Phishing e pharming: o que são e como proteger o seu dinheiro online?
Phishing e pharming são fraudes informáticas com o objetivo de roubar dados bancários e, consequentemente, dinheiro. Pode acontecer em apenas alguns minutos. Saber distingui-las e agir de forma correta faz toda a diferença, tanto na prevenção como no reembolso, caso caia na burla.
Phishing e pharming são técnicas usadas por criminosos para obter dados pessoais e bancários e realizar transações fraudulentas.
- Phishing: fraude baseada em mensagens falsas (e-mail, SMS ou WhatsApp) que se finge serem de bancos ou marcas conhecidas, para roubar dados.
- Pharming: é mais sofisticado, pois redireciona o utilizador para um site falso, mesmo quando o endereço parece correto.
Os dois esquemas têm objetivos comuns:
- aceder à sua conta e ao seu dinheiro;
- aceder aos seus dados pessoais e credenciais (número de contribuinte, palavras-passe, códigos de autenticação, etc.);
- usurpar a sua identidade, com a qual os criminosos podem abrir contas bancárias, pedir crédito ou fazer contratos em seu nome;
- aceder ao seu e-mail ou serviços de cloud, assim como às suas redes sociais ou plataformas de comércio eletrónico.
A boa notícia? Com informação correta e alguns cuidados simples, é possível reduzir drasticamente o risco.
Continue a ler para perceber qual é a diferença entre phishing e pharming, como se proteger e o que fazer para ser reembolsado em caso de fraude.
O que é phishing?
O phishing é um método usado para conseguir dados confidenciais:
- nome de utilizador (username);
- palavra-chave (password) para o início de sessão;
- códigos de autenticação;
- outros elementos pessoais.
Estes elementos serão depois vendidos a terceiros ou utilizados para fazer transações sobre contas existentes ou para a abertura de novas contas bancárias.
Regra geral, é enviada uma mensagem aparentemente legítima – normalmente, em nome de um banco, loja ou entidade pública – que leva a:
- clicar num link;
- descarregar um ficheiro;
- introduzir dados pessoais ou bancários.
Exemplos comuns de phishing
- E-mails a pedir “confirmação urgente da conta”.
- SMS com links para “pagamentos pendentes” (smishing).
- Mensagens com erros de português.
- Mensagens com tom alarmista.
Regra de ouro: os bancos nunca pedem passwords, códigos ou cartões-matriz por mensagem. Também nunca, em circunstância alguma, pedem para que lhes sejam facultadas todas as chaves de validação.
Confira exemplos de bancos e de uma loja de eletrodomésticos.
Exemplo de uma tentativa de phishing em nome de um banco.
O que é pharming?
O pharming é outra fraude, mas recorre a uma técnica mais complexa do que o phishing.
O objetivo é fazer o endereço de um site remeter para um servidor diferente do pretendido. Mesmo que escreva corretamente o endereço do banco, pode ser redirecionado para um site falso visualmente idêntico ao original.
Ao parecer uma página fidedigna, quando é solicitado, o utilizador é levado a fornecer os seus dados pessoais (login, números de conta e senhas de acesso, por exemplo). Estes, depois, são utilizados para realizar operações fraudulentas.
Como funciona o pharming passo a passo
- O sistema ou a rede são comprometidos.
- O endereço verdadeiro aponta para um servidor fraudulento.
- O utilizador insere os dados sem suspeitar da fraude.
- Resultado: transferências fraudulentas e roubo de identidade.
Como se proteger de phishing e pharming: 10 boas práticas fundamentais
Se usa regularmente o homebanking, deve ter cuidados redobrados para evitar burlas.
- Altere com frequência a palavra-chave ou recorra a um gestor de passwords e atualize regularmente o antivírus do computador. Não há defesas totalmente eficazes para software maligno, mas correr regularmente o antivírus e o anti-spyware e ter uma firewall ativada impedem algumas ameaças.
- Não faz parte do procedimento dos bancos pedir aos clientes para enviarem dados pessoais, até porque têm apostado em formas de validação cada vez mais sofisticadas nos seus sites, para maior segurança dos clientes. Desconfie se receber e-mails com estes pedidos.
- Não aceda ao site do banco através de links enviados em e-mails, newsletters, motores de busca, etc.
- Não abra anexos de mensagens não solicitadas, mesmo que pareçam enviadas por conhecidos. O computador ou a conta de um amigo que estejam comprometidos podem disparar e-mails malignos. Desconfie se parecer que a mensagem foi enviada para toda a lista de endereços dessa pessoa.
- Não envie o seu nome de utilizador, código de acesso ou cartão-matriz por e-mail.
- Desconfie de mensagens com endereços estranhos ou escritos em português incorreto.
- Termine sempre a sessão quando aceder ao website do seu banco.
- Consulte periodicamente a sua conta bancária.
- Evite aceder ao homebanking a partir de redes de wi-fi públicas.
- Antes de aceder a um site que desconhece, verifique se é seguro com a ferramenta da DECO PROteste.
Em caso de dúvida, contacte a DECO PROteste.
Vítimas de phishing e pharming têm direito a reembolso?
Os pagamentos eletrónicos estão regulados pelo Regime de Serviços de Pagamento. Se o cliente tiver cumprido os deveres de confidencialidade e segurança dos dados, o banco tem de o reembolsar.
Recai sobre o banco o risco das falhas e do deficiente funcionamento do sistema. E terá de ser o banco a provar que a operação de pagamento não autorizada nada teve que ver com avaria técnica, nem com outra deficiência do sistema. Só o banco pode assegurar que o complexo sistema informático utilizado funciona bem e garante a confidencialidade dos dados do utilizador.
Pontos a reter sobre o reembolso
- O cliente só perde o direito se agir com negligência grave.
- O prazo para comunicar ao banco a operação de pagamento não autorizada é de 13 meses após o débito.
- O ónus da prova é do banco, ou seja, é este que tem de provar a negligência do cliente.
O que fazer em caso de fraude?
- Contacte o banco de imediato.
- Peça o bloqueio de acessos e cartões.
- Formalize a ocorrência por escrito.
- Guarde provas (mensagens, e-mails, etc.).
- Se necessário, denuncie às entidades policiais.
Questões frequentes
Respondemos às principais dúvidas sobre phishing e pharming.
Como sei se um e-mail do banco é falso?
Se o e-mail pedir dados pessoais ou criar urgência extrema, é fraude.
Posso ser vítima de fraude sem clicar em links?
Sim. No caso de pharming, basta aceder a um site comprometido.
O banco pode recusar o reembolso?
Só se provar que houve negligência grave por parte do cliente.
O “https” no endereço do site garante segurança total?
Não. É necessário, mas não suficiente por si só. O mesmo acontece com o símbolo de cadeado junto ao endereço.
As fraudes informáticas estão a aumentar?
Sim, por isso, a literacia digital é essencial.
Phishing e pharming são técnicas usadas por criminosos para obter dados pessoais e bancários e realizar transações fraudulentas.
- Phishing: fraude baseada em mensagens falsas (e-mail, SMS ou WhatsApp) que se finge serem de bancos ou marcas conhecidas, para roubar dados.
- Pharming: é mais sofisticado, pois redireciona o utilizador para um site falso, mesmo quando o endereço parece correto.
Os dois esquemas têm objetivos comuns:
- aceder à sua conta e ao seu dinheiro;
- aceder aos seus dados pessoais e credenciais (número de contribuinte, palavras-passe, códigos de autenticação, etc.);
- usurpar a sua identidade, com a qual os criminosos podem abrir contas bancárias, pedir crédito ou fazer contratos em seu nome;
- aceder ao seu e-mail ou serviços de cloud, assim como às suas redes sociais ou plataformas de comércio eletrónico.
A boa notícia? Com informação correta e alguns cuidados simples, é possível reduzir drasticamente o risco.
Continue a ler para perceber qual é a diferença entre phishing e pharming, como se proteger e o que fazer para ser reembolsado em caso de fraude.
O que é phishing?
O phishing é um método usado para conseguir dados confidenciais:
- nome de utilizador (username);
- palavra-chave (password) para o início de sessão;
- códigos de autenticação;
- outros elementos pessoais.
Estes elementos serão depois vendidos a terceiros ou utilizados para fazer transações sobre contas existentes ou para a abertura de novas contas bancárias.
Regra geral, é enviada uma mensagem aparentemente legítima – normalmente, em nome de um banco, loja ou entidade pública – que leva a:
- clicar num link;
- descarregar um ficheiro;
- introduzir dados pessoais ou bancários.
Exemplos comuns de phishing
- E-mails a pedir “confirmação urgente da conta”.
- SMS com links para “pagamentos pendentes” (smishing).
- Mensagens com erros de português.
- Mensagens com tom alarmista.
Regra de ouro: os bancos nunca pedem passwords, códigos ou cartões-matriz por mensagem. Também nunca, em circunstância alguma, pedem para que lhes sejam facultadas todas as chaves de validação.
Confira exemplos de bancos e de uma loja de eletrodomésticos.
Exemplo de uma tentativa de phishing em nome de um banco.
O que é pharming?
O pharming é outra fraude, mas recorre a uma técnica mais complexa do que o phishing.
O objetivo é fazer o endereço de um site remeter para um servidor diferente do pretendido. Mesmo que escreva corretamente o endereço do banco, pode ser redirecionado para um site falso visualmente idêntico ao original.
Ao parecer uma página fidedigna, quando é solicitado, o utilizador é levado a fornecer os seus dados pessoais (login, números de conta e senhas de acesso, por exemplo). Estes, depois, são utilizados para realizar operações fraudulentas.
Como funciona o pharming passo a passo
- O sistema ou a rede são comprometidos.
- O endereço verdadeiro aponta para um servidor fraudulento.
- O utilizador insere os dados sem suspeitar da fraude.
- Resultado: transferências fraudulentas e roubo de identidade.
Como se proteger de phishing e pharming: 10 boas práticas fundamentais
Se usa regularmente o homebanking, deve ter cuidados redobrados para evitar burlas.
- Altere com frequência a palavra-chave ou recorra a um gestor de passwords e atualize regularmente o antivírus do computador. Não há defesas totalmente eficazes para software maligno, mas correr regularmente o antivírus e o anti-spyware e ter uma firewall ativada impedem algumas ameaças.
- Não faz parte do procedimento dos bancos pedir aos clientes para enviarem dados pessoais, até porque têm apostado em formas de validação cada vez mais sofisticadas nos seus sites, para maior segurança dos clientes. Desconfie se receber e-mails com estes pedidos.
- Não aceda ao site do banco através de links enviados em e-mails, newsletters, motores de busca, etc.
- Não abra anexos de mensagens não solicitadas, mesmo que pareçam enviadas por conhecidos. O computador ou a conta de um amigo que estejam comprometidos podem disparar e-mails malignos. Desconfie se parecer que a mensagem foi enviada para toda a lista de endereços dessa pessoa.
- Não envie o seu nome de utilizador, código de acesso ou cartão-matriz por e-mail.
- Desconfie de mensagens com endereços estranhos ou escritos em português incorreto.
- Termine sempre a sessão quando aceder ao website do seu banco.
- Consulte periodicamente a sua conta bancária.
- Evite aceder ao homebanking a partir de redes de wi-fi públicas.
- Antes de aceder a um site que desconhece, verifique se é seguro com a ferramenta da DECO PROteste.
Em caso de dúvida, contacte a DECO PROteste.
Vítimas de phishing e pharming têm direito a reembolso?
Os pagamentos eletrónicos estão regulados pelo Regime de Serviços de Pagamento. Se o cliente tiver cumprido os deveres de confidencialidade e segurança dos dados, o banco tem de o reembolsar.
Recai sobre o banco o risco das falhas e do deficiente funcionamento do sistema. E terá de ser o banco a provar que a operação de pagamento não autorizada nada teve que ver com avaria técnica, nem com outra deficiência do sistema. Só o banco pode assegurar que o complexo sistema informático utilizado funciona bem e garante a confidencialidade dos dados do utilizador.
Pontos a reter sobre o reembolso
- O cliente só perde o direito se agir com negligência grave.
- O prazo para comunicar ao banco a operação de pagamento não autorizada é de 13 meses após o débito.
- O ónus da prova é do banco, ou seja, é este que tem de provar a negligência do cliente.
O que fazer em caso de fraude?
- Contacte o banco de imediato.
- Peça o bloqueio de acessos e cartões.
- Formalize a ocorrência por escrito.
- Guarde provas (mensagens, e-mails, etc.).
- Se necessário, denuncie às entidades policiais.