Um recente relato viral compartilhado pelo usuário do TikTok, Steve, revela um novo nível de sofisticação em golpes de phishing. Os dias de e-mails mal escritos, cheios de erros gramaticais e lógicos, ficaram para trás. Agora, os golpistas aprenderam a imitar endereços de e-mail de suporte ao cliente reais – neste caso, do próprio Coinbase.
O golpe de phishing por voz, conhecido como ‘vishing’, segue um padrão consistente. A vítima recebe uma mensagem de voz automatizada de um número dos EUA alegando ser do Coinbase, alertando sobre atividades suspeitas na conta. Em seguida, o golpista faz uma ligação ao vivo, fingindo ser um membro da equipe de suporte do Coinbase, afirmando que houve uma tentativa não autorizada de alterar o e-mail e o número de telefone da vítima. O golpe se desenrola de forma simples – enquanto tenta ‘parar’ a suposta tentativa não autorizada, os golpistas gradualmente ganham a confiança da vítima e coletam informações. Eventualmente, após várias ligações de diferentes números e várias formas de ‘confirmar’ que os golpistas eram legítimos, a tentativa de phishing atinge seu auge, e a vítima é solicitada a fornecer sua frase-chave da carteira.
Steve, usuário do TikTok, permaneceu desconfiado e reconheceu que pedir uma frase-semente é a lei inviolável do cripto: ‘não são suas chaves, não é seu cripto.’ Ceder essa frase-semente significa perder o controle sobre seus ativos digitais. No entanto, a mistura de medo e urgência – pare a ameaça agora! – pode levar as pessoas a revelar informações que nunca compartilhariam de outra forma.
As tentativas de phishing se baseiam em dados vazados. A confiança é construída com base em informações, e durante as interações, os golpistas frequentemente se referem a dados pessoais importantes. Eles usaram o nome real e o endereço de e-mail de Steve, obtidos por meio de dados vazados, para parecer legítimos. O Coinbase já sofreu várias violações significativas de dados no passado, incluindo um grande vazamento de informações privadas em maio. A empresa estima que golpes de engenharia social lhes custam mais de 300 milhões de dólares anualmente. Também foi divulgado que dados pessoais de até 97.000 usuários foram expostos por meio de funcionários de call center subornados ou comprometidos.
A marca Coinbase é uma parte fundamental do esquema, com golpistas usando sites e e-mails que se assemelham muito aos reais. Os fraudadores supostamente enganam os usuários por meio de e-mails clonados, IDs de chamadas falsificadas, sistemas PBX e até frases-semente pré-geradas.
Para derrotar golpes de phishing, nunca divulgue sua frase-chave. Além disso, use uma carteira não custodial. Investidores de criptomoedas experientes podem se proteger da maioria dos ataques mantendo suas chaves pessoalmente e não dependendo de terceiros. Usar uma carteira com os recursos de segurança mais recentes em criptografia também é importante. Felizmente, o aplicativo Best Wallet oferece segurança MPC e biométrica – e é totalmente não custodial. O Best Wallet Token ($BEST) oferece o melhor dos dois mundos – uma carteira web3 não custodial, sem KYC, combinada com as mais recentes medidas de segurança em criptografia.