Criminosos brasileiros têm utilizado notas fiscais eletrônicas falsas para roubar dados pessoais e invadir contas bancárias. O golpe, que envolve um malware chamado CarnavalHeist, foi descoberto por pesquisadores da Cisco, empresa americana do ramo de tecnologia e cibersegurança. Os hackers usam a infraestrutura de comando da zona Brazil South do Azure, a plataforma de computação em nuvem da Microsoft, para controlar os computadores infectados e atacar instituições financeiras brasileiras. Os golpistas também costumam utilizar gírias locais para descrever nomes de bancos. A seguir, confira o que se sabe até agora sobre o malware e veja como se proteger do golpe.
![Novo golpe brasileiro utiliza falsas notas fiscais para roubar dados e invadir contas bancárias; saia como se proteger — Foto: Reprodução/iStock](https://s2-techtudo.glbimg.com/0vYjIbUuCygotGDQlDw74eGpswI=/0x0:2022x1264/984x0/smart/filters:strip_icc()/i.s3.glbimg.com/v1/AUTH_08fbf48bc0524877943fe86e43087e7a/internal_photos/bs/2022/v/6/1nij2OQPuyFBeCgCVW1g/istock-936338884-e1626902959770.jpg)
📝 Como passar antivírus no celular? Tire dúvidas no Fórum do TechTudo
Como o CarnavalHeist foi descoberto?
Pesquisadores da Cisco identificaram as primeiras fraudes envolvendo o CarnavalHeist em fevereiro deste ano e notaram um aumento significativo do crime nos meses seguintes, com pico em abril. A origem do golpe foi logo atribuída ao Brasil, já que as táticas e técnicas utilizadas eram semelhantes a outros ataques bancários no país. Outro indício de autoria brasileira é que a infraestrutura de comando da zona Brazil South do Azure, a plataforma de computação em nuvem da Microsoft, é utilizada para controlar os computadores infectados, que têm como principal alvo instituições bancárias brasileiras. Os pesquisadores também identificaram que os criminosos costumam usar gírias locais para designar os bancos atacados.
![Gráfico mostra a incidência de ataques do malware em 2024 — Foto: Reprodução/Cisco](https://s2-techtudo.glbimg.com/Mo6L1IBY9TA5fgQwbkDaQ9_lzEk=/0x0:1000x509/984x0/smart/filters:strip_icc()/i.s3.glbimg.com/v1/AUTH_08fbf48bc0524877943fe86e43087e7a/internal_photos/bs/2024/t/J/d7BWESSimyAA8t0BF7uQ/golpe-trojan-cisco-3-1-.png)
Como o golpe acontece?
A fraude da nota fiscal falsa começa a partir do envio de um e-mail não solicitado, tratando de assuntos financeiros. A mensagem inclui um link malicioso, que aparece encurtado pelo serviço IS.GD. Especialistas da Cisco identificaram algumas URLs comumente utilizados pelos golpistas. São elas:
- https://is[.]gd/38qeon?0177551.5510;
- https://is[.]gd/ROnj3W?0808482.5176
- https://is[.]gd/a4dpQP?000324780473.85375532000
![E-mail com link malicioso redireciona usuário para página com malware — Foto: Reprodução/Cisco](https://s2-techtudo.glbimg.com/gPMbLiZlDcHpqSB-M1tuIFfV7Ms=/0x0:865x508/984x0/smart/filters:strip_icc()/i.s3.glbimg.com/v1/AUTH_08fbf48bc0524877943fe86e43087e7a/internal_photos/bs/2024/p/V/oq4rGvSS6TWcX61GhiMQ/golpe-trojan-cisco-1-.png)
Ao clicar nesses links maliciosos, o usuário é direcionado para um servidor que hospeda uma falsa página da web onde o golpe ocorre. Segundo os especialistas, diversos sites diferentes têm sido utilizados pelos criminosos, mas todos contêm falsas notas fiscais eletrônicas.
O usuário é induzido a baixar um arquivo que executa o próximo estágio da infecção, tentando esconder a execução do malware. Primeiro, o texto "visualização indisponível" é gravado em um arquivo chamado "NotaFiscal.pdf" no diretório "Downloads". Na sequência, o PDF é aberto para visualização, fazendo o usuário acreditar que o documento foi realmente baixado. Enquanto isso, outro processo de instalação do programa é iniciado de forma minimizada e o componente malicioso é executado.
![Golpe induz usuário a clicar em falsa Nota Fiscal para infectar computadores e roubar dados — Foto: Reprodução/Cisco](https://s2-techtudo.glbimg.com/DnylfiVPF8tvAwBqMok0n_r7xus=/0x0:657x376/984x0/smart/filters:strip_icc()/i.s3.glbimg.com/v1/AUTH_08fbf48bc0524877943fe86e43087e7a/internal_photos/bs/2024/D/0/k94z8oQomDYVJg1z0RWw/golpe-trojan-cisco-2-1-.png)
Como se proteger do CarnavalHeist?
Para se proteger de golpes como o CarnavalHeist, é importante desconfiar de e-mails de contatos não solicitados e evitar clicar em links ou baixar arquivos de remetentes desconhecidos, principalmente se as mensagens forem sobre assuntos financeiros. Também é recomendável manter o antivírus do computador atualizado para detectar e bloquear malwares.
Caso uma URL pareça suspeita, o ideal é não a acessar e procurar o site digitando o nome diretamente no navegador. Usuários também podem habilitar a autenticação em duas etapas para adicionar uma camada extra de segurança às suas contas bancárias e outros serviços importantes. É aconselhável se manter informado sobre as últimas ameaças online e seguir boas práticas de segurança para proteger seus dados e finanças.
Com informações de Cisco.
Veja também: 'Caí no golpe do Pix, e agora?' Veja o que fazer e como recuperar
!['Caí no golpe do Pix, e agora?' Veja o que fazer e como recuperar 'Caí no golpe do Pix, e agora?' Veja o que fazer e como recuperar](https://s03.video.glbimg.com/x240/12506618.jpg)
'Caí no golpe do Pix, e agora?' Veja o que fazer e como recuperar