20/02/2006
ALERTA: Golpe eletrônico utiliza nome do STJ para roubar dados pessoais

O Superior Tribunal de Justiça (STJ) informa que circula uma mensagem eletrônica simulando ser uma citação digital de processo supostamente em trâmite no Tribunal contra o destinatário.

O STJ não envia mensagens com esse teor. As únicas comunicações legítimas enviadas por e-mail pelo Tribunal dependem do cadastro dos usuários no "Sistema PUSH", e se limitam às "Notícias do STJ", "Informativo de Jurisprudência" e "Acompanhamento Processual", além das respostas de solicitações feitas aos diversos setores do Tribunal. Nenhuma delas segue o padrão visual utilizado no golpe.

A mensagem é facilmente detectável como falsa, mas pode confundir um usuário inexperiente. O e-mail reproduz o cabeçalho do site do STJ, mas traz como endereço (também falso) o inexistente stjd.gov.br.

O teor do e-mail que chegou ao conhecimento da Assessoria de Comunicação Social neste domingo 19 é datada de 17 de fevereiro, e "informa" que, de acordo com a lei "1745692-BR", "entrou em vigor" um processo de número "005869/1973 (danos morais)" na "segunda vara penal", e pede que o usuário siga um link para mais informações sobre o julgamento e o "cancelamento do processo por erros do sistema". E ameaça afirmando que o não comparecimento "no lugar indicado no relatório poderá implicar em chamada de segunda estância e/ou recolhimento da sociedade". O e-mail simula ainda ser assinado pelo presidente do STJ, ministro Edson Vidigal.

A página de destino é hospedada em um endereço coreano e também imita o visual do site oficial do STJ. No entanto os links para os "relatórios" apontam na verdade para programas - hospedados em um endereço russo - que, provavelmente, roubam senhas, nomes de usuário e outros dados pessoais, utilizados em crimes conhecidos como "phishing scams". O uso dos dados roubados pode comprometer a segurança bancária e das informações pessoais dos usuários da rede, como o CPF.

O mesmo tipo de golpe costuma envolver instituições como o Tribunal Superior Eleitoral (TSE), Receita Federal, Banco Central do Brasil (Bacen), Banco do Brasil (BB), Caixa Econômica Federal (CEF), Serasa/SPC, IBGE, empresas de informática, serviços eletrônicos e de telefonia, instituições financeiras, cartões virtuais, avisos de traição amorosa, entre muitas outras.

Prevenção

A criatividade dos fraudadores dificulta a definição de meios infalíveis para se evitar os golpes. No entanto alguns pontos podem ajudar na identificação desses "phishing scams":

· Endereço de e-mail: apesar de poder ser também simulado, verifique se o endereço eletrônico do remetente corresponde ao do órgão em questão. Verifique também se o e-mail do destinatário é apenas o seu e se corresponde a um endereço fornecido por você à instituição.

· Barra de status: o rodapé dos navegadores e programas de e-mail costuma apontar o destino dos links, apesar de alguns possuírem falhas que também permitem a falsificação dessa informação. Mesmo assim, verifique se corresponde ao do site oficial da instituição. Também nunca clique em um link que aponte para um arquivo com final ".exe", ".pif", ".com", ".bat", ".src", ".rar", ".dll".

· Programas de proteção: mantenha sempre programas "firewall" e antivírus ativos e atualizados com freqüência. Também atualize seu sistema operacional periodicamente.

· Texto confuso e mal-escrito: as mensagens geralmente trazem construções frasais ruins, com erros gramaticais e ortográficos, além de falhas conceituais relacionadas ao tema da instituição que tenta imitar. No golpe utilizando o nome do STJ, o processo "entrou em vigor" em uma suposta "segunda vara penal", por exemplo.

· Mantenha-se informado sobre fraudes pela internet: uma boa fonte é o recém-lançado www.antispam.br [link: http://www.antispam.br/tipos/fraudes/], mantido pelo Comitê Gestor da Internet no Brasil ( CGI.br), instituição oficialmente responsável pela coordenação e integração de todas as iniciativas de serviços da internet no País.

· No caso de dúvidas: entre em contato com a instituição por outro meio que não o endereço de e-mail fornecido, seja por telefone, fax, correio convencional ou mesmo pela página oficial da entidade. Neste último caso, certifique-se de digitar você mesmo o endereço, para evitar técnicas de programação que ofusquem o endereço de um site falso que imite o oficial.

Denuncie

Caso se depare com mensagens que considere fraudulentas, encaminhe cópia para os endereços mail-abuse@cert.br , do CERT (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil), ligado ao CGI.br, e crime.internet@dpf.gov.br , da Polícia Federal. Também comunique a instituição que está sendo utilizada no golpe.