Recentemente chegou ao conhecimento da CpC um caso que indicia um novo método de operações dos cibercriminosos em Portugal. O caso não está isolado e a operação deste grupo – sofisticado, criativo e muito provavelmente baseado no nosso país – parece ter começado em outubro mas tem potencialidade para crescer nos próximos meses ou, até, nos próximos anos. Segundo informações prestadas pela linha de suporte telefónico da CGD a uma das vítimas, apenas em outubro teriam havido “centenas de casos”.
A campanha deste grupo começa com o envio de um SMS por um sistema automatizado para as várias listas de telefones móveis portugueses que está hoje em dia também a ser usada por grupos que usam a burla “Olá Pai/Olá Mãe” (https://peticaopublica.com/?pi=referenciasMB). Estas listas foram alimentadas pela grande exfiltração de dados de 2018 ao Facebook que colocou os dados de contacto de 29 milhões de utilizadores nas mãos de criminosos e foi reforçada com a operação do grupo “Ragnar Locker” que, em 2022, publicou na dark web 581 GB de informação da TAP, incluindo os contactos de mais de 1,5 milhões dos seus clientes. De recordar que recentemente a Polícia Judiciária deteve um burlão de nacionalidade estrangeira que com a burla Olá Mãe/Pai tinha e 8500 cartões SIM https://www.leak.pt/autor-da-burla-ola-mae/ mas que este indivíduo operava com o apoio de uma rede que continua a iludir as autoridades.
A campanha envia um SMS pedindo a actualização de dados (algo que os Bancos estão, por lei, obrigados a fazer de 2 em 2 anos) para uma lista de números de telemóvel e, confiando que uma percentagem tenha conta no banco público envia um link para um site onde são capturadas as credenciais do utilizador no serviço de online banking da CGD “Caixadirecta”. Após o acesso é enviado um código de confirmação (não sendo clara a razão). Os números de origem dos SMS são os mesmos usados pela CGD o que indicia o uso da técnica de “Caller ID spoofing” onde se mascara o nº de origem e substitui o nº por outro (o mesmo método tem sido usado na burla https://cidadaospelaciberseguranca.com/2023/05/07/campnha-viaverde-sessao-fraude-por-sms-activa-em-portugal/). Após a captura das credenciais do utilizador os criminosos realizam uma chamada de voz – sem qualquer sotaque e em português – também a partir do número oficial da CGD para particulares 217 900 790 (usando novamente a técnica de “Caller ID spoofing”) para credibilizar o contacto e aumentarem as possibilidades de a vítima realizar a transferência para um IBAN. A chamada é realizada com grande profissionalismo questionando mesmo a dado ponto se a chamada pode ser gravada e é no seu decurso que a vítima é convencida a fazer a transferência bancária.
O “Caller ID Spoofing” tem sido amplamente usado e faz com que actualmente já não se possa confiar na informação do número chamador nem de chamadas de voz nem de mensagens de SMS. Sem nos alongarmos em detalhes técnicos o método requer uma ligação digital especializada a um operador telefónico (um “ISDN PRI circuit”) e foi popularizada a partir de 2004 pela empresa norte-americana star88.com que vendia chamadas a partir de uma interface web. A empresa fechou no ano seguinte mas surgiram depois vários clones que ainda hoje funcionam a partir de paraísos fiscais e de países como a Índia, no norte de África, Rússia ou China e está acessível através de aplicações móveis como a “Falso Call – Spoof Caller ID” h.ttps://apps.apple.com/pt/app/falso-call-spoof-caller-id/id1497272472
Este método é usado por vários esquemas criminosos para credibilizar chamadas que viriam de países associados a burlas (como a Nigéria ou Índia) e fazendo-as aparecer nos telefones das vítimas como sendo originárias da Alemanha ou da Suíça.
O uso do método é relativamente simples para um sistema de VoIP (como o gratuito Asterisk) já que estes permitem que um administrador configure o número que é apresentado ao chamador através de uma página web. É este número que é enviado na chamada ou no SMS. Isto é feito sem software adicional nem conhecimentos técnicos muito profundos (se for usado um serviço alojado na web) e algumas destas entidades permitem o envio de mensagens de SMS pela mesma plataforma (como aconteceu no caso desta burla da CGD)
O que pode ser feito:
- Anacom/Parlamento:
a) Combater a técnica de “Caller ID spoofing” tornando ilegal o “Caller ID spoofing” não só para impedir o seu uso por scammers mas também por campanhas agressivas de telemarketing as quais, frequentemente, mascaram ou omitem o número chamador. Actualmente, operadores como a Altice já colocam nas suas “condições de acesso ao serviço VoIP” que “Não é permitido ao utilizador:
a) Interceptar, monitorar, danificar ou modificar qualquer comunicação da qual não seja remetente ou destinatário;
b) Selecionar ou usar um Nome de Utilizador de outra pessoa com a intenção de fazer passar-se por essa pessoa (Caller Id Spoofing” mas tal obrigação não devia ser contratual e depender da discricionariedade dos operadores mas ter força de lei.
b) O Legislador deveria também trabalhar no mesmo sentido em que trabalha actualmente o Canadá que está a tornar obrigatório um sistema de autenticação obrigatório (o sistema de autenticação CID “STIR/SHAKEN” que também é usado nos EUA) e que, em 2018, anunciou que a partir de 2020 os operadores telefónicos deviam bloquear todas as chamadas cujos callers IRS não fossem conformes ao plano de numeração utilizado pelo chamador ou que tenham sido explicitamente autorizado pelo proprietário da numeração (como é obrigatório no Reino Unido).
c) Fazer como fez a Índia e proibir o uso e comercialização de todos os serviços que ofereçam “caller ID spoofing” e todos os que os usaram no passado recente devem ser reportados às autoridades por parte dos operadores telefónicos com licença em Portugal.
d) Criar um serviço online que simplifique a denúncia de todos os números usados em campanhas deste tipo e nas burlas “Olá Pai/Olá Mãe” como já existe actualmente nos EUA através de um assistente de queixas online operado pela “Federal Trade Commission” (FTC).
e) Denuncie todas as chamadas que usam o método “Caller ID spoofing” à Polícia Judiciária usando o formulário web e o formulário do Centro Nacional de Cibersegurança em https://www.cncs.gov.pt/pt/notificacao-incidentes/ - Anacom/Parlamento:
Seguir e replica a recomendação emitida pela Agência Finlandesa de Transportes e Comunicações (Traficom) em 2002 e que apresenta modelos para análise e ação para detetar os seguintes casos básicos de falsificação de identificação de chamadas:
Em terminação de chamadas internacionais:
Chamadas em que o número do chamador não pertence ao espaço numérico ativo na Finlândia.
Chamadas em que o número do chamador é fraudulentamente apresentado como um número pertencente ao espaço numérico finlandês alocado a áreas de telecomunicações em redes telefónicas fixas ou ao espaço numérico alocado a números de assinantes ou serviços nacionais.
Chamadas em que o número do chamador é fraudulentamente apresentado como um número pertencente ao espaço numérico alocado a redes móveis finlandesas (número móvel).
Chamadas em que o campo para o número do chamador está vazio ou a identidade da linha do chamador (CLI) no campo não está em conformidade com a sintaxe.
Desencadear medidas obrigatórias nos operadores telefónicos que travem estas chamadas.
E, em particular, determinar que os operadores de telecomunicações bloqueiem chamadas provenientes internacionais quando o número do chamador é um número de telefone português que não seja um número de assinante de rede móvel (número de telemóvel). O procedimento recomendado pelos finlandeses aqui também se aplicaria à terminação de chamadas encaminhadas a partir da interface internacional quando o número do chamador é um número de telefone nacional. Assim, sendo a Traficom recomenda que os operadores de telecomunicações:
- activem a restrição de identificação da linha de chamada para chamadas encaminhadas a partir de um número de telefone internacional e que bloqueiem chamadas encaminhadas a partir de um número de telefone finlandês. Algo semelhante já deveria estar em vigor em Portugal.
- BdP/Parlamento: Impedir que sejam enviados Links por mensagens de SMS para todo o tipo de operações, sejam elas de marketing ou que envolvam directamente actividades financeiras.
- BdP/Bancos: Responsabilizar os Bancos por estas situações obrigando-os a apresentarem queixas ao MP sempre que o seu nome for usado em campanhas criminosas.
- BdP/Bancos: Sempre que um banco tiver conhecimento (p.ex. através da aquisição de bases de dados de exfiltrações) de que os contactos por email ou telemóvel dos seus clientes foram revelados deve enviar um alerta personalizado a cada potencial vítima recomendando a mudança do contacto e alertando para o uso desse contactos em possíveis burlas.
- Utilizadores/potenciais vítimas:
a) Seja Céptico: Seja sempre muito cauteloso ao receber chamadas, especialmente se lhe pedirem informações pessoais ou financeiras.
b) Não Confie no Identificador de Chamadas (“Caller ID”) dado que este pode ser facilmente manipulado. Mesmo que uma chamada pareça ser de uma fonte confiável, verifique a identidade do chamador desligando, fazendo uma chamada para o seu Banco ou operador de comunicações e dizendo isso ao scammer. Se for o caso este perderá interesse e vai focar a sua atenção na próxima vítima da sua lista.
c) Desligue a Chamada: Se receber uma chamada suspeita, desligue imediatamente. Não interaja com o chamador e não ceda qualquer informação a um chamada sobre a qual tem algumas suspeitas.
d) Use a função de bloqueio de chamadas disponível na maioria dos smartphones da actualidade. Isto vai permitir bloquear algumas chamadas de spam e de fraude. Algumas aplicações de confiança existem no mercado e estão ao alcance (tenha cuidado com aplicações falsas e que exfiltração os seus dados pessoais)
e) Denuncie todas as chamadas que usam o método “Caller ID spoofing” às autoridades.
f) Sensibilize a sua família, amigos e colegas sobre as fraudes de spoofing de identificação de chamadas. Quanto mais pessoas estiverem cientes dos métodos e natureza destes crimes, menos probabilidades têm de cair nessas fraudes e mais possibilidade há destes scammers deixarem de terem alvos para as suas actividades.
g) Sobretudo, lembre-se que todas estas precauções podem ajudar a reduzir o risco, mas nenhum método é infalível e que todos nós – especialistas e não especialistas – iremos ao longo da nossa vida cair pelo menos uma vez numa fraude ou burla.
Para saber mais:
https://abhandshake.com/community/cli-spoofing-fraud-europe-obr/
https://www.mcafee.com/blogs/pt-br/mobile-security/como-evitar-o-spoofing-no-seu-celular/
https://www.subex.com/blog/shaken-and-stirred-how-telecom-industry-is-dealing-with-robocalls/
https://spamcalls.net/en/country-code/351#google_vignette
https://www.anacom.pt/streaming/consulta_voip.pdf?contentId=305495&field=ATTACHED_FILE
https://www.kyberturvallisuuskeskus.fi/sites/default/files/media/regulation/EN%20Recommendation%20to%20Telecommunications%20Operators%20on%20Detecting%20and%20Preventing%20Caller%20ID%20Spoofing.pdf
https://www.europol.europa.eu/media-press/newsroom/news/beware-of-scams-involving-fake-correspondence-europol
Resposta da Anacom a 20.11.2023:
“Na sequência do pedido de informação remetido por V. Exa., o qual mereceu a nossa melhor atenção, a ANACOM esclarece que as empresas que oferecem serviços de comunicações interpessoais com base em números acessíveis ao público devem, nomeadamente, garantir que a identificação da linha chamadora e do remetente de uma mensagem é «válida de forma a identificar em exclusivo o originador da comunicação ou, no caso de uma mensagem, o seu remetente» e que é «transmitida sem alterações, para além das previstas em normas internacionais» (tal como estabelecem as alíneas a) e b) do n.º 3 do artigo 146.º da Lei das Comunicações Eletrónicas [1]). As referidas empresas e os operadores devem tomar as medidas adequadas no sentido de assegurar a integridade da rede e a fidedignidade da identificação apresentada, para impedir que o número ou recurso associado à identificação da linha chamadora ou do remetente de uma mensagem seja inválido ou não esteja, se aplicável, acessível ao chamado.
Relativamente ao spoofing, pese embora a ANACOM não tenha competências para aferir eventuais práticas do foro criminal, tem acompanhado o assunto, tendo em vista, ao abrigo das suas competências, promover a adoção de medidas regulamentares relativas à identificação da linha chamadora e do remetente de uma mensagem, no que respeita à geração, validação e transporte da identificação da origem das comunicações.
Sobre esta matéria a ANACOM está a elaborar uma proposta de projeto de regulamento [2], o qual será objeto de consulta pública de acordo com o procedimento legalmente estabelecido para o efeito, e terá em linha de conta as boas práticas e as normas adotadas por organizações nacionais, da União Europeia ou internacionais aplicáveis ao setor das comunicações eletrónicas, de forma a contribuir para uma maior clareza e confiança das empresas/organismos e utilizadores finais sobre a identificação da linha chamadora e do remetente de uma mensagem.
Na expetativa de terem sido prestados os esclarecimentos pretendidos.
Com os melhores cumprimentos,
Direção-Geral de Informação e Inovação
[1] Disponível em https://diariodarepublica.pt/dr/detalhe/lei/16-2022-187481298.
[2] Informação sobre este tema disponível em https://anacom.pt/render.jsp?contentId=1740779.”
Iniciativa CpC: Cidadãos pela Cibersegurança 
Uma opinião sobre “Tácticas de Fraude Cibernética em Portugal: A campanha “CGD” de Outubro (fake caller ID), Chamadas de Alerta e Medidas Preventivas”