Sabia que é possível realizar chamadas a partir de telefones ou SMS falsificando o número de origem ou colocando na descrição da origem do SMS um qualquer texto? Ou seja: quem nos liga pode não estar a ligar ou enviar a SMS a partir do número e nome indicados.

Em Portugal, actualmente e por inércia das autoridades é possível editar e mudar o número chamador (CallerID) para qualquer outro número e descrição que seja do interesse do cibercriminoso. Este tipo de burla é conhecido em inglês como “spoofing” (do inglês “spoof”>imitar) e tem sido uma das maiores fontes de rendimentos dos cibercriminosos contra particulares. Os números são incertos porque muitas vítimas não apresentam queixa nas autoridades ou porque sentem que os seus casos não serão investigados (e, frequentemente, têm razão) ou porque sabendo da natureza transfronteiriça destas operações sabem que a investigação é difícil ou impossível ou apenas por pura e simples vergonha. Apesar destas “cifras negras” estima-se, globalmente que, o cibercrime, (incluindo spoofing) custe mais de 10 mil milhões de dólares anualmente até 2025, de acordo com a Cybersecurity Ventures.

Existem vários tipos de Spoofing:
1. Por email: Em que mensagens de correio electrónico são enviadas a partir de domínios DNS recentemente criados com nomes idênticos ao de instituições bancárias e onde a CGD e o Montepio têm sido um alvo em função da demografia específica de boa parte dos seus clientes. Em casos mais avançados, o criminoso usa nomes reais de funcionários do banco obtidos em exfiltrações ou através da simples navegação no Linkedin.
2. Por SMS: o burlão envia mensagens de SMS, que alegam ser de uma entidade bancária e incluir links para sites maliciosos ou pede dados pessoais ou financeiros.
3. Por Spoofing de site: Em que ou por WhatsApp ou SMS (os bancos não deviam comunicar com os seus clientes com Links nos seus SMS para não credibilizarem este método criminoso) o cliente é direccionado para um site falso dedicado à captura de credenciais bancárias. O objectivo é captura de dados ou a instalação de software malicioso (malware).
4. Spoofing de chamadas telefónicas: Até há cerca de 1 ou 2 anos era raro em Portugal, mas o fenómeno começou a explodir com a venda na darkweb de bases de dados de telefones portugueses exfiltrados no facebook e WhatsApp: em alguns casos o alegado represente bancário fala um português de Portugal mas é mais comum usar um sotaque português lusófono, onde parecem assentar boa parte destes call centers que funcionam num modelo empresarial em salas onde é possível ouvir outras conversações a terem lugar.

Alertas a ter em conta:
1. Se alguém do “seu banco” o contacta com uma mensagem “urgente” (frequentemente alegam estar a fazer uma ação em defesa de uma ameaça criminosa à sua conta bancária ou no decurso de um pagamento seu por MBway): Suspeite: Infelizmente os bancos não fazem estes conctactos com a frequência que deviam. Desligue a chamada e contacte o seu banco através dos contactos oficiais.
2. Se no decurso dessa conversação procurarem saber dados de si, como passwords, pins recebidos por SMS e dados financeiros ou, sobretudo, se lhe pedem para fazer pagamentos ou transferências: é burla: 100% segura.

O que fazer:
1. Na autenticação do seu acesso ao homebanking já é obrigado – por norma europeia – a autenticar-se por passwords e SMS. Alguns bancos reforçam essa segurança com cartões de códigos: Use password difíceis, únicas, evite anos de aniversário use a Chave Móvel Digital e os códigos periodicamente reciclados. No seu telemóvel proteja-o com dados biométricos (impressão digital).
2. Se a dado ponto o “funcionário do Banco” lhe pedir que faça um pagamento por referência Multibanco está certamente perante uma instância da burla
https://cidadaospelaciberseguranca.com/2023/03/29/burlas-com-referencias-multibanco-accoes-e-iniciativas-ja-tomadas-e-em-curso-pelos-cpc-continuacao/
4. Se receber chamadas de alguém que alega ser do seu Banco desligue e contacte directamete a entidade em causa, apenas através dos contactos que são disponibilizados pela mesma, para esse efeito não através de nenhum número “directo” indicado pelo criminoso.
5. Se recebeu um SMS do seu banco tenha em conta que é possível falsificar o remetente do SMS, e que a mensagem de texto pode aparecer junto das mensagens que habitualmente recebe do seu banco. Isto será possível enquanto os nossos decisores políticos o permitirem:
https://cidadaospelaciberseguranca.com/2024/07/24/alerta-fraude-de-smishing-com-chave-movel-digital-continua-em-crescimento/
7. Instale um Antivirus no seu telemóvel e actualize o dispositivo instalando por exemplo a nova aplicação da Google para Android que permite o barramento e identificação de números conhecidos por maliciosos.
8. Nunca clique nos links do SMS que aparenta ser do seu Banco.
9. Nunca ceda informações pessoais, dados bancários ou códigos por telefone, SMS ou e-mail, independentemente da credibilidade do chamador.
10. Esteja atento a erros gramaticais ou frases mal formuladas. Tenha cautela se disserem que determinado serviço foi bloqueado e necessita ser ativado;
11. Reporte o incidente às autoridades e à entidade bancária.

O que podem fazer as autoridades?
1. Podem bloquear o envio de SMS do estrangeiro: como já faz o Reino Unido.
https://cidadaospelaciberseguranca.com/2024/05/12/fraudes-online-em-ascensao-bloqueio-de-sms-no-reino-unido-e-medidas-essenciais-para-combater-ameacas-digitais-na-europa-e-em-portugal/
3. Podem exigir identificação para a compra de múltiplos cartões telefónicos 3. Podem Implementar regulamentos que exijam a autenticação de remetentes de SMS, tal como sugerido pela ANACOM.
4. Em Portugal a maioria das queixas de fraude bancária são arquivadas sem investigação porque os se tratam de valores de algumas centenas de euros ou porque as vítimas – por vergonha ou por falta de crença nas autoridades – não apresentam queixa. Isso pode e deve mudar: a Assembleia da República devia determinar que até aos mil euros a devolução da verba perdida por parte do banco é automática e que este é obrigado a apresentar queixa nas autoridades. Centralizar em alguns instituições estas queixas irá aumentar a qualidade e a intensidade das investigações e, consequentemente, reduzir este tipo de criminalidade.
5. Uma grande percentagem das fraudes bancárias são realizadas com contas nos marketplaces do Facebook and Instagram. Numa experiência recente, vários membros da CpC denunciaram várias contas facebook que estavam a ser usadas em romance scams: das cerca de 20 contas reportadas: nenhuma foi bloqueada nem suspensa apesar de em todos os casos se tenha optado pelo “recurso” que, em tese, garante a intervenção humana de alguém trabalhando para o facebook.
6. As autoridades portuguesas (CNCS, PJ e MAI) devem trabalhar com autoridades internacionais para identificar e interromper as operações de envio de SMS fraudulentos algumas das quais operam a partir do próprio espaço europeu.

O que podem fazer os bancos?
1. Todos os bancos – por sua própria iniciativa ou forçados a tal por força de Lei – a alertarem os seus clientes caso detectem actividades suspeitas na sua conta e seguir o exemplo do Bank of America que tem na conta online dos seus clientes um “centro de segurança” que através de um sistema de pontos indica ao cliente o seu perfil de segurança e que passos concretos pode implementar para aumentar a sua segurança.
2. Para além dos sistemas de autenticação por SMS (obrigatórios) os bancos devem ter sistemas de geração de códigos temporários como os do Google ou Microsoft Authenticator para protegerem os seus clientes contra captura de códigos enviados por SMS através da instalação de malware nos telemóveis das vítimas ou através de duplicação de cartões SIM.
3. Se um cliente pertencer a um perfil de risco que, estatisticamente, o torna mais sujeito a ser alvo de ações de burla cibernética, ou para clientes que já tenham sido vítimas de fraude bancária, os bancos devem fornecer a esses clientes dispositivos de verificação biométrica de identidade (que já existem na maioria dos smartphones actuais) que verifiquem, por ordem de preferência as impressões digitais, o rosto, e os padrões de voz dos seus clientes.
4. Os bancos devem ter sistemas de alerta contra o registo de novos domínios DNS com designações idênticas às suas “p.ex. “caixa-directa.com” ou “milenium-bank.com” e agir, bloqueando estes domínios logo que forem detectados.

Em conclusão, o spoofing bancário representa uma ameaça significativa e crescente à segurança financeira dos indivíduos, aproveitando-se da confiança e da vulnerabilidade dos consumidores para realizar fraudes sofisticadas. A prevenção deste tipo de crime depende de uma combinação de acções coordenadas entre os consumidores, autoridades e instituições bancárias. Os consumidores devem estar atentos e adoptar práticas de segurança rigorosas, tais como nunca partilhar informações sensíveis por telefone, SMS ou e-mail, e reportar imediatamente qualquer actividade suspeita. As autoridades têm o papel crucial de implementar políticas de segurança mais rígidas, como o bloqueio de SMS fraudulentos e a exigência de autenticação para o envio de mensagens, além de melhorar os processos de investigação e punição destes crimes. Já os bancos devem implementar tecnologias avançadas para proteger as contas dos clientes e educá-los sobre os riscos e as melhores práticas de segurança. Somente com a colaboração entre todos os actores envolvidos será possível mitigar os impactos do spoofing bancário e proteger os consumidores de futuras ameaças cibernéticas.