As campanhas de engenharia social que tentam aproveitar o contexto da pandemia para enganar usuários e fazê-los instalar aplicativos indesejados continuam ativas. Por isso, a ESET, empresa líder em detecção proativa de ameaças, alerta sobre um golpe que tem circulado pelo WhatsApp onde criminosos usam o nome da Adidas, popular marca de roupas e acessórios esportivos, para fazer com que usuários acreditem que estão ganhando máscaras reutilizáveis.

Na primeira mensagem, enviada pelo WhatsApp, percebe-se a escrita que mescla espanhol e português. A mensagem também inclui um link criado por sistema de redirecionamento com o objetivo de ocultar o endereço final ao qual se convida o usuário a entrar. Embora o endereço criado inclua palavras relacionadas à campanha, o nome da marca não aparece em nenhum lugar.

“Caso tenha chegado a esse ponto, é recomendável que o usuário busque mais informações sobre o benefício por meio das contas oficiais da empresa. Se legítima, essa ação provavelmente seria anunciada por meio de contas oficiais”, recomenda Luis Lubeck, especialista em segurança da informação da ESET América Latina.

Outro sinal de alerta é a falta de informações sobre o alcance geográfico da suposta campanha da Adidas. Fala-se de \"todo o país\" sem especificar quais. Isso provavelmente se deve à intenção dos operadores por trás desta campanha de maximizar a distribuição do boato a vários países de língua espanhola.

Com a intenção de saber o objetivo final do engano, a ESET acessou o link para ver como funcionava e foi levada a uma tela de boas-vindas. Ainda que o site possua um certificado SSL (cadeado verde à esquerda da URL) buscando gerar maior confiança em suas possíveis vítimas, não é um site oficial da empresa, e por meio da análise do certificado (as informações podem ser acessadas clicando no cadeado) é facilmente confirmado que não corresponde à Adidas.

“Como visto em outras campanhas com características semelhantes, por meio de um contador que supostamente diminui a medida em que as máscaras são entregues, o golpe tenta fazer a pessoa avançar sem analisar muito os riscos diante da possibilidade de perder a oportunidade de obter o benefício. O interessante (e, definitivamente, recomendado como mais um ponto de verificação) é que, ao recarregar o site, o número de máscaras disponíveis volta a aumentar, o que confirma que se trata de uma informação falsa”, comenta Lubeck.

Se o usuário clicar no botão que diz \"Iniciar\", encontrará um formulário para preencher e seguir em frente para obter o benefício tão desejado. Assim que terminar, o usuário será forçado a compartilhar o golpe com seus contatos do WhatsApp se quiser acessar as supostas máscaras.

A ESET enfatiza que a metodologia utilizada pela campanha para distribuir o engano a torna mais eficaz, visto que as potenciais vítimas recebem uma mensagem de um contato conhecido, o que em muitos casos causará a sensação de que se trata de algo legítimo.

“Para não ser vítima desse tipo de golpe, é importante estar atento e aprender a reconhecer mensagens fraudulentas antes de clicar ou compartilhar, ao URL ao qual é convidado a acessar e às características da mensagem, para encontrar indícios de que podemos estar enfrentando um engano. Por outro lado, recomenda-se fazer uma busca na Internet, seja para confirmar se a campanha é legítima, seja em busca de publicações que confirmem que se trata de uma ação falsa ”, recomenda o pesquisador da ESET.

A ESET dá os seguintes conselhos para não cair nestes tipos de golpes:
Desconfie de ofertas muito boas e que chegam por meios não oficiais. É importante lembrar que as empresas costumam divulgar ofertas e promoções por meio de seus canais oficiais, seja no site ou nas redes sociais. Portanto, se for uma ação legítima, é mais provável que você encontre informações por meio de um desses canais.
Evite clicar em links suspeitos, mesmo que sejam de alguém que você conhece. Como visto neste caso, a campanha é distribuída graças ao próprio usuário compartilhar a mensagem com seus contatos.
Instale uma solução de segurança nos dispositivos conectados à Internet que você utiliza, mantenha-os atualizados e evite compartilhar informações, links ou arquivos sem certeza de sua origem.