Stalker: O Estopim

Dethaldox · Agosto 25, 2019, 7:31pm

Olá Community,

Tenho um amigo chamado Felipe que recebeu um e-mail muito inusitado do Nubank essa semana.

Em especial a parte: “Por favor, peça que Felipe… faça um novo pedido usando um e-mail diferente.”

Nós conversamos e não conseguimos entender qual o objetivo de alguém programar esse tipo de e-mail e como isso passou pelo brainstorming da equipe de desenvolvimento.

Já que para que isso fosse possível de ser realizado o meu amigo Felipe, que não tem nada a ver com o outro Felipe, deveria saber ou ir atrás do contato desse outro sujeito para avisá-lo sobre o ocorrido, surreal.

Não seria muito mais fácil dar um aviso de e-mail inválido já no momento da solicitação do convite?

anon34741155 · Agosto 25, 2019, 7:39pm

Eita rs
Eu nem tinha parado pra pensar assim.
Isso acontece muito com quem só tem a nuconta (e a função débito) porque a pessoa acaba pedindo a função crédito pelo site (ao invés de solicitar pelo app), ai cadastra o email e acaba recebendo essa msg devido já ser cliente.
Realmente, não tem muito sentido pedir pra avisar fulano se não for a gente que fez a solicitação.

Acho que seria melhor mesmo.

Dethaldox · Agosto 26, 2019, 12:28am

Então, eu e o Felipe estávamos refletindo aqui sobre as razões do envio do e-mail.

Uma possível justificativa que eu cheguei é que isso pode ser um mecanismo de segurança que foi implementando, mas de eficácia questionável.

Imagine uma situação em que uma pessoal mal intencionada queira descobrir se um determinado e-mail que ela obteve pertence a um cliente do Nubank.

Caso o Nubank informasse no momento do cadastro que o e-mail fornecido não poderia ser utilizado, o atacante já poderia obter indícios suficientes que confirmassem a sua suposição.

De forma a evitar que isso acontecesse, o Nubank pode ter implementado essa funcionalidade, assim apenas o dono legítimo do e-mail ficaria sabendo que estão tentando realizar o cadastro com seu e-mail, logo ele conseguiria antecipar o seu “algoz” e possivelmente investigá-lo.

No entanto, essa abordagem tem um revés se considerarmos um cenário B, onde quem tentou fazer o cadastro é uma pessoa de bom caráter que apenas confundiu o e-mail e o legítimo dono do e-mail é alguém mal intencionado ou que queira se aproveitar da situação.

Um ponto que o Felipe levantou é que, independente da intenção de quem recebeu o e-mail, isso pode levar a uma quebra de privacidade, dado que é informado o nome completo da pessoa e sua intenção de realizar o cadastro.

O atacante então teria duas informações cruciais, o nome completo do indivíduo e a informação de que ele está no processo de cadastro para ser cliente do Nubank.

Caso a combinação de nome e sobrenomes não sejam muito comuns, não é muito difícil identificar a pessoa e reunir mais informações sobre ela.

E tendo noção da tentativa de cadastro, haveria a viabilidade de um ataque por engenharia social, onde o atacante poderia se passar pelo Nubank e contactar a vítima para falar a respeito do seu processo de cadastro e persuadi-la com suas informações.

De toda forma, no caso em questão, esse e-mail não ajuda muito quem realmente precisa ser ajudado e acaba por deixar uma brecha de privacidade.

anon34741155 · Agosto 26, 2019, 1:43am

Acredito que sim. Pelo o que eu entendi do email, ele é pra avisar que alguém tentou fazer o cadastro com seu email. Sendo que o texto final acabou ficando estranho mesmo.

Acho que uma solução fácil seria não colocar o nome completo, só o primeiro. Dessa forma, eu posso avisar ao nubank que eu não fiz essa solicitação e já informava o nome da pessoa que tentou.

No final, eu acho interessante receber esse email pra saber se alguém está tentando usar ele no cadastro. Talvez só pudessem mudar essa parte de avisar fulano rs.

Esse seu feedback é bem interessante. Vc podia enviar um email pro nubank, assim eles deixam isso anotado e quem sabe já mudam né? E até explicam melhor sobre esse tipo de email.

Nubank - Finalmente vocÃª no controle do seu dinheiro

Dethaldox · Agosto 26, 2019, 4:22am

É então, acho que tem várias maneiras de solucionar isso, não sei ao certo qual seria a melhor delas.

A primeira que tinha pensado era simplesmente a de não enviar o e-mail caso fosse constatado uma tentativa de cadastro em um e-mail já utilizado, nesse caso nem quem está cadastrando e nem quem é o dono do e-mail iria ficar sabendo se aconteceu alguma coisa.

E a segunda ideia era manter o e-mail como você disse, mas eu trocaria a mensagem para algo como:

“Tentaram cadastrar no seu e-mail hoje, hora tal, não deixamos.”

Não vejo justificativa para manterem alguma parte do nome do sujeito, até porque se o cara for mal intencionado ele não vai utilizar o nome verdadeiro dele. Para avisar o Nubank do ocorrido também não precisaria do nome, eles com certeza tem todas essas informações registradas. Mesmo que o Nubank de alguma forma conseguisse entrar em contato com a pessoa, não seria adequado informar sobre o e-mail para ela, já que poderia confirmar as suposições de um possível atacante, é mais seguro esperar o cara perceber o erro que cometeu.

Outro tipo de informação que poderia constar na mensagem também poderia ser o IP de quem fez a tentativa, caso isso viole alguma regra de privacidade poderia ser exibido então pelo menos a região de onde foi feita a tentativa, (e.g. Islamabad - Paquistão). Nesse caso com certeza seria um e-mail com indícios de atividades suspeitas, aí caberia aquela mensagem:

Se você acha que essa ação não foi feita por você, clique aqui…

Mas toda essa verificação poderia ser realizada internamente também, com base em políticas de antifraude, sem deixar transparecer muito para o usuário.

Bacana, vou tentar entrar em contato então e ver se eles dão algum esclarecimento sobre o assunto, se der bom posto aqui.

endydealmeida · Agosto 26, 2019, 12:13pm

Realmente, pensando dessa forma seria muito mais adequado avisar que o e-mail é inválido e pronto.

Isso abre brecha para que pessoas má intencionadas usem engenharia social para implementar golpes.

Dethaldox · Setembro 18, 2019, 8:08pm

Como a @anon34741155 tinha sugerido, entrei em contato com o Nubank e eles deram o seguinte esclarecimento:

Olá, Bruno, tudo bem?

Dei uma olhada no post completo na NuCommunity e ja te explico o que ocorre.

Este e-mail é realmente automatico e serve para informar o dono do email que seu endereço de email está sofrendo uma tentativa de uso. O fato de informarmos o nome completo da pessoa que tenta realizar o cadastro é justamente para casos de familiares que compartilham o mesmo email.

Mesmo com email compartilhados, podem não haver comunicação entre os membros da familia. Agora imagina se recebem emails divergentes sobre limite, vencimento da fatura, fechamento e etc.

No caso de erros de digitação, como esse é o processo de cadastro é muito importante que o cliente tenha sempre atenção àquilo que digita, sendo de sua total responsabilidade. Lembrando que não passamos dados para terceiros em todas nossas operações pensamos na segurança de nossos clientes.

Se precisar de alguma outra coisa, estamos por aqui.

Abraços.

Em virtude da resposta, acabei enviando mais alguns comentários, como segue abaixo:

Olá Nubank,

Acredito que tenha entendido a necessidade pontual do envio do e-mail, alertar ao dono sobre a tentativa de uso, dado que no caso de um familiar compartilhar o mesmo e-mail, a falta de uma resposta na tentativa de cadastro acabaria se mostrando desvantajosa.

Agora, acredito que não seja uma medida muito plausível incluir o nome completo do indivíduo apenas pela possibilidade de ele ser um familiar.

Concordo que não seria nada legal permitir o cadastro de mais de uma pessoa no mesmo e-mail, mas veja que, nos casos de compartilhamento de e-mails, quem tentou realizar o cadastro terá acesso ao e-mail compartilhado, logo ele poderá visualizar o e-mail enviado pelo Nubank, na mensagem poderia conter algo do tipo:

“Houve uma tentativa de cadastro no seu e-mail, visando a sua melhor experiência, não permitimos mais de um cadastro por e-mail, mesmo nos casos onde o e-mail é compartilhado com outros usuários.”

Outra coisa que ficou muito estranha foi a mensagem:

“Por favor, peça que Fulano … faça um novo pedido usando um e-mail diferente.”

No caso do intuito da mensagem ser para um familiar, uma mensagem mais adequada seria:

“Por favor, se você conhece Fulano… avise-o.”

Caso contrário, já pensou se o dono verdadeiro do e-mail decide postar nas redes sociais para informá-lo?

“Ei Fulano …, o Nubank me contactou falando que você tentou se cadastrar utilizando o meu e-mail. Acho muito legal que você quer ser Nu, mas escolhe outro e-mail aí que esse daqui já é meu.”

Se isso acontecesse comigo, eu acho que não iria gostar muito de um estranho falando publicamente que eu quero um cartão de crédito, só porque eu errei meu e-mail na hora de cadastrar.

Att, Bruno M.

E esse foi o resultado:

Olá, Bruno! Tudo bem?

Agradecemos o seu comentário e entendemos o seu posicionamento.

Estamos sempre abertos a feedback! Vamos repassar para o time responsável, ok?

Obrigado por nos ajudar a fazer um futuro mais roxo.

Qualquer dúvida conte conosco!

Abraços.

O pessoal do Nubank também autorizou a postagem das respostas.

Tópico		Respostas	Visualizações
CUIDADO com PHISHING em E-mails!	1	10307	9 de Janeiro de 2020
Tentativa Phishining	7	10042	10 de Janeiro de 2020
O golpe da troca de e-mail ataca novamente Conta do Nubank	11	10795	20 de Junho de 2023
Quero ser nubank pode me ajudar? Conta do Nubank	2	7862	10 de Setembro de 2022
Estou tentando mudar meu email Conta do Nubank	8	11323	16 de Maio de 2023

Stalker: O Estopim

Tópicos relacionados