Spoofing: mensagens falsas usurpam identidade e levam a burlas

Recebeu uma mensagem no telemóvel de uma empresa a propor-lhe ganhar dinheiro ao gostar de vídeos do TikTok ou do YouTube? Foi adicionado a um grupo no WhatsApp com o mesmo intuito, e tudo o que tem de fazer para começar a “trabalhar” é clicar num link? Esta estratégia dá pelo nome de spoofing (em inglês, a arte de falsificar) e é um dos ciberataques mais comuns dos últimos tempos.

Ainda que possa parecer-lhe uma boa forma de aumentar os rendimentos facilmente, não se deixe enganar. O phishing uma estratégia usada por burlões para usurpar dados pessoais e credenciais de acesso a sites e contas bancárias. Estes ataques são feitos através de técnicas de spoofing. Outro exemplo muito comum são os telefonemas ou as mensagens (sejam ou não de SMS) provenientes de entidades bancárias ou do MB Way, com pedidos de envio de dados pessoais ou links para autorizar a receção de um pagamento. Assim, quem os recebe confia na sua legitimidade e clica no link, o que leva a uma imediata exposição dos seus dados.

Veja o que é o spoofing e como se proteger.

O que é o spoofing?

Spoofing é o nome dado a um ataque em que um cibercriminoso se faz passar por outra entidade, seja um particular, um banco, uma instituição pública ou uma empresa, para obter os dados pessoais da pessoa afetada para fins criminosos. Os objetivos podem ser roubar dinheiro – através de acesso a dados bancários, por exemplo –, chantagear e espalhar malware através de anexos ou links infetados.

Como funciona o spoofing?

Um ataque que visa roubar dados pessoais através de spoofing pode ser iniciado de várias formas:

• envio de uma mensagem para o telemóvel ou de um e-mail, em que o remetente se faz passar por uma pessoa conhecida ou por uma empresa;
• um site fraudulento, em tudo semelhante ao de uma instituição fidedigna, mas que serve, apenas, para burlar quem lá cair;
• uma chamada telefónica ou um contacto por mensagem, alegadamente de uma pessoa conhecida.

Os burlões podem usurpar um número de telemóvel alheio e cometer fraudes em nome de alguém inocente. Para isso, utilizam aplicações ou serviços de VOIP (chamadas por internet) e conseguem, assim, manipular o número que aparece no visor do destinatário.

Quando alguém vê o seu número (ou o de uma empresa) associado a uma chamada ou a uma mensagem, pode ser levado a confiar mais facilmente na informação. Isso abre caminho a esquemas como falsas cobranças ou vendas online; SMS com links fraudulentos (smishing); fraudes bancárias ou falsos apoios técnicos. E tudo pode ser feito sem que o seu telemóvel tenha sido acedido, nem o seu cartão SIM comprometido. No entanto, a sua identidade está a ser associada a práticas criminosas, o que pode ter repercussões sérias.

O que pode fazer se o seu número de telemóvel estiver comprometido?

Se descobrir que o seu número foi usado numa burla, comece por enviar um aviso aos seus contactos mais próximos. Pode usar o seguinte como exemplo: “Informo que o meu número de telefone foi indevidamente usado em esquemas fraudulentos. Se receberem mensagens ou chamadas suspeitas em meu nome, ignorem e reportem.” Esta comunicação simples pode evitar que mais pessoas sejam vítimas da burla.

Peça às pessoas que o contactaram para lhe enviarem capturas de ecrã das mensagens ou chamadas recebidas; gravações (se disponíveis) e dados sobre o conteúdo da fraude (links, nomes usados, valores pedidos). Esta documentação poderá ser essencial como prova, caso tenha de apresentar queixa. De seguida, deve apresentar uma queixa formal junto da Polícia de Segurança Pública (PSP) ou da Guarda Nacional Republicana (GNR), consoante a sua área de residência. Pode também dirigir-se diretamente à Polícia Judiciária, responsável pela investigação de cibercrime. E ainda ao Ministério Público. Pode fazê-lo através do portal Sistema de Queixa Eletrónica.

O que incluir na queixa

• Descrição do sucedido.
• Provas recolhidas.
• Registos de contactos recebidos.
• Datas e horários.

Guarde o comprovativo da participação.

Informe a sua operadora (MEO, NOS, Vodafone ou Digi/NOWO) de que o seu número está a ser usado de forma fraudulenta. Solicite, ainda, que confirme se houve alguma anomalia ou acesso indevido à sua conta; que monitorize tentativas suspeitas associadas ao seu número; e que bloqueie chamadas internacionais ou serviços VOIP associados ao spoofing.

Será preciso mudar de número de telemóvel?

Em casos persistentes ou de grande exposição pública, poderá ser aconselhável pedir à sua operadora a atribuição de um número novo. Mas há inconvenientes, já que terá de notificar todos os seus contactos legítimos e poderá perder acesso a serviços que dependem do número anterior. Antes de tomar essa decisão, peça ajuda à operadora para avaliar alternativas a esta decisão radical.

E se for acusado injustamente de burla?

Em alguns casos, poderá ser surpreendido por investigações ou até queixas feitas por pessoas que foram burladas com o seu número. Se assim for, coopere com as autoridades: apresente os comprovativos de que também é vítima (denúncia prévia, provas recolhidas, contacto com operadora) e reforce o registo de todas as interações que provem a sua inocência.

Ligaram do banco? Desconfie

Um dos exemplos mais comuns de spoofing inicia-se com uma chamada telefónica, supostamente do banco, alertando-o de que alguém está a realizar operações bancárias nas suas contas. Para “proteger” o seu dinheiro, é instado a transferi-lo para uma conta “segura”. Solicitam-lhe, então, os dados pessoais "necessários" (como, por exemplo, o número do cartão de cidadão, os códigos de acesso ou as palavras-passe).

Na conversa, os criminosos aludem a dados concretos sobre si (muitos dos quais podem estar visíveis, por exemplo, em perfis públicos de redes sociais) ou terminologia bancária específica, o que torna o relato mais verosímil. Também podem recorrer a programas informáticos para mudar o número de telefone que aparece no ecrã para que quem receba a chamada, caso esteja desconfiado, possa ligar para a entidade, para se “assegurar” de que é de facto do banco que vem o pedido de intervenção na conta. O que o burlado iminente não sabe é que, se voltar a ligar para o número concedido, quem o atenderá é, de novo, alguém da “equipa” dos cibercriminosos, que vai, obviamente, corroborar a história.

Normalmente, o dinheiro é transferido para a conta de uma terceira pessoa que cedeu a sua identidade e que receberá uma comissão em troca do risco de ser apanhada.

Qual a diferença entre spoofing e phishing?

No spoofing, o atacante faz-se passar por outra pessoa ou entidade de modo a tirar partido da sua credibilidade para efetivar o ataque. Para tal, falsifica o remetente da mensagem – seja um número de telefone, um e-mail ou um endereço – de modo a convencer a vítima da sua legitimidade. Frequentemente é alterado apenas um símbolo ou caracter, o que passa despercebido a quem recebe a mensagem, mas é o suficiente para perpetrar o ataque.

O phishing é todo o tipo de ataque que tem como objetivo capturar (“pescar”) dados pessoais da vítima. Frequentemente, os ataques de phishing recorrem a técnicas de spoofing.

3 dicas para se proteger do spoofing

A melhor arma para evitar cair na armadilha é o bom senso.

1. Tenha cuidado com chamadas telefónicas em que seja feito um alerta. Lembre-se de que o banco nunca solicita por telefone palavras-passe, credenciais de acesso ou códigos enviados por SMS.
2. Verifique sempre a veracidade das informações transmitidas. Contacte, por exemplo, o seu gerente da conta ou entre na aplicação de homebanking e verifique se há movimentos na conta que justifiquem o alerta. Opte por fazê-lo em casa, numa rede que considere segura e em dispositivos próprios, para minimizar os riscos.
3. No caso de mensagens com links para sites ou plataformas online, verifique sempre se o link é seguro antes de clicar. Em caso de dúvida, não clique.

Veja se o site é seguro

Fui burlado, o que fazer?

Se for burlado, contacte imediatamente o seu banco e a polícia. Também pode denunciar o caso na plataforma Reclamar. A DECO PROteste junta o seu nome ao processo de modo a dar mais força à sua denúncia.