O Estadão Verifica investigou e concluiu que: o site é falso. O endereço divulgado em uma postagem no Facebook não é oficial. O Banco Central informou que o único local onde se pode consultar e saber como solicitar a devolução de valores pessoais, de empresa ou de pessoas falecidas é o https://valoresareceber.bcb.gov.br. A empresa que hospeda o site falso na internet reconheceu o conteúdo como potencialmente danoso e o retirou do ar após o contato do Estadão Verifica. Um especialista em direito digital alertou para os riscos de se compartilhar CPF, chave Pix e demais dados pessoais em sites duvidosos.
Uma pessoa no Facebook compartilhou um trecho do Jornal Nacional do dia 28 de fevereiro, no qual o apresentador William Bonner explica que o Banco Central disponibilizou um site para os brasileiros checarem se têm dinheiro esquecido em instituições financeiras e como podem recuperá-lo. Junto com o vídeo foi colocado um link de onde supostamente as pessoas poderiam fazer a consulta. Veja abaixo, uma imagem da postagem:
Ao clicar em “Saiba mais” as pessoas eram redirecionadas para um site simples e intuitivo onde no topo se lia “Consulta Brasil”, logo abaixo havia um passo a passo de como recuperar o dinheiro esquecido, um campo para inserir o CPF e um logo do Governo Federal no rodapé. Veja como era a página principal do site:
Após informar o CPF e clicar em “consultar agora”, o site mostrava quanto supostamente a pessoa tinha a receber e solicitava a chave Pix para dar encaminhamento ao saque. Em uma simulação feita pelo Verifica, o site informou que havia mais de R$ 2 mil reais a serem resgatados.
O Verifica entrou em contato com o Banco Central (BC) para saber se o site era legítimo. A instituição respondeu que o único endereço para realizar a consulta é o https://valoresareceber.bcb.gov.br e explicou que o serviço de recuperação dos valores é totalmente gratuito. Portanto, as pessoas não devem fazer nenhum tipo de pagamento para ter acesso à quantia.
“NÃO clique em links suspeitos enviados por e-mail, SMS, WhatsApp ou Telegram”, destaca a nota do BC. Um dos fatores que despertava desconfiança no link divulgado na postagem do Facebook era o domínio, também chamado de endereço, do site.
O domínio do site oficial para o resgate de valores (https://valoresareceber.bcb.gov.br) tem um nome intuitivo que faz referência ao serviço prestado, e termina com .gov.br, o que indica que se trata de um endereço oficial do governo brasileiro. Já o domínio do site falso era https://promodecasal.store/aged/.
O advogado especialista em direito digital e proteção de dados Marcelo Cárgano explica que a simples coleta de dados sem uma finalidade legítima e sem uma política que garanta a segurança das informações fornecidas já configura uma violação na Lei de Proteção de Dados (LGPD).
O site em questão não apresentava qualquer explicação sobre o motivo de estar solicitando o CPF e chave Pix das pessoas. Cárgano explica que o CPF é um dado sensível, porque ele é um identificador único. “Cada pessoa tem um CPF só e cada CPF identifica uma pessoa só. Com base no CPF você consegue levantar várias outras informações sobre uma pessoa”, explica ele.
Ele exemplifica que nas mãos erradas, o CPF pode ser usado para criar um cadastro falso de alguém com a finalidade de aplicar golpes.
Outro agravante do site é o fato de no rodapé ter um logo do Governo Federal, sinalizando de maneira enganosa que o site seria oficial. De acordo com o especialista, “caso um site imite marcas de outros sites reais para tentar ludibriar as pessoas isso pode ser considerado um crime”.
Todo site na internet precisa ser hospedado em um servidor. A hospedagem do site alvo desta checagem é feita pela Atomicat. Em resposta ao Verifica, a empresa explicou que o conteúdo em questão estava violando suas políticas e termos de uso e que, portanto, iria retirar o site do ar.
“Apesar de nossos termos de uso deixar claro que a responsabilidade do conteúdo hospedado é do cliente, temos detectores antiphishing (phishing é o nome que se dá a uma técnica de engenharia social usada para enganar usuários na internet e obter informações confidenciais) e antifraudes, e quando detectados, retiramos o conteúdo imediatamente”, explicou um representante da empresa.
O Verifica solicitou o contato do cliente que contratou o serviço para hospedar o site. A empresa explicou que o pedido violava sua política de privacidade e a própria LGPD, mas informou que o cliente passaria a ser monitorado com mais frequência e que, no caso de reincidência, seria banido de seus servidores.
Para ler a noticia completa, clique aqui