“Fique alerta!” É esta a premissa do Banco de Portugal (BdP) no comunicado, enviado esta quarta-feira às redações, e no qual partilha ferramentas para saber, enquanto cliente de um banco, se está a ser vítima de phishing.
Partindo de uma forma cada vez mais recorrente de tentar roubar dados de clientes, o BdP parte de um exemplo: um e-mail, uma mensagem ou uma chamada telefónica supostamente do seu banco alertando-o (a) para o facto de a sua conta poder estar comprometida ou bloqueada, e, por isso, o objetivo do contacto é pedir-lhe que faça login para recuperar o acesso ou que partilhe um código que é enviado para o seu telemóvel.
Se isto acontecer, “é provável que esteja perante uma forma comum de phishing, isto é, um ataque destinado a captar os seus dados pessoais”.
Com a ajuda do BdP vamos explicar-lhe como funciona.
Meios de contacto semelhantes a entidades oficiais
Os piratas informáticos, que se identificam, por exemplo, por um banco ou outro prestador de serviços de pagamento, uma entidade pública ou um prestador de serviços, usam o spoofing, isto é, copiam os números de telefone ou e-mails e a aparência das entidades oficiais, para serem mais convincentes.
Caso possível e credível
Criam um motivo “aparentemente legítimo para tentar convencê-lo (a) a disponibilizar dados pessoais", tais como credenciais de homebanking, dados de cartões de crédito ou um código que é enviado por SMS para o seu telemóvel (diretamente ou fornecendo-lhe um link para uma página falsa, ainda que aparentemente legítima).
E, para isso podem, por exemplo, justificar com a alegada necessidade de atualizar dados pessoais no homebanking, desbloquear a conta por ter sido detetada uma atividade suspeita, ou ter de confirmar os dados para receber determinada transferência/reembolso.
Conhecimento da vítima
Para ganhar a confiança da vítima, é recorrente que o pirata informático, no decurso da conversa, mostre que conhece alguns dados pessoais, como o nome completo e/ou a morada. Dados que podem também ter sido “obtidos ilicitamente ou através das suas redes sociais".
Urgência e intimidação
Além da confiança que tentam transparecer, também o tom usado é, por norma, revelador de alguma urgência na ação. O objetivo, explica do BdP, é que “divulgue rapidamente dados pessoais, sem ter tempo de pensar na melhor forma de agir”.
Mas, e porque os alertas são cada vez mais e mais frequentes, se o pirata informático achar que está a suspeitar de algo, pode alertar para supostas “consequências negativas” se não agir em conformidade. Uma dessas consequências pode ser o alegado bloqueio da sua conta bancária.
Dicas para se proteger destas situações
- Avalie cuidadosamente os pedidos de informação que recebe: seja prudente, mesmo que o número ou endereço de e-mail pareça legítimo. Verifique o endereço do remetente (e não apenas o nome), idioma, tipo e tom da linguagem utilizada. Muitas vezes, as mensagens fraudulentas têm uma apresentação e/ou linguagem menos formais, com erros ortográficos ou de semântica, e são escritas para transmitir ao leitor uma sensação de urgência;
- Proteja os seus dados: nunca divulgue informação pessoal nem credenciais de acesso aos seus canais digitais ou códigos de autenticação. Um banco ou outro prestador de serviços de pagamento jamais lhe solicitaria esse tipo de informação por e-mail, SMS ou telefone;
- Pondere antes de clicar: não clique em links, não abra QR codes, nem descarregue anexos incluídos em mensagens sem ter a certeza de que a fonte é segura. Alguns destes links podem reencaminhá-lo para páginas falsas ou instalar software malicioso no seu dispositivo e comprometer a segurança dos seus dados;
- Contacte a entidade em causa pelos contactos oficiais: mesmo que julgue tratar-se de um contacto legítimo, não divulgue de imediato informação e contacte a entidade em causa pelos contactos oficiais (e nunca usando os contactos fornecidos em e-mails, SMS ou nos telefonemas recebidos). E, em caso de suspeita, reporte imediatamente a situação ao seu banco ou outro prestador de serviços de pagamento, e às entidades policiais (PSP, GNR ou PJ) ou ao Ministério Público.
