As instituições bancárias são as maiores vítimas e alguns bancos são mais vítimas que outros. Algumas destas técnicas já tinham sido dadas como extintas, mas voltaram a aparecer. Outras estão a passar por um período de "crescimento exponencial" e os prejuízos já estão na casa dos milhões de euros
É cada vez mais comum, o grau de sofisticação dos ataques é maior e o número de vítimas está a “aumentar exponencialmente”. A Polícia Judiciária sabe que, na maior parte dos casos, são organizações que estão na origem dos ataques e, muitas vezes, atacam de fora para dentro do país. Os prejuízos causados por estes tipos de phishing já atingem "os milhões de euros" e as autoridades alertam que, nestes ataques, as falhas de segurança vêm sempre do lado da vítima.
“Qualquer pessoa pode cair, tanto é que temos milhões de euros em prejuízos. É a arte de falar e de comunicar. Eles não são muito elaborados. Depois, conforme a pessoa vai dançando os criminosos vão-se adaptando”, afirma em entrevista exclusiva à CNN Portugal Paulo Gonçalves, Inspetor-Chefe em Coordenação na Secção Central de Investigação da Criminalidade informática e Tecnológica da UNC3T.
O phishing é um truque de "engenharia social", que permite aos criminosos “enganar” a própria vítima a entregar-lhe informações, dados ou acessos necessários para ser roubada sem nunca suspeitar de nada. Em Portugal, nenhum phishing é tão comum ou rentável como o bancário e os atacantes têm alvos preferidos. Mas todos começam da mesma forma, com o envio de mensagens para milhares de contactos, de forma aleatória, na esperança de que alguém caia no erro de abrir a hiperligação.
“Nos casos mais comuns, que são os de phishing bancário, tudo se resume ao ato de redirecionar para algo enganoso, seja por via de um e-mail, seja por via de um SMS. Todos eles têm um link, que depois redireciona para uma página falsa, em tudo semelhante à original, onde eu vou inserir os meus dados, que vão ser capturados, acabando por ficar disponíveis para alguém”, explica Paulo Gonçalves.
Estas páginas copiam as originais ao mínimo detalhe. Até os próprios links escolhidos são criados apenas com uma pequena diferença, num número ou num caracter, que faz com que uma pessoa um pouco mais desatenta não repare que, na verdade, não está a entrar na página oficial do banco. Assim que está no seu interior, a pessoa preenche o seu nome de utilizador e escreve a sua palavra-passe, que é automaticamente encaminhada para o hacker.
Começa uma segunda parte da burla. Como os atacantes enviam milhares de mensagens de forma aleatória, eles não sabem a que contacto pertencem as credenciais inseridas no site falso. Por isso, fazem algo que os sites bancários nunca fazem: pedem o número de telemóvel e o número de identificação fiscal. Algo que lhes vai permitir, por exemplo, descobrir facilmente o nome.
“Eles só lhe vão pedir informações aparentemente inócuas, para que a vítima pense que não está a dar nada de relevante. Depois, entram no nosso homebanking e veem se a pessoa tem disponível dinheiro suficiente que valha a pena fazer o investimento para uma Money Mule. Caso contrário, transferem-lhe o dinheiro para referências multibanco”, refere Paulo Gonçalves.
Na maior parte dos casos, as instituições bancárias exigem uma autenticação de dois fatores para autorizar a transferência. E é aí que entra a necessidade de pedirem o número de telemóvel. Nesta fase da burla, os criminosos vão ligar, fazendo-se passar por um funcionário do banco, muitas vezes identificando-se como parte do departamento antifraude ou de cibersegurança. Os criminosos referem que detetaram uma tentativa de transferência suspeita e que poderá não ser da sua autoria.
O dono da conta vai dizer que não fez nenhuma transferência e, nesta fase, o burlão vai tentar “criar convicção” e alongar-se na conversa. A Polícia Judiciária refere que, nestes casos, os criminosos fazem várias perguntas básicas que “colocam o ónus na vítima”. Perguntam se “estão mesmo a falar com a pessoa X”. Perguntam se a vítima fez determinadas transferências a que os atacantes têm acesso no extrato bancário, validando perante a vítima de que se trata de um funcionário de um banco. Por fim, o burlão diz à vítima que o banco vai enviar uma mensagem com um código de cancelamento e pede-lhe que o leia. No entanto, esse código é o último passo necessário para que o criminoso valide a transferência e roube o dinheiro. Na verdade, se ler bem a mensagem SMS enviada pela entidade bancária vai perceber que está escrito "para confirmar", por exemplo, um pagamento ou uma transferência. Nunca está escrito "cancelar".
Apesar de não especificar, a Polícia Judiciária admite que existem entidades bancárias que são mais alvo de burla do que outras e os valores roubados anualmente anda na ordem dos vários milhões de euros. E tenha cuidado porque, mesmo que os bancos tenham obrigação de salvaguardar o seu dinheiro, nem sempre podem ser responsabilizados por estas burlas, uma vez que é o cliente que fornece o acesso da sua conta aos criminosos.
“A origem do phishing bancário em Portugal é sempre a mesma. De fora para dentro. E do outro lado há vários hackers e todos têm modos operativos diferentes. Neste momento, já identificámos 38 nicknames. E eles não atacam só Portugal, atacam também outros países, por exemplo, Espanha”, refere.
A Polícia Judiciária admite que não existe uma “lista perfeita” com os passos necessários para evitar ser vítima de phishing e que, mesmo que existisse, amanhã estaria desatualizada. Mas o primeiro passo para se proteger deste tipo de ataques é ter conhecimento das regras do seu banco. A vasta maioria dos bancos nunca envia emails ou mensagem SMS com hiperligações ou ficheiros para descarregar, porque sabem que essa é uma potencial forma de os seus clientes serem atacados.
“O banco cria mecanismos de segurança. Os bancos avisam os clientes para que não carreguem em links, mas as pessoas carregam em links. O banco diz que não envia hiperligações ou ficheiros para as pessoas por questões de segurança e as pessoas continuam a carregar. As pessoas não leem os avisos dos bancos”, admite Paulo Gonçalves.
É preciso também encarar a informação que nos chega diariamente com algum ceticismo. Cada vez mais é necessário olhar para as nossas mensagens, os nossos emails e até mesmo os sites por onde navegamos como potenciais fontes de risco. O melhor caminho é sempre questionar e procurar ver se a informação bate certo com o que é pedido. No caso deste phishing bancário existem vários momentos que podem fazer “soar os alertas” dos utilizadores. Das mensagens com hiperligações, ao pedido de confirmação de informações que o banco devia ter e, a mais grave de todas, o pedido para ler o código enviado pelo banco, que nunca deve ser transmitido a ninguém.
“No mundo virtual, as pessoas aceitam tudo. Mas temos de validar a informação. Não posso tomar tudo como certo, tenho de questionar e as coisas têm de fazer sentido. Tenho de ser racional, tenho de pensar, tenho de validar, tenho de ter lógica”, aconselha o inspetor.
CEO FRAUD
É uma das principais e mais sofisticadas “técnicas de engenharia social” e tem vindo a ganhar uma dimensão cada vez maior em Portugal e no mundo. A “fraude CEO”, também conhecida como “business email compromisse”, é uma burla que leva uma empresa a efetuar pagamentos ao atacante, que se faz passar por um parceiro de negócios conhecido da vítima.
A receita é quase sempre a mesma. Um trabalhador responsável pela área financeira da empresa alvo recebe um e-mail direto de uma das figuras mais importantes da empresa, geralmente o presidente executivo. O texto é simples e sugere urgência na transferência. Mas existem casos ainda mais complexos.
Num deles, um hacker pode enviar um email a um dos trabalhadores responsáveis pela parte financeira da companhia. A correspondência vem com uma imagem infetada com um vírus, cuja única função é observar toda a correspondência de e-mail da vítima e detetar palavras-chave, como IBAN. Se o hacker percebe que em causa está um pagamento entre as duas empresas, ele envia um e-mail à empresa que vai efetuar o pagamento e diz que aconteceu uma alteração e que a fatura terá de ser paga num outro IBAN, que - na verdade - pertence ao hacker.
“O que faltou aqui? O mesmo de sempre: validação. Devia existir um protocolo combinado entre os CEO de cada empresa que sempre que houver alteração de pagamentos, para serem os próprios a validar a transferência por telefone. Isto é algo que escapa ao controlo do hacker”, sugere o inspetor Paulo Gonçalves. Já que apenas "controla" os computadores e não os telemóveis ou telefones.
É importante também ter muito cuidado em carregar em hiperligações e imagens não solicitadas que lhe são enviadas por e-mail. Além disso, nunca ligue para o número fornecido no e-mail, tente sempre contactar a outra empresa ou entidade pelos números oficiais disponíveis publicamente. E examine cuidadosamente o endereço de e-mail, URL e ortografia usados em qualquer correspondência. Os atacantes costumam utilizar pequenas diferenças para enganar a vítima e ganhar sua confiança.
“Falta muitas vezes às empresas dar formação a nível de cibersegurança. Isso é extremamente importante. Não posso, no meu local de trabalho, estar a utilizar o meu computador corporativo, ligado a bases de dados, para fins pessoais. Como por exemplo, o e-mail pessoal. Isto tem que ver com educação. Os mais velhos, não estão sensibilizados para as novas tecnologias, também não estão sensibilizados para a segurança informática”, insiste o inspetor.
E esta fraude lida com enormes quantias e rende vários milhões de euros aos hackers que as fazem. De acordo com uma nota de alerta do Federal Bureau of Investigation, este crime já rendeu mais de 46 mil milhões de dólares a grupos criminosos desde 2016. E estes ataques, por norma, são levados a cabo por “estruturas organizadas” e muitas vezes a origem do ataque vem de fora do país.
Raramente os erros partem da exploração do sistema informático e quase sempre estes problemas têm origem humana. Por isso, as autoridades sugerem às empresas que além da aposta na segurança informática, é cada vez mais importante investir na formação dos funcionários, para que estes saibam ao que estar atentos.
“A maioria dos grandes esquemas e das grandes burlas começa por onde? É pelo utilizador do sistema informático. No phishing bancário ou na CEO fraud, qual é a porta? É o ser humano. Porque é que eles não hackeiam diretamente a conta bancária? Porque é mais fácil ir ao utilizador”, frisa Paulo Gonçalves.
SIM SWAP
Há também o regresso de um tipo de ataque que a PJ julgou estar extinto em Portugal: o SIM Swap. Até ao momento, as autoridades já detetaram cerca de dez casos. O conceito é idêntico ao phishing bancário, mas aqui os criminosos procuram conseguir ficar momentaneamente na posse do número de telefone da vítima, através de um pedido de segunda via de um telemóvel, e recebem eles a mensagem de validação de transferência bancária.
Ou seja, além do phishing bancário, ainda lhe bloqueiam o número de telemóvel, pedindo uma segunda via do cartão, e nem precisam de telefonar para ter acesso ao código de validação.
Da mesma forma que os piratas obtêm o seu nome de utilizador e palavra-passe do seu banco, pedem-lhe o seu número de telefone e uma fotografia de um documento de identificação. A Polícia Judiciária tem conhecimento de casos de indivíduos que chegaram a enviar até fotografias do cartão matriz.
Com esses dados, os burlões conseguem ir buscar elementos complementares a páginas governamentais, como o site das Finanças. Depois, o grupo criminoso envia um dos seus membros para ir à loja de uma operadora, onde irá dizer o nome da vítima, o número de contribuinte e o seu número de telemóvel e explicar que acabou de ser assaltado e perdeu tudo, inclusive o telemóvel e que precisa de uma segunda via.
“Existe muita negligência. Há sempre algum facilitismo por parte de alguns funcionários da loja. Quando não funciona numa loja, geralmente os criminosos vão a outra”, acrescenta.
Assim que consegue uma segunda via, contacta o hacker que tem acesso ao nosso nome de utilizador e aos nossos dados que dá a ordem de transferência. O burlão recebe a mensagem do banco com o código necessário para validar a transação na segunda via do cartão e a vítima fica momentaneamente sem acesso ao telemóvel.
“A regra é sempre a mesma: sempre que receber um SMS ou um email do banco a dizer que por motivos de segurança entre nesta página, nunca carregar hiperligações. E reportar ao banco. Os bancos não enviam emails com hiperligações para outras páginas ou com ficheiros para descarregar. Não há PDF, não há fotografias, não há attachments, não há nada”, insiste o inspetor Paulo Gonçalves.
Olá Mãe, olá Pai
Uma versão mais simples, mas que requer os mesmos cuidados, é o caso da burla conhecida como “Olá mãe, olá pai”. Nesta burla, é recebida uma mensagem através do Whatsapp de alguém que se faz passar por filho ou filha, usando diversos argumentos para estar sem telemóvel, e dizendo que é um número novo ou temporário. Também há casos de "falsos" netos, irmãos e até amigos. Todos pedem ajuda e muito dinheiro.
O valor obtido por estes grupos criminosos através deste golpe já é considerável. Segundo a Polícia Judiciária, as vítimas já foram burladas em mais de 1,2 milhões de euros, com pedidos de ajuda de 700 euros, embora exista quem tenha entregado aos bandidos 15 mil euros, em vários pagamentos.
“A média paga é sempre superior a 1.500 euros. Temos 700 e 800. Depois temos dois mil, três mil ou cinco mil”, explica o inspetor à CNN Portugal. “Na Polícia Judiciária, a nível nacional, a partir de setembro até ao final de 2022, temos 393 processos. A partir de janeiro de 2023 e até meados de fevereiro, portanto estamos a falar de um mês e meio, temos 435 queixas. Isto significa que comparativamente a quatro meses do ano passado temos um crescimento exponencial”.
Mas tanto nesta burla como noutras, os grupos criminosos estão a ficar cada vez mais evoluídos e as suas técnicas estão muito mais refinadas.
“O phishing agora é muito mais difícil de investigar, porque evoluiu. Houve uma melhoria. Mas é natural, as coisas evoluem e tornam-se mais eficientes. Quando estamos a falar de crime organizado é sempre uma constante evolução, aprendizagem, correção”, admitiu o Inspetor-Chefe em Coordenação na Secção Central de Investigação da Criminalidade Informática e Tecnológica da UNC3T.
