Uma estratégia de roubo de dados via WhatsApp, SMS e e-mail tem como alvo usuários no Brasil e na América Latina. O método utiliza arquivos de imagem, principalmente no formato SVG, para direcionar vítimas a páginas falsas e capturar credenciais de acesso a contas bancárias.

VEJA MAIS:

• Mais de 60 reclamações foram registradas contra centro automotivo
• Inscrições para curso gratuito da Raízen irão até amanhã (18)

O formato de imagem SVG permite a inserção de códigos ocultos em sua estrutura. Diferente de formatos tradicionais como JPEG ou PNG, o SVG pode executar comandos que redirecionam o navegador para sites externos sem a necessidade de downloads de aplicativos ou instalações.

Ao clicar na imagem, o usuário é levado a uma interface que replica o design de instituições financeiras ou prestadoras de serviço. Os dados inseridos nesses formulários são enviados diretamente aos criminosos, que realizam movimentações financeiras no home banking da vítima.

Temas utilizados para enganar usuários

As abordagens exploram situações cotidianas e períodos sazonais para induzir o clique. Entre os conteúdos mais comuns estão:

• Cartões virtuais de Natal e Ano Novo;
• Notificações sobre faturas de energia, água ou internet em atraso;
• Comprovantes de pagamento e documentos corporativos fictícios;
• Alertas de urgência sobre interrupção de serviços.

• Clique aqui e receba, gratuitamente, as principais notícias da cidade, no seu WhatsApp, em tempo real. 

Barreiras de segurança e detecção

A fraude apresenta eficácia porque o formato SVG é lido como um arquivo de imagem padrão pela maioria dos sistemas operacionais e navegadores. Isso permite que o código malicioso evite o bloqueio de filtros automáticos que costumam identificar arquivos executáveis (como .exe ou .apk).