Pessoal, venho compartilhar algo que aconteceu comigo e me deixou no mínimo intrigado. Há alguns dias saiu a notícia no Tecnoblog sobre o prêmio que a Nubank estava liberando para quem respondesse uma pesquisa enviada por email. Pois bem, na última quarta-feira recebi email da Nubank me convidando para a tal pesquisa. Eu, macaco véio de internet que sou, primeiro resolvi fazer uma análise na mensagem. Remetente: ok, o padrão usado pela empresa. Texto: ok, sem erros grosseiros de português. Conteúdo da mensagem: ok, nada absurdamente vantajoso ou alarmante.
Havia uma instrução na mensagem dizendo que a veracidade do email poderia ser consultada no chat do app com um código que foi disponibilizado. Apesar de ter achado o email bastante confiável, resolvi perguntar no chat sobre o email. Informei o tal código e a moça me pediu prints do email, ela então me garantiu que a mensagem em questão era falsa!
O que me impressionou aqui foi o fato de o email a princípio possuir todas as características de uma comunicação oficial da Nubank, exceto ter sido reconhecido pela empresa.
Ainda intrigado, resolvi arriscar para ver do que se tratava o link apontando para a suposta pesquisa. Em um máquina virtual conectada a uma VPN, acessei o tal link e fui levado a uma plataforma de pesquisas chamada QuestionPro, que logo na home page já mostra prestar serviços para várias empresas grandes incluindo a Nubank. Achei que essa tal pesquisa teria questões solicitando número do meu CPF, cartão, senha, etc. Ao invés disso, era apenas um rápido questionário solicitando a minha opinião com relação à minha experiência de uso da seção “investimentos” do app.
Dessa forma, fiquei com a grande dúvida: sendo esse um email ilegítimo, qual era o objetivo dele afinal? Quais as chances de a moça que me atendeu no chat não ter sido informada sobre uma campanha de marketing lançada pela empresa?
Alguém aqui já recebeu um email malicioso tão convincente assim?
Cara, na moral, acho que a chance maior talvez seja o pessoal do chat tá meio perdido. Também recebi essa pesquisa na minha conta PJ, com todos os sinais de segurança ok.
Ainda mais pelo fato da assinatura e remetente do e-mail estar ok e a pesquisa não pedir nenhum dado. Seria muito trampo pra mascarar isso e não coletar nada relevante.
Mas fiquei curioso agora, vamos ver se tem mais algum relato disso.
Já respondi umas 3 pesquisas assim do Nubank, sempre chegaram por e-mail (verídicos) e nunca foi solicitado nenhum dado sensível.
Corroboro a informação dos colegas, trata-se de um atendente que não sabia da existência da pesquisa.
Rapaz, e se eu te contasse sobre um tipo de ataque que faz domínios maliciosos parecerem com domínios legítimos?
É o ataque de homógrafo — IDN homograph attack, em inglês.
Basicamente, nesse tipo de ataque, o criminoso substitui uma ou mais letras do alfabeto latino — por exemplo, a letra a (U+0061) — por uma de outro alfabeto — por exemplo, a letra а do alfabeto cirílico (U+0430).
Parecem idênticas, certo? Mas se você usar a função de pesquisar na página do seu navegador (normalmente acessada pelo atalho Ctrl+F ou ⌘+F no computador) e pesquisar por “letra a”, seu navegador não irá destacar a ocorrência próxima à “do alfabeto cirílico.”
Vários programas já foram ou ainda são suscetíveis a esse tipo de ataque. No exemplo abaixo foi o Chrome, mas a lista engloba também Firefox, Telegram, Microsoft Outlook, etc.
Imagino que o Google tenha tomado as mesmas precauções aplicadas ao Chrome no Gmail, mas como os ataques de phishing estão cada vez mais sofisticados, todo cuidado é pouco.
Como o @Felipe_Silva disse, é impossível de ocorrer no TLD tupiniquim. O Registro.BR só permite que o próprio Nubank registre nubank.com.br com sinais diacríticos (~ ^ '`) e cedilha (acho que números também), já que há uma verificação antes do registro.
Caracteres válidos são letras de “a” a “z”, números de “0” a “9”, o hífen, e os seguintes caracteres acentuados: à, á, â, ã, é, ê, í, ó, ô, õ, ú, ü, ç
Para fins de registro, verifica-se uma equivalência na comparação de nomes de domínio. Esta verificação é realizada convertendo-se os caracteres acentuados e o cedilha, respectivamente, para suas versões não acentuadas e o “c”, e descartando-se os hífens. O registro de um domínio não é permitido se houver domínio equivalente pertencente a outro titular.
E como eu estava respondendo ao @Felipe_Silva antes da Comunidade sair do ar de novo
Realmente esse tipo de ataque não seria possível no .br, já que o Registro.br só aceita caracteres internacionalizados que são permitidos no português, como letras acentuadas e o cedilha. Além disso, no caso de domínios já registrados sem acento, como o do Nubank (nubank.com.br), segundo as regras do Registro.br, apenas o próprio Nubank poderia registrar as versões com acento de seu domínio (por exemplo, núbank.com.br, nubánk.com.br, etc).
Meu outro comentário foi mais para aumentar a conscientização.
Voltando ao assunto do tópico, apesar de achar estranho a representante não conseguir validar o e-mail pelo código no chat, compartilho das outras opiniões aqui e acho que o e-mail é legítimo.
Não faz sentido ter todo esse trabalho para te fazer responder uma pesquisa e não tentar coletar nenhum dado pessoal ou sensível. A única coisa que um suposto atacante pode ter conseguido com isso foi confirmar que seu endereço de e-mail está em uso e que seu nome é Diego.