Por que HTTPS não quer dizer “site seguro”Como saber se um site é seguro?
Tudo começou com uma mensagem via SMS: “proprietario [meu número de celular] voce recebeu uma msg importante Nubank vizualize tinyurl.com/xxxxx”. Os erros de grafia e o link encurtado via TinyURL são suficientes para um usuário experiente saber que é golpe, mas resolvi morder a isca.
Site com golpe do Nubank tem cadeado de conexão segura
O link leva a uma página que imita a interface do Nubank, pedindo seu CPF e senha. O navegador mostra o cadeado indicando que a conexão é segura: o certificado é da CloudFlare, que oferece proteção SSL gratuita para sites hospedados no serviço.
Como dissemos antes, o cadeado não quer dizer que o site é seguro: ele significa apenas que as informações trafegarão criptografadas pela internet até chegarem ao seu destino — neste caso, o ponto final é um ladrão de dados. É possível usar ferramentas online para gerar números válidos de CPF; isso serve para testar software em desenvolvimento ou para investigar golpes de phishing sem ceder dados pessoais. A página exige pelo menos 8 caracteres no campo de senha; depois, ela pede os quatro dígitos da senha do cartão. A reviravolta, para mim, veio depois que o site pediu meu endereço de e-mail: ele me levou para uma página imitando o Google e solicitando a senha. O golpe dentro do golpe me deixou surpreso.
Site falso do Nubank pede selfie com RG ou CNH
Não parou por aí: a página dizia que meu dispositivo não estava autorizado, por isso tinha que enviar uma selfie com RG ou carteira de motorista (!). Eu acessei o site de phishing duas vezes: no celular, mandei foto da minha mesa; no desktop, enviei uma imagem do novo Xiaomi Mi 10 Pro. Não importa qual imagem você envie, o site pedirá que você mande outra, dizendo: “a foto em que você deve segurar seu documento ao lado do seu rosto (selfie) deve ser tirada por você mesmo, sem cobrir o seu rosto com o documento”. Novamente, mandei uma foto da minha mesa (no celular) e do Mi 10 Pro (no desktop). Nos dois casos, apareceu a mesma mensagem: “A sua solicitação do procedimento de verificação Nubank foi concluída com Sucesso”.
Nubank recomenda usar canais oficiais
Caso você suspeite de phishing, o Nubank faz esta sugestão em seu blog oficial: “entre em contato com a empresa pelos canais oficiais de atendimento ou acesse a página pelo seu navegador, e não pelo link enviado”. A página do golpe tem domínio nubank.ibacesso[.]digital, registrado em dezembro de 2019. Como esse site parece ser novo, o Google Chrome ainda não avisa que é golpe: normalmente, o navegador exibe um alerta em vermelho nesses casos. No Firefox, eu não consegui abrir a página. Recebi um erro 1020 de acesso negado com um aviso do Cloudflare: “este site está usando um serviço de segurança para se proteger contra ataques online”. É mole?