- As linhas digitáveis dos boletos serão sempre parecidas
- O código de barras terá um “buraco” branco e será inválido
- O logo do banco não será sempre idêntico ao número do banco presente na linha digitável
- Ao ser corrompido, o código de barras fica com espaços em branco. Esses buracos são os responsáveis pelo erro de leitura pelos caixas eletrônicos ou aplicativos baseados no QR Code, por exemplo;
- As numerações modificadas das linhas digitáveis dos documentos são sempre parecidas. Assim, se ao emitir mais de um boleto você perceber um número muito similar, abra o olho;
- Por fim, os logos dos bancos nem sempre correspondem aos seu correto código de identificação.
Vírus é capaz de alterar boletos gerados na web e desviar os pagamentos
Praga que tem circulado no Brasil se destaca por também atuar no mundo offline, já que modificação do código continua mesmo com o documento sendo impresso. Uma praga digital enviada por um leitor da Linha Defensiva apresenta um comportamento até hoje desconhecido no Brasil: ela detecta quando um boleto é visualizado no navegador web, altera os números da linha digitável para desviar o destino do pagamento e corrompe o código de barras, impedindo o uso do mesmo.Com a alteração dos boletos, mesmo quem não utiliza internet banking pelo PC pode ser vítima do golpe. Se o boleto for impresso, por exemplo, ele continuará tendo os números incorretos e o dinheiro pago irá para uma conta diferente daquela que deveria receber o dinheiro.
O valor e o vencimento do boleto não são alterados, de modo que não é possível perceber a fraude facilmente.
Manipulação de boletos
O código não altera boletos de um site específico. Qualquer página que tiver uma linha digitável e a palavra “boleto” está sujeita a ser modificada. O vírus analisado pela Linha Defensiva envia os dados do boleto encontrados na página para um servidor, que informa ao vírus os novos dados para substituição. Esse processo acrescenta um pequeno atraso na exibição da página no navegador.
IMAGEM DA CAIXA PARA FINS DIDÁTICOS – QUALQUER BOLETO PODE SER ALTERADO
Boleto alterado, com detalhe para diferenças na linha digitável e código de barras.
Em um teste realizado pela Linha Defensiva, o código do boleto era sempre do Banco Santander, apesar de boletos terem sido gerados com números da Caixa, Banco do Brasil, Itaú e Bradesco. A praga digital pode usar qualquer banco como conta de destino, já que a substituição ocorre em tempo real. É possível que esse mesmo vírus utilize contas de outros bancos, conforme necessidade ou interesse dos golpistas.
Como as contas usadas ficam armazenadas no servidor, não é possível extrair uma lista de contas da própria praga digital.
A praga não consegue alterar o código de barras. Por isso, ela tenta quebrar o código de barras existente na página. Ela faz isso acrescentando um elemento HTML “spam”. Essa marcação não existe no HTML, mas o que quebra o código de barras é o caractere “ ” – um espaço. Na prática, há “buracos” no meio do código de barras. [clique aqui para ver o código e observe nas imagens desta página os buracos nos códigos de barras]
Boletos de contas de consumo (energia elétrica, telefone) não são alterados.
Funcionamento básico do vírus
Detalhe do malware na inicialização do Windows com nome aleatório.
Detalhe de nomes que ativam ações do vírus: Facebook, Live, boletos e ‘segundavia’.
A praga fica em constante contato com um servidor de controle, que armazena informações sobre cada computador infectado, entre elas o endereço IP, o nome do computador e a localização geográfica.
A Linha Defensiva recebeu duas amostras de vírus com esse comportamento. Uma delas tem pouco mais de 400 KB de tamanho, e a outra cerca de 500 KB.
A praga também possui funções que demonstram a tentativa de evitar a análise do código e não entra em operação imediatamente após ser executada, o que pode burlar alguns sistemas automáticos de análise de comportamento.
Detectando o golpe
Por limitações do vírus, é possível identificar o golpe de algumas formas:O ataque é especialmente notório por conseguir “pular” para o mundo off-line, prejudicando mesmo aqueles que não utilizam internet banking, mas fazem, por exemplo, impressão de segunda via de boletos pela internet.
Em circulação há pelo menos três semanas segundo o VirusTotal, as taxas de detecção são boas, embora o funcionamento do golpe não tenha sido divulgado por nenhuma empresa antivírus.
Outros exemplos de boletos alterados
A Linha Defensiva reforça que boletos
de qualquer banco podem ser alterados pelo vírus e que o número da linha
digitável muda conforme as contas bancárias que estiverem sob o
controle dos responsáveis pelo golpe. Os exemplos abaixo são fornecidos
para fins didáticos. Não tente identificar uma fraude pelo número da
linha digitável alterada ou pelo banco emissor. No caso de dúvidas,
entre em contato com a empresa cedente do boleto – não com o banco – e
compare a linha digitável completa do boleto pago com o fornecido pela
empresa. Caso seja confirmada a fraude, procure a polícia para realizar
um boletim de ocorrência e entre em contato com o local de pagamento do
boleto para verificar possíveis maneiras de revertê-lo.
Os boletos de testes foram todos gerados com valor de R$
420, emissão de 14/04 e vencimento 20/04. Esses valores não são
alterados pelo vírus.
Boleto de testes gerado com código Bradesco em máquina normal.
Boleto modificado, gerado em máquina infectada.
Boleto de testes original com código e logo Itaú.
Boleto modificado.
Boleto de testes original do BB.
Boleto modificado do BB. Quebra do código de barras falhou.
AmpliarComparação entre boleto verdadeiro e alterado. (Fonte da imagem: Reprodução/Linha Defensiva)
O site Linha Defensiva, especializado em segurança, alerta para o perigo de uma nova e inteligente praga virtual no Brasil. Em publicação desta manhã (15), o portal revela que o malware é capaz de alterar a numeração da linha digitável de boletos bancários acessados pelos navegadores, desviando o destino de pagamento.
Como funciona
A fraude foi muito bem planejada pelos criminosos. Primeiramente, o vírus verifica a presença de softwares de segurança dos bancos e tenta removê-los. Como se isso não bastasse, o invasor desabilita o firewall do sistema operacional, efetua uma cópia de si mesmo com um nome qualquer e configura esse “desmembramento” para ser iniciado junto com a inicialização do computador.Depois de se infiltrar no SO, a praga permanece monitorando as atividades realizadas no PC e detecta quando um boleto é aberto no browser. Ao perceber esse tipo de atividade, ele altera a numeração do documento e corrompe o código de barras, obrigando que a transação seja efetuada pelo primeiro recurso — o qual foi alterado para encaminhar o pagamento para uma conta fraudulenta.
Dessa forma, o grande problema é que mesmo ao imprimir o boleto você não escapará do golpe. Assim, até mesmo quem não utiliza o internet banking está suscetível a cair nessa armadilha. Na galeria de imagens abaixo, você pode conferir exemplos de boletos maliciosos.
Aprenda a se defender
A nova linha digitável aplicada pelo vírus não altera os dados legíveis do boleto, como valores, datas de vencimento ou nomes e logos dos bancos, dificultando a percepção da fraude. Além disso, o golpe não funciona a partir de um site ou navegador específico, o que permite a praga atuar com documentos de pagamento gerados a partir de qualquer instituição financeira.Para se defender dessa ameaça e identificá-la o mais rápido possível, o Linha Defensiva fornece algumas dicas importantes:
  |
Gostou dessa dica ? Então assine nosso blog via RSS ou Email Visite nosso amigos, faça parte do nosso Twitter. |
Seja o primeiro a comentar !
