem:

• A “fatura” aparece como um evento no Google Agenda, Outlook ou outro aplicativo de calendário.
• O título parece um status de transação em vez de uma reunião:
  • “Aviso de renovação de assinatura: (código aleatório)”
  • “Pagamento processado com sucesso: (código aleatório)”
  • “Renovação aprovada: (código aleatório)”
• Você não agendou este evento sozinho.

Se um “recibo” aparecer no seu calendário em vez de nos canais normais de cobrança, trate-o como suspeito por padrão.

Como remover entradas falsas do seu calendário

Incluímos instruções em nosso artigo sobre como remover entradas falsas de sua agenda, que abordam como fazer isso no calendário do Outlook, no calendário do Gmail, no calendário do Android, no calendário do Mac e nos calendários do iPhone e iPad.

Como evitar spam de calendário

Já cobrimos um pouco disso, mas os principais cuidados são:

• Desative a adição ou o processamento automático para que os convites permaneçam como e-mails até você aceitá-los.
• Restrinja as permissões do calendário para que apenas pessoas e aplicativos confiáveis ​​possam adicionar eventos.
• Em calendários compartilhados ou de recursos, remova o acesso público ou anônimo e limite quem pode criar ou editar itens.
• Use uma solução antimalware atualizada em tempo real com um componente de proteção da web para bloquear domínios maliciosos conhecidos.
• Não se envolva com eventos não solicitados. Não clique em links, abra anexos ou responda a eventos suspeitos da agenda, como “investimento”, “fatura”, “pagamento de bônus”, “reunião urgente” – apenas exclua o evento.
• Habilite a autenticação multifator (MFA) em suas contas para que invasores que comprometam credenciais não possam abusar da própria conta para enviar ou aceitar convites automaticamente.

Para uma dica:Se não tiver certeza se um evento é uma fraude, você pode colar a mensagem no Malwarebytes Scam Guard. Isso pode ajudá-lo a decidir o que fazer a seguir.

COIs

Os números de telefone envolvidos nesses golpes são:

• (810) 228-2614
• (810) 228-8708
• (810) 268-6113
• (865) 384-9684
• (865) 385-0070

Não apenas denunciamos golpes, nós ajudamos a detectá-los

Os riscos de cibersegurança nunca devem ultrapassar as manchetes. Se algo parecer duvidoso para você, verifique se é uma fraude usando o Malwarebytes Scam Guard. Envie uma captura de tela, cole conteúdo suspeito ou compartilhe um link, mensagem de texto ou número de telefone e diremos se é uma fraude ou se é legítimo. Disponível com Malwarebytes Premium Security para todos os seus dispositivos e no aplicativo Malwarebytes para iOS e Android.