Já ouviu falar em spoofing? Trata-se de uma burla que apesar de não ser nova tem estado muito ativa. Pode chegar através de um telefonema, SMS ou email e é quase impossível de detetar. Carlos Cabreiro, diretor da Unidade Nacional de Combate ao Cibercrime e à Criminalidade tecnológica da PJ, deixa o alerta em entrevista à CNN Portugal
O spoofing não é um fenómeno novo e no final de 2022 teve um grande crescimento. Mas apesar de os números estarem mais estáveis, os casos continuam a surgir em grande quantidade. “Temos provavelmente centenas de casos”, admite em entrevista à CNN Portugal Carlos Cabreiro, diretor da Unidade Nacional de Combate ao Cibercrime e à Criminalidade tecnológica da Polícia Judiciária. O termo spoofing “é usado para os falsos telefonemas”, explica. Mas também inclui SMS e emails. A fórmula é simples: usam os números de telefone oficiais das entidades.
Vejamos alguns exemplos. Tem o número do seu banco guardado no telemóvel e quando ligam aparece o nome da sua entidade bancária. Poucos serão os que irão desconfiar. Mas é possível aos criminosos “através de técnicas informáticas” fazerem aparecer esse número, mesmo estando a ligar de outro telefone. Mesmo que não tenha o número guardado, o número que vai ver no ecrã é “o oficial”. Um bom burlão vai pedir que confirme na internet que ele está a ligar do número verdadeiro.
Os casos são às centenas, mesmo que seja impossível chegar a um número concreto.
“Os falsos telefonemas são telefonemas que as pessoas recebem, supostamente de entidades credíveis, mas que efetivamente são falsos. Os criminosos utilizam os números através de técnicas informáticas e fazem crer que, por exemplo, estão a falar de uma entidade bancária. Também pode ser uma entidade do Estado. Esses falsos telefonemas, o que pretendem, tão só, é que a pessoa adira a um determinado serviço ou vá a um determinado site, carregue num link, para que efetivamente os criminosos consigam os seus intentos”, explica Carlos Cabreiro.
Ao fazerem “a intrusão nos dispositivos informáticos” conseguem, por exemplo, “capacidade para aceder com credenciais válidas aos nossos sistemas bancários, por exemplo, à banca online". "As pessoas acabam por fornecer os dados, pensando que estão a falar com uma entidade credível”, sublinha.
“Não é normal” os bancos “fazerem estes contactos”
E o que deve fazer alguém quando recebe um telefonema destes? “A primeira reação que devemos ter quando estamos a lidar com entidades que querem, por exemplo, ter acesso à nossa atividade bancária, é confirmar. Fazer perguntas ao interlocutor: se efetivamente é trabalhador, em que departamento trabalha, porque é que está a contactar naquele momento”. Carlos Cabreiro lembra que “não é normal” os bancos “fazerem estes contactos”.
Por isso, nada melhor que desligar e ligar de volta para o número oficial. “Quando vai ligar de volta, para o verdadeiro número, vai verificar que não era essa pessoa que estava a falar.”
Além de conseguirem fazer aparecer o número verdadeiro de uma entidade no telefone, os criminosos também conseguem enviar SMS. É recebida uma mensagem nos telemóveis, em que o remetente tem o nome da entidade pela qual se estão a fazer passar.
“Uma outra faceta deste fenómeno está relacionado com os endereços de email. Em que as pessoas também recebem emails, por exemplo, pensando que estão a receber um email de uma entidade bancária, quando efetivamente não é uma entidade bancária, apesar de o nome ou endereço de email parecer real”, avisa o diretor da Unidade Nacional de Combate ao Cibercrime e à Criminalidade tecnológica.
Seja por telefone, SMS ou email, o melhor é ligar e confirmar o que lhe estão a dizer ou a pedir. “É uma medida de segurança muito adequada para evitar que seja vítima de fraude. Estas entidades, falamos por exemplo de entidades bancárias, não fazem este tipo de telefonemas aos clientes. Não pedem para ir a determinados sites, não pedem para aceder a um email, não pedem para aceder a um link”. O que nunca deve fazer é clicar em links ou dar dados de acessos pessoais. “Não o fazer. Nunca. Desconfiarem e dizerem ‘eu farei isso, mas sou eu que vou ligar para o número deste serviço’”.
“O móbil de um crime é o patrimonial”
Carlos Cabreiro acrescenta que, às vezes, os burlões, usam um tom intimidatório, mas que as pessoas “não devem ceder”.
Sem receios, este responsável da Polícia Judiciária admite que são as entidades bancárias que mais sofrem com estas burlas. “Se pensarmos que a intenção, o móbil de um crime é o patrimonial, naturalmente é por aí que os criminosos avançam. Porque o que eles pretendem, em concreto, é obter credenciais e eventualmente os nomes que permitam depois aceder, por exemplo, à banca online.”
Chegar a estes criminosos, é difícil. Mesmo que sejam portugueses a fazer os telefonemas e possam, ou não, estar no país. “Podem ser portugueses, mas estes esquemas de spoofing, que é o termo técnico usado, pode implicar que a comunicação não seja totalmente transparente. O que é que eu quero dizer com isto? ‘A’ comunica com ‘B’ através de um operador ‘X’. Mas essa comunicação não tem sempre o mesmo percurso. A comunicação pode ir a um operador estrangeiro. A comunicação pode passar por um ou dois operadores. O que com certeza dificulta depois o traceback daquela chamada”, assume.
E é por isso, que impedir este tipo de burlas passa pela prevenção, pela forma de atuação das vítimas, mas também pela colaboração entre entidades. “Há necessidade de efetivamente todos colaborarem. Nomeadamente as entidades bancárias têm estado a tomar algumas medidas nesse sentido. O duplo fator de autenticação que exigem às pessoas. Que não só é uma medida de segurança, como um entrave para os criminosos.” Eventualmente até se poderá avançar “para outros fatores de autenticação” que “permitam debelar, ao fim ao cabo, esta capacidade que o crime tem, às vezes até crime organizado, de entrar neste tipo de ações”.
Atriz alvo de tentativa de burla
Apesar do pico de casos no final de 2022, as tentativas continuam a acontecer. Em maio, por exemplo, a atriz Benedita Pereira publicou um vídeo no Instagram onde relata que foi vítima de uma tentativa de fraude, por alguém que se fez passar por funcionário da MBWay/SIBS. E o telefonema que recebeu era do “número oficial”.
No vídeo, a atriz relata o que lhe foi dito e o que lhe foi pedido. Diz até que pesquisou na internet se o número que lhe estava a ligar era verdadeiro e concluiu que sim. Mas a dada altura, os pedidos do burlão pareceram estranhos e optou por desligar e ligar para a empresa. Percebeu rapidamente que se tratava de uma burla, da qual tinha escapado por pouco.
Na mensagem escreveu: “ALERTA ‼️ TELEFONEMAS FRAUDULENTOS 🚨 PHISHING ‼️ Partilhem com a família e amigos. Telefonemas aparentemente credíveis do número oficial do MBWAY/SIBS. Não deem os vossos dados a ninguém, desliguem a chamada e telefonem para os vossos bancos ou para mesmo para este número da SIBS. Se vos pedirem para aceder ao site mbway-desbloqueio.com já sabem que é fraude!”
Também a página de Twitter Denúncia Burlas tem recebido vários alertas desta natureza. Como, por exemplo, este, que envolve a companhia aérea TAP:
“O email parece legítimo, o link parece legítimo, mas a página para onde esse link leva não tem nada a ver com a TAP”, lê-se na publicação.
🚨 TAP 🚨
— Denúncia Burlas 🇵🇹❤️🩹 (@DenunciaBurlas) July 6, 2023
Chegou a vez dos burlões utilizarem a imagem da @tapairportugal para vos roubar.
O email parece legítimo, o link parece legítimo, mas a página para onde esse link leva não tem nada a ver com a TAP.
Se receberes um email assim, reporta, por favor. pic.twitter.com/7PLRkZ83Zx
Passos recomendados pela Polícia Judiciária
- Solicitar sempre o nome e o departamento desse serviço onde o interlocutor diz trabalhar. Depois desligue a chamada e ligue para a entidade para confirmar se é verdade;
- Nunca realizar nenhuma ação que seja solicitada por telefone, com a desculpa de que é muito urgente;
- Não se deixar influenciar pelo tom ameaçador ou alarmista que o interlocutor possa usar;
- Alertar sempre os familiares e os amigos e, até outras pessoas, para evitar que também elas sejam vítimas.
