Os cibercriminosos que aplicam golpes de phishing scam – o tipo de cibergolpe mais comum na web brasileira – adicionaram um novo grau de sofisticação. Agora, o internauta recebe um e-mail, supostamente de seu banco, com seu nome completo e o número do seu CPF, numa tentativa de legitimar a mensagem falsa.

A mensagem que está circulando na web usa o nome de um grande banco brasileiro, e tanto no campo Assunto quanto no corpo da mensagem apresenta o nome completo do destinatário, além do número do CPF. Isso torna o e-mail ainda mais convincente. Para piorar, as pesquisas indicam que o internauta brasileiro não sabe identificar uma falso comunicado.

"O número do CPF é muito importante. Com a posse dele é possível a um criminoso roubar sua identidade e causar muitos prejuízos, ou em alguns casos produzir mensagens personalizadas de phishing, como essa", explica Fabio Assolini, analista sênior de malware da Kaspersky Lab, que identificou a nova tendência.

Assolini explica que essa não é a primeira vez que internautas no Brasil recebem esse tipo de golpe usando dados pessoais. Ano passado, clientes da TAM foram alvo de mensagens maliciosas que mostravam não só o nome completo como também o número do cartão do programa de pontos por fidelidade. Em 2009, no mundo todo, foram enviados 3,9 bilhões de phishings.

"Esse tipo de informação sensível geralmente é fruto de incidentes de vazamento de dados – que podem ocorrer de diversas formas: desde um servidor invadido por cibercriminosos que roubam os dados até a perda de notebooks ou pendrives com informações corporativas", diz Assolini. 

Para o analista, o internauta não tem muito o que fazer para se proteger. Caso a empresa de e-commerce em que o internauta tenha feito o cadastro sofra um ataque e tenha o banco de dados roubado, o usuário torna-se uma vitima em potencial.

"No caso do CPF e outros dados temos um cenário pior: esse tipo de informação pode ser facilmente comprada pela internet ou em bancas de camelô", diz.