Sabia que é possível realizar chamadas a partir de telefones ou SMS falsificando o número de origem ou colocando na descrição da origem do SMS um qualquer texto? Ou seja: quem nos liga pode não estar a ligar ou enviar a SMS a partir do número e nome indicados.
De acordo com a associação Iniciativa Cidadãos pela Cibersegurança (CpC), em Portugal, atualmente, é possível editar e mudar o número chamador (CallerID) para qualquer outro número e descrição que seja do interesse do cibercriminoso. Este tipo de burla é conhecido em inglês como “spoofing” (do inglês “spoof”>imitar) e tem sido uma das maiores fontes de rendimentos dos cibercriminosos contra particulares.
Os números são incertos porque muitas vítimas não apresentam queixa nas autoridades ou porque sentem que os seus casos não serão investigados ou porque, sabendo da natureza transfronteiriça destas operações, sabem que a investigação é difícil ou impossível, ou apenas por pura e simples vergonha. Apesar destas “cifras negras” estima-se, globalmente que, o cibercrime, (incluindo spoofing) custe mais de 10 mil milhões de dólares anualmente até 2025, de acordo com a Cybersecurity Ventures.
Existem vários tipos de Spoofing:
1. Por email: Em que mensagens de correio eletrónico são enviadas a partir de domínios DNS recentemente criados com nomes idênticos ao de instituições bancárias e onde a CGD e o Montepio têm sido um alvo em função da demografia específica de boa parte dos seus clientes. Em casos mais avançados, o criminoso usa nomes reais de funcionários do banco obtidos em exfiltrações ou através da simples navegação no Linkedin.
2. Por SMS: o burlão envia mensagens de SMS, que alegam ser de uma entidade bancária e incluir links para sites maliciosos ou pede dados pessoais ou financeiros.
3. Por Spoofing de site: Em que, ou por WhatsApp, ou SMS, o cliente é direcionado para um site falso dedicado à captura de credenciais bancárias. O objectivo é captura de dados ou a instalação de software malicioso (malware).
4. Spoofing de chamadas telefónicas: Até há cerca de 1 ou 2 anos era raro em Portugal, mas o fenómeno começou a explodir com, a alegada, venda na darkweb de bases de dados de telefones portugueses exfiltrados no facebook e WhatsApp: em alguns casos o alegado represente bancário fala um português de Portugal mas é mais comum usar um sotaque português lusófono, onde parecem assentar boa parte destes call centers que funcionam num modelo empresarial em salas onde é possível ouvir outras conversações a terem lugar.
Alertas a ter em conta:
1. Se alguém do “seu banco” o contacta com uma mensagem “urgente” (frequentemente alegam estar a fazer uma ação em defesa de uma ameaça criminosa à sua conta bancária ou no decurso de um pagamento seu por MBway): Suspeite: Infelizmente os bancos não fazem estes contactos com a frequência que deviam. Desligue a chamada e contacte o seu banco através dos contactos oficiais.
2. Se no decurso dessa conversação procurarem saber dados de si, como passwords, pins recebidos por SMS e dados financeiros ou, sobretudo, se lhe pedem para fazer pagamentos ou transferências: é burla: 100% segura.
O que fazer:
1. Na autenticação do seu acesso ao homebanking já é obrigado – por norma europeia – a autenticar-se por passwords e SMS. Alguns bancos reforçam essa segurança com cartões de códigos: Use password difíceis, únicas, evite anos de aniversário, use a Chave Móvel Digital e os códigos periodicamente reciclados. No seu telemóvel proteja-o com dados biométricos (impressão digital).
2. Se a dado ponto, o “funcionário do Banco” lhe pedir que faça um pagamento por referência Multibanco está certamente perante uma instância da burla.
4. Se receber chamadas de alguém que alega ser do seu Banco desligue e contacte diretamente a entidade em causa, apenas através dos contactos que são disponibilizados pela mesma, para esse efeito não através de nenhum número “direto” indicado pelo criminoso.
5. Se recebeu um SMS do seu banco, tenha em conta que é possível falsificar o remetente do SMS, e que a mensagem de texto pode aparecer junto das mensagens que habitualmente recebe do seu banco.
7. Instale um Antivirus no seu telemóvel e atualize o dispositivo instalando, por exemplo, a nova aplicação da Google para Android que permite o barramento e identificação de números conhecidos por maliciosos.
8. Nunca clique nos links do SMS que aparenta ser do seu Banco.
9. Nunca ceda informações pessoais, dados bancários ou códigos por telefone, SMS ou e-mail, independentemente da credibilidade do chamador.
10. Esteja atento a erros gramaticais ou frases mal formuladas. Tenha cautela se disserem que determinado serviço foi bloqueado e necessita ser ativado;
11. Reporte o incidente às autoridades e à entidade bancária.
O CpC sublinha que o spoofing bancário representa “uma ameaça significativa e crescente à segurança financeira dos indivíduos“, aproveitando-se da confiança e da vulnerabilidade dos consumidores para realizar fraudes sofisticadas.
A prevenção deste tipo de crime depende de uma combinação de acções coordenadas entre os consumidores, autoridades e instituições bancárias. Os consumidores devem estar atentos e adoptar práticas de segurança rigorosas, tais como nunca partilhar informações sensíveis por telefone, SMS ou e-mail, e reportar imediatamente qualquer actividade suspeita.
As autoridades têm o papel crucial de implementar políticas de segurança mais rígidas, como o bloqueio de SMS fraudulentos e a exigência de autenticação para o envio de mensagens, além de melhorar os processos de investigação e punição destes crimes.
Já os bancos devem implementar tecnologias avançadas para proteger as contas dos clientes e educá-los sobre os riscos e as melhores práticas de segurança.