Ciberameaças: portugueses dizem conhecer riscos online
Os ladrões digitais nunca dormem. Há esquemas cada vez mais engenhosos para roubar quem navega na net. Ainda assim, a maioria das ameaças podem ser afastadas com boas práticas que os portugueses afirmam conhecer bem, segundo inquérito. Conheça seis das fraudes mais comuns e saiba como evitá-las.
Nomes de utilizador, palavras-passe, dados de cartões bancários e outros elementos pessoais valem ouro para os ladrões digitais. Uma vez capturados, podem ser vendidos a terceiros ou usados para transações em contas bancárias ou para criar cartões virtuais e fazer pagamentos.
E tudo pode começar com um e-mail ou um SMS de alguém que se faz passar pelo banco ou por outra instituição idónea. Esta técnica, o phishing, é a preferida dos burlões que atuam no espaço português, segundo o mais recente relatório do Centro Nacional de Cibersegurança, de julho de 2024, e tem passado por atualizações de sofisticação. A DECO PROteste analisou seis ciberameaças (vishing, smishing, QRishing, spoofing, bluesnarfing e wangiri), e reuniu as suas melhores dicas para lhes escapar. Veja ainda os resultados do inquérito sobre a perceção dos portugueses sobre o cibercrime e as medidas que tomam para se defenderem.
A proteção do bom senso
Como princípio básico, deve ficar atento a e-mails, mensagens e sites suspeitos. A promessa de um prémio, de uma viagem ou de dinheiro sem esforço parece-lhe boa demais para ser verdade? Provavelmente, é mesmo. Já sabe: não clique em links nem abra anexos de origem desconhecida.
As regras do bom senso dizem que deve verificar o remetente e a autenticidade do conteúdo antes de qualquer ação, e a ferramenta Este site é seguro?, criada pela DECO PROteste, pode ser de grande utilidade. Só tem de copiar o URL para saber se a plataforma é fidedigna.
A atualização do software e dos sistemas operativos é também vital. Corrige falhas de segurança, que os cibercriminosos podem explorar. Mais: para reforçar a segurança, sempre que possível, use a validação multifatorial no acesso a contas. E mantenha-se informado sobre as mais recentes ameaças e as melhores práticas de segurança.
|
O conteúdo deste artigo pode ser reproduzido para fins não-comerciais com o consentimento expresso da DECO PROTeste, com indicação da fonte e ligação para esta página. Ver Termos e Condições. |
Será que os portugueses estão preparados para resistirem às ciberameaças? Em maio de 2024, a DECO PROteste conduziu um inquérito em conjunto com as organizações suas congéneres na Bélgica, em Espanha e em Itália, e concluiu que a maioria dos mil participantes nacionais até têm consciência das ações a empreender para evitarem cair nas armadilhas.
Mais de oito em dez dizem-se conhecedores dos riscos decorrentes das suas atividades online, enquanto quase seis em dez confiam nas capacidades que têm para se defenderem dos ataques.
Além disso, a maioria mantém bons hábitos de segurança, como evitar transações de dinheiro em redes wi-fi abertas (85%), não abrir links ou ficheiros de origem desconhecida (82%) ou abster-se da partilha de dados pessoais nas redes sociais (76 por cento).
Uma grande parte dos inquiridos portugueses que foram vítimas de uma tentativa de burla conseguiram escapar, mas 15% chegaram a transferir dinheiro para as contas dos burlões, que, em média, ascendeu a 460 euros por lesado.
Antivírus atualizado e password diferente em cada conta
Certos ataques, como as burlas e os esquemas, dependem de fracos hábitos de segurança (ou da falta de argúcia) da vítima para alcançarem o sucesso. Mas ainda existem ações que são descuradas, e que, em troca de um esforço modesto, podem adicionar proteção às atividades online. Por exemplo, poucos inquiridos instalaram um antivírus no smartphone (29%) ou um bloqueador de anúncios no browser (28 por cento). E, embora a maioria faça as atualizações de segurança periódicas aos equipamentos (quase 60%), também aqui há margem para melhoria.
Outro exemplo? Sabemos que uma vulnerabilidade frequente de quem navega na net é usar a mesma password em todas ou em muitas das suas contas. Com a multiplicidade de plataformas, desde lojas online a bancos, passando por contas de e-mail pessoais ou profissionais, pode ser difícil memorizar dezenas de combinações.
Mas é para isso que existem os gestores de passwords, programas que geram combinações fortes, e as guardam, permitindo atribuir uma sequência diferente a cada conta. O utilizador só tem de memorizar a senha de acesso ao programa, enquanto as restantes ficam armazenadas neste cofre seguro. Apesar das vantagens, e de até existirem programas grátis, apenas um em quatro inquiridos recorre a um gestor de passwords.
Para evitar cair nas armadilhas dos cibercriminosos, nada como conhecer as dicas da DECO PROteste.
Ciberameaças mais recentes e como escapar
O phishing tem-se desdobrado em avatares, ainda que o objetivo seja sempre o mesmo: roubar os incautos.
Vishing
O vishing é o phishing que chega com uma voz do outro lado da linha telefónica. Os cibercriminosos fazem-se passar por uma entidade ou por uma organização conhecida e idónea, e tentam convencer a vítima a revelar dados pessoais. Por exemplo, um suposto funcionário do banco informa que foi feito um movimento no cartão de crédito e que é necessário verificar dados, que o consumidor deve indicar por telefone.
Nenhum banco pede informações sensíveis por telefone. No máximo, solicita três ou quatro dígitos pertencentes a uma sequência específica, mas nunca requer a confirmação da sua totalidade. Recuse-se a fornecer o que quer que seja, e desligue a chamada.
Se lhe subsistirem dúvidas, fale com alguém da instituição bancária ou da entidade em causa, usando os contactos habituais e devidamente verificados. No canal da DECO PROteste no YouTube, veja o vídeo com dicas para escapar aos burlões.
Smishing
O smishing, por sua vez, é o phishing sob a forma de SMS. Neste caso, o golpista envia uma mensagem que convida a vítima a aceder urgentemente a um link para um site falso, destinado a capturar dados sensíveis ou mesmo a fazer pagamentos, ou a ligar para um número com tarifa especial (por exemplo, para desbloquear uma suposta encomenda retida na alfândega ou uma conta bancária).
Desconfiar é a melhor atitude. Não avance dados sensíveis sem confirmar com o banco ou com o serviço de encomendas, pelos números de telefone habituais e verificados. Estas fraudes são igualmente comuns através do WhatsApp. Uma mensagem é enviada a partir de um número não registado na lista de contactos da vítima, com o remetente a fazer-se passar por um filho ou outro familiar, dizendo ter perdido o telefone e pedindo para lhe ser enviado dinheiro. Escusado será dizer que não deve remeter quantia alguma.
Para desfazer as dúvidas, telefone para o número em causa e veja se é mesmo o seu familiar quem atende a chamada. Siga os conselhos, no canal da DECO PROteste no YouTube, do vídeo que ajuda a evitar as armadilhas do smishing.
Spoofing
O spoofing visa obter a confiança da vítima para que esta forneça informação sensível. Roubar dinheiro com a utilização dos dados bancários revelados, chantagear, aceder a um sistema informático e espalhar software malicioso através de anexos ou links infetados são alguns dos objetivos dos criminosos. Um ataque de spoofing pode ser iniciado com um SMS, um e-mail ou um telefonema, cujo autor se faz passar por uma empresa ou por uma pessoa conhecida (por exemplo, um familiar ou um amigo). Não é incomum a vítima ser direcionada para um site fraudulento, mas em tudo semelhante ao de uma instituição fidedigna, inclusive com um nome parecido, variando apenas um número ou uma letra, onde os seus dados acabam por ser capturados.
Também neste caso se aconselha desconfiança máxima. Na eventualidade de a mensagem lhe parecer plausível, contacte o pretenso familiar ou a suposta empresa pelo número que surgir no ecrã, e verifique se a história é verdadeira.
Se for redirecionado para uma plataforma, veja se o link é fidedigno com a ajuda da ferramenta Este site é seguro?. Aceda apenas se o veredicto for favorável.
Bluesnarfing
Consiste em aproveitar vulnerabilidades do protocolo bluetooth, para roubar dados pessoais sem o utilizador se aperceber. Diferente do phishing, o bluesnarfing é um ataque complexo desferido por hackers com conhecimentos. Para funcionar, é preciso que o bluetooth do dispositivo da vítima esteja ativado (por exemplo, no telemóvel). Mas, como esta conexão, geralmente, não alcança mais de 15 metros, o hacker tem de estar nas proximidades. Apesar de, em regra, o telefone pedir autorização para o emparelhamento com outros dispositivos, os criminosos podem usar software para encontrar vulnerabilidades que permitam estabelecer a conexão sem o conhecimento da vítima. Se for bem-sucedido, o ataque pode levar, por exemplo, ao roubo de informações pessoais ou de identidade ou a transações online fraudulentas.
Dispositivos móveis ou computadores mais recentes, no geral, não são vulneráveis a este tipo de ataque. Ainda assim, uma boa dica é desativar o bluetooth quando não estiver a ser usado, e sobretudo em lugares públicos.
Um segundo conselho é manter o software atualizado. As atualizações corrigem falhas de segurança, que os hackers podem explorar.
QRishing
Outra forma de phishing tira partido da popularidade dos códigos QR, usados, entre outros, para aceder a menus de restaurantes, ler informações em museus ou fazer transações em terminais de pagamentos. Mas a popularidade abriu igualmente uma janela de oportunidade aos burlões. A vítima lê um código QR falso com o dispositivo móvel, e é direcionada para um site fraudulento que imita uma plataforma legítima, onde indica dados pessoais ou bancários, caindo na armadilha do QRishing.
Evite ler códigos QR afixados em locais públicos ou cuja origem não seja conhecida. Verifique o URL antes de clicar e certifique-se de que corresponde ao site a que espera aceder.
Como medida de precaução adicional, instale um antivírus atualizado no smartphone ou no tablet, que tem capacidade para detetar e bloquear sites fraudulentos.
E, claro, nunca introduza dados bancários ou senhas de acesso em sites que não conhece ou que não inspirem confiança. Uma vez mais, impõe-se a verificação do link com a ferramenta Este site é seguro?, desenvolvida pela DECO PROteste.
Wangiri
Trata-se de mais um golpe via telefone. Conhecido por uma palavra japonesa que pode ser traduzida como "toca e foge", o wangiri também é designado por "fraude da chamada perdida". Os burlões ligam a partir de um número de valor acrescentado e desligam após o primeiro toque. As vítimas, por vezes, ligam de volta, para se inteirarem da origem da chamada. Ao fazê-lo, começam a ser cobradas taxas associadas ao número de valor acrescentado. Grande negócio para os criminosos, lesa os consumidores e os operadores de telecomunicações, em largos milhões por ano, ao nível mundial.
A única maneira é não retornar a chamada. Se tem dúvidas, pesquise o número no Google. Para reconhecer se é estrangeiro, confira o prefixo. Chamadas com +355 (Albânia), +225 (Costa do Marfim), +233 (Gana) ou +234 (Nigéria), por exemplo, são de desconfiar.
Prefixos +7 ou +8 envolvem tarifas especiais. Os operadores não são obrigados a bloquear as chamadas para números começados por +7 ou +8, mas podem facultar a opção. Contacte o seu operador.
E, se tiver caído no esquema, denuncie o caso à Anacom e ao Gabinete de Cibercrime da Procuradoria‑Geral da República (cibercrime@pgr.pt).