Recentemente, chegou ao conhecimento da CpC (através do link de reporte e pedidos de ajuda em https://cidadaospelaciberseguranca.com) um caso que merece atenção e acção por parte das autoridades e governantes.

O caso refere-se a uma burla ocorrida em dezembro de 2024 e que usou ou uma lista aleatória de números de telemóveis portugueses ou uma das várias exfiltrações de números de telemóveis que estão à venda na darkweb por algumas centenas de euros e que provêm da TAP, Linkedin ou Facebook, colocaram centenas de milhares de portugueses na mira destas redes de cibercriminosos.

O processo de burla:

1. O burlão usando o nome “Pedro Carvalho” ligou para a vítima fazendo-se passar por um colaborador da SIBS e que estava a telefonar para avisar do uso simultâneo – em dois locais diferentes – de um dos seus cartões de crédito. Sobre isto, há que apontar, desde logo, duas notas:
a) a SIBS não gere cartões de crédito: essa gestão é feita (assim como a alarmística) pelos bancos que os emitem directamente aos seus clientes.
b) a alarmística para uso geográfico impossível existe de facto para cartões multibanco e era a forma mais fiável para detectar o uso de cartões multibanco com a faixa magnética clonada (um crime que, recentemente, parece ter saído das preferências dos criminosos).

2. A chamada, neste caso, era feita de um número anónimo. Sublinhamos, contudo, que nas redes telefónicas portuguesas é relativamente fácil alterar o número chamador (CallerID) pelo que qualquer burlão pode fazer chamadas que aparentam vir de um número telefónico que, de facto, está associado a um banco. Se receber uma chamada deste tipo, desligue e ligue para o banco e peça para falar com a pesso que está (ou não está) a tentar falar consigo.

3. Nesta chamada falsa o “representante da SIBS” disponibilizou-se a remotamente cancelar os cartões e cancelar todos os débitos directos. O burlão terá entrado no site da www.cetelem.pt onde o username é – infelizmente de forma insegura – o NIF das vítimas (outro dado que recorre frequentemente em vários exfiltrações disponíveis na Internet) e uma password que, provavelmente, consta também de uma dessas exfiltrações ou foi adivinhada por ser demasiado simples.
O acesso do burlão segue as normas da Cetelem (bem definidas) e requer a confirmação do acesso pedindo os pins enviados por SMS para o telemóvel da vítima (registado no site da Cetelem). O burlão “Pedro Carvalho” pede esses pins, a vítima cede-os para que o “burlão possa cancelar os cartões “, de imediato realiza actividade na conta online da vítima.

4. Nesta fase da burla, o cibercriminoso usa uma técnica já amplamente conhecida da CpCp e que nos mereceu repetidos alertas às autoridades e à Assembleia da República: o uso de entidades multibanco que geram referências multibanco fraudulentas: https://cidadaospelaciberseguranca.com/2024/10/23/alerta-de-burla-fraude-via-sms-com-referencias-multibanco-falsas-utilizando-entidade-21800-e-11249-dividas-fiscais/
Neste caso foi usada a Entidade 21423 “Altice Pay, S.A.”
As referências desta burla e os valores furtados foram:
ref 674 431 325 valor 1000€
ref 674 431 325 valor 2000€
ref 674 431 325 valor 190€
ref 674 431 325 valor 2000€
ref 674 431 325 valor 163€
Testada em 18.02.2025 a referência já estava invalidade pela SIBS.
Ent 21800
outrora “MediaMedics” (a mais turva e usada por burlões entidade emissora de referências multibanco esconde-se agora atrás da designação “OPP- PAYPAL” com site em https://onlinepaymentplatform.com/ e registo no Banco de Portugal em
https://www.bportugal.pt/en/entidadeautorizada/online-payment-platform-bv
As caras e emails desta empresa estão aqui https://onlinepaymentplatform.com/about-us
A propósito da 21800:
https://cidadaospelaciberseguranca.com/2024/10/23/alerta-de-burla-fraude-via-sms-com-referencias-multibanco-falsas-utilizando-entidade-21800-e-11249-dividas-fiscais/
ref 364 958 877 valor 950€
e testada a 18.02.2025 ainda estava activa e, consequentemente, em uso por burlões.
Atualmente a 21800 é usada pela PMEDICS, a empresa que o PayPal contratou para fornecer os carregamentos de contas a partir do sistema Multibanco.
Recordamos, a este propósito, a https://peticaopublica.com/?pi=referenciasMB que apresenta várias medidas que poderiam cortar pela raíz este crime ou, pelo menos, mitigar a sua expansão.

5. De seguida, a vítima acede à sua App Cetelem e observa estes débitos. O burlão convence a vítima de que é a actividade de burlões e “disponibiza-se” a cancelar débitos na conta do Banco Santander mas aqui, o sistema do banco (aparentemente muito mais robusto do que o da Cetelem) detecta actividade suspeita e bloqueia a transacção.
a) a Cetelem poderia detectar actividade a partir de um IP demasiado distante dos acessos normais do utilizador
b) a Cetelem poderiam também ter detectado padrões suspeitos e bloqueado a transacção até confirmação directa (pagamentos MB seguidos numa conta que, antes, nunca os fez)

6. Na burla ficou nítido de que o burlão tinha uma lista de cartões de crédito da vítima vinda de uma exfiltração de dados sendo aparente nesta interacção de que o criminoso tinha em sua posse vários dados da vítima, tais como o nome, o telemóvel o NIF e, provavelmente, o património financeiro.

Conselhos, Recomendações e Propostas CpC:

Para os cidadãos:
1. Desconfie de chamadas inesperadas: Se receber uma chamada de alguém que se diz funcionário de um banco ou empresa financeira, desligue e ligue diretamente para o número oficial da instituição.
2. Nunca partilhe códigos SMS ou credenciais: Os bancos e empresas legítimas nunca pedem códigos de autenticação ou passwords por telefone ou email.
3. Verifique o remetente das mensagens e chamadas: Os burlões podem mascarar números de telefone, por isso, nunca confie apenas no número que aparece no identificador.
4. Use autenticação forte e passwords seguras: Evite reutilizar passwords e utilize gestores de passwords para criar combinações robustas.
5. Evite clicar em links suspeitos em mensagens: Aceda sempre aos sites digitando o endereço diretamente no navegador.
6. Denuncie tentativas de burla: Relate todos estes incidentes à Polícia Judiciária e ao site da CpC para ajudar a impedir que outras pessoas sejam enganadas.
7. Mantenha-se actualizado sobre novas burlas: Consulte regularmente fontes confiáveis sobre esquemas de fraude e partilhe essa informação com familiares e amigos.

Para as autoridades e reguladores:
1. Reforço da fiscalização sobre entidades que emitem referências Multibanco: Implementação de normas mais rigorosas para a criação e gestão de entidades de pagamento, reduzindo a facilidade com que burlões conseguem utilizá-las. Assine a https://peticaopublica.com/?pi=referenciasMB
2. Criação de um mecanismo rápido de denúncia e bloqueio de referências fraudulentas: Uma plataforma onde vítimas possam denunciar em tempo real referências Multibanco suspeitas, permitindo o seu bloqueio imediato.
3. Maior responsabilização das empresas que sofreram exfiltrações de dados: Exigir a notificação obrigatória dos utilizadores afectados sempre que uma base de dados for comprometida.
4. Reforço na regulação das telecomunicações: Implementação de medidas para dificultar a falsificação de números de telefone (Caller ID Spoofing): https://cidadaospelaciberseguranca.com/2024/08/21/spoofing-bancario-o-que-e-como-o-podemos-prevenir-o-que-podem-fazer-as-autoridades/
5. Acordo entre instituições financeiras para processos de estorno mais rápidos: Criar procedimentos padronizados que permitam às vítimas reverter pagamentos feitos a burlões antes que o dinheiro seja levantado.
6. Campanhas de sensibilização pública mais eficazes: As autoridades e os bancos devem investir em campanhas educativas sobre segurança digital, destacando os métodos mais comuns usados por burlões.
7. Apoio às vítimas: Criar um mecanismo de suporte legal e financeiro para quem foi lesado, garantindo orientação sobre os próximos passos a tomar.