O que estão compartilhando: um site que permite às pessoas consultarem valores esquecidos em instituições financeiras.
O Estadão Verifica investigou e concluiu que: o site é falso. O endereço divulgado em uma postagem no Facebook não é oficial. O Banco Central informou que o único local onde se pode consultar e saber como solicitar a devolução de valores pessoais, de empresa ou de pessoas falecidas é o https://valoresareceber.bcb.gov.br. A empresa que hospeda o site falso na internet reconheceu o conteúdo como potencialmente danoso e o retirou do ar após o contato do Estadão Verifica. Um especialista em direito digital alertou para os riscos de se compartilhar CPF, chave Pix e demais dados pessoais em sites duvidosos.
Saiba mais: Uma pessoa no Facebook compartilhou um trecho do Jornal Nacional do dia 28 de fevereiro, no qual o apresentador William Bonner explica que o Banco Central disponibilizou um site para os brasileiros checarem se têm dinheiro esquecido em instituições financeiras e como podem recuperá-lo. Junto com o vídeo foi colocado um link de onde supostamente as pessoas poderiam fazer a consulta. Veja abaixo, uma imagem da postagem:
Ao clicar em “Saiba mais” as pessoas eram redirecionadas para um site simples e intuitivo onde no topo se lia “Consulta Brasil”, logo abaixo havia um passo a passo de como recuperar o dinheiro esquecido, um campo para inserir o CPF e um logo do Governo Federal no rodapé. Veja como era a página principal do site:
Após informar o CPF e clicar em “consultar agora”, o site mostrava quanto supostamente a pessoa tinha a receber e solicitava a chave Pix para dar encaminhamento ao saque. Em uma simulação feita pelo Verifica, o site informou que havia mais de R$ 2 mil reais a serem resgatados.
Site não tem legitimidade
O Verifica entrou em contato com o Banco Central (BC) para saber se o site era legítimo. A instituição respondeu que o único endereço para realizar a consulta é o https://valoresareceber.bcb.gov.br e explicou que o serviço de recuperação dos valores é totalmente gratuito. Portanto, as pessoas não devem fazer nenhum tipo de pagamento para ter acesso à quantia.
“NÃO clique em links suspeitos enviados por e-mail, SMS, WhatsApp ou Telegram”, destaca a nota do BC. Um dos fatores que despertava desconfiança no link divulgado na postagem do Facebook era o domínio, também chamado de endereço, do site.
O domínio do site oficial para o resgate de valores (https://valoresareceber.bcb.gov.br) tem um nome intuitivo que faz referência ao serviço prestado, e termina com .gov.br, o que indica que se trata de um endereço oficial do governo brasileiro. Já o domínio do site falso era https://promodecasal.store/aged/.
Coleta indevida de dados
O advogado especialista em direito digital e proteção de dados Marcelo Cárgano explica que a simples coleta de dados sem uma finalidade legítima e sem uma política que garanta a segurança das informações fornecidas já configura uma violação na Lei de Proteção de Dados (LGPD).
O site em questão não apresentava qualquer explicação sobre o motivo de estar solicitando o CPF e chave Pix das pessoas. Cárgano explica que o CPF é um identificador único. “Cada pessoa tem um CPF só e cada CPF identifica uma pessoa só. Com base no CPF você consegue levantar várias outras informações sobre uma pessoa”, explica ele.
Ele exemplifica que nas mãos erradas, o CPF pode ser usado para criar um cadastro falso de alguém com a finalidade de aplicar golpes.
Outro agravante do site é o fato de no rodapé ter um logo do Governo Federal, sinalizando de maneira enganosa que o site seria oficial. De acordo com o especialista, “caso um site imite marcas de outros sites reais para tentar ludibriar as pessoas isso pode ser considerado um crime”.
Site foi retirado do ar
Todo site na internet precisa ser hospedado em um servidor. A hospedagem do site alvo desta checagem é feita pela Atomicat. Em resposta ao Verifica, a empresa explicou que o conteúdo em questão estava violando suas políticas e termos de uso e que, portanto, iria retirar o site do ar.
“Apesar de nossos termos de uso deixar claro que a responsabilidade do conteúdo hospedado é do cliente, temos detectores antiphishing (phishing é o nome que se dá a uma técnica de engenharia social usada para enganar usuários na internet e obter informações confidenciais) e antifraudes, e quando detectados, retiramos o conteúdo imediatamente”, explicou um representante da empresa.
O Verifica solicitou o contato do cliente que contratou o serviço para hospedar o site. A empresa explicou que o pedido violava sua política de privacidade e a própria LGPD, mas informou que o cliente passaria a ser monitorado com mais frequência e que, no caso de reincidência, seria banido de seus servidores.
Os comentários são exclusivos para assinantes do Estadão.