Chegou à CpC uma campanha de phishing relativamente complexa e direccionada: Ao contrário da maioria deste tipo de campanhas esta visa os responsáveis “técnicos” (administrativos) que mantêm domínios DNS empresariais e de associações. Os burlões vigiam as datas de expiração dos domínios (p.ex. qualquercoisa.pt) e nos dias que as precedem enviam mensagens como esta que nos chegou:

“—- Mensagem encaminhada de WordPress <norpley@familienschlaf.de> —–
Data: Mon, 7 Apr 2025 04:07:41 +0000
De: WordPress <norpley@familienschlaf.de>
Assunto: The Domain name [pasc.pt] will expire in the next 2 days.
Para: secretariado@<editado>.pt
There Was a Problem with Your Renewal Payment
No. of Domain(s) under your account expiring in the next 2 days:
On expiry, the Domain(s) will be deactivated and subsequently deleted. So please review the Domain(s) below and renew, to ensure normal functioning.
List of expiring / expired Domain(s) under your account:
Domain name: <editado>.pt
Transaction Date: 04/07/2025 04:07:44 am
Transaction Amount: 12,69 €
View or manage payment
Transaction
6395252185868364
Last date to pay
04/09/2025
Merchant
wordpress.com
Email
secretariado@<editado>.pt
500 Terry A Francois Blvd San Francisco, CA 94158″

Trata-se de uma variante da “Burla CEO”, um esquema fraudulento em que os criminosos se fazem passar por executivos de uma empresa para enganar funcionários e levá-los a realizar transferências bancárias ou divulgar informações confidenciais. Como quem recebe estes emails são as direcções das empresas ou associações e estes – em tese – devem validar se o pedido é legítimo ou não o pagador (responsável financeiro) podem pensar que a verificação foi realizada e a burla prossegue. De notar que esta burla é relativamente dirigida porque usa o acesso a cartões Visa (físicos ou MBnet).

Quando alguém receber este tipo de mensagem deve começar por ir a
https://wordpress.com/sites e ver, se de facto, existe algo prestes a expirar.

Por outro lado, se repararmos o link da mensagem é
https://<editado>wordpres-log-in.toscanafolk.com/40d3053323edea653ad0ce90c71ea6b7/?payer=076891657bf5b92f15508eb0bea57ba3&cur=ver

Este domínio é, todo ele, fraudulento e registado na “Aruba Networks” francesa mas a entidade que recebe os pagamentos é a
Mima Send LLC
14553 Kings Ct
San Leandro, CA 94578
que está registada nos EUA
https://sos.wyo.gov/Business/docs/24Q2Domestic.pdf
O que significa que qualquer investigação policial em Portugal é ineficaz e levará a um arquivamento quase automático.
Esta morada é – muito provavelmente – morada de actividade do scammer.

A situação foi reportada à polícia local:
https://www.sanleandro.org/formcenter/Contact-Us-11/Contact-Us-City-Administration-61
assim como a
https://attorneygeneral.wyo.gov/law-office-division/consumer-protection-and-antitrust-unit
Mas será certamente descartada uma vez que apenas cidadãos dos EUA podem fazer queixas e requerer o lançamento de investigações. Acreditamos, contudo, que a informação possa ser útil para investigações locais se o burlão cometer o erro de vitimizar também cidadãos norte-americanos.

O URL do burlão foi também reportado via https://safebrowsing.google.com/safebrowsing/report_phish/ e foi também enviado um relato de “abuse” ao alojador de dns domain tucows.com.

Propostas da CpC: Cidadãos pela Cibersegurança:

Tendo em conta os riscos identificados neste tipo de burla digital, a CpC propõe um conjunto de medidas práticas e de caráter preventivo, destinadas tanto às entidades financeiras como aos próprios utilizadores, com o objectivo de reduzir significativamente o impacto deste tipo de esquemas/burlas.

Para Entidades Financeiras (Visa, SIBS, Bancos):

1. Introdução de um prazo mínimo de arrependimento para pagamentos com cartões Visa: Todas as transferências realizadas com cartões Visa (especialmente os temporários ou MBnet) devem incluir um período mínimo de 24 horas entre a autorização do pagamento e a sua execução efectiva. Este intervalo permitiria que o utilizador reavaliasse a transacção e, caso identifique que foi vítima de uma burla, este poderia solicitar a sua anulação antes que o montante fosse transferido de forma irreversível.

2. Criação de uma linha de apoio urgente para vítimas de burla na SIBS: A SIBS, enquanto entidade responsável pela geração e gestão dos cartões MBnet, deve disponibilizar uma linha telefónica de emergência disponível num regime de 24/7, dedicada exclusivamente a casos de burla. Actualmente, o único canal de contacto disponível para este efeito é um email genérico (mbway@sibs.pt), cuja resposta pode demorar mais de 24 horas: tempo durante o qual os fundos podem já ter sido transferidos para os burlões.

3. Implementação ou Desenvolvimento de/dos sistemas automáticos de deteção de anomalias nos pagamentos (SIBS + Bancos): Sugerimos que as entidades bancárias, em articulação com a SIBS, adoptar ou desenvolvam mecanismos automáticos de análise de comportamento transaccional. Estes sistemas deveriam:
a. Identificar quando o cliente está a realizar um pagamento acima da sua média mensal habitual
b. Detectar transferências para entidades novas ou nunca antes utilizadas pelo cliente
c. Avaliar a frequência e o padrão dos pagamentos em tempo real
Em casos suspeitos, a SIBS/Banco devem contactar o cliente telefonicamente para confirmar a legitimidade da transação antes de a autorizar.

Estas medidas não substituem a responsabilidade individual, mas criam uma camada adicional de protecção, especialmente útil para utilizadores com menor literacia digital ou menos familiarizados com fraudes online.

Recomendações ao Utilizador (caso tenha sido ou possa vir a ser vítima)
1. Uso preferencial do homebanking para geração de cartões Visa temporários: Sempre que possível, deve-se optar por gerar cartões Visa temporários através do homebanking em vez da aplicação móvel MBway. Em alguns bancos (ainda por confirmar de forma sistemática), esta via permite maior controlo e capacidade de cancelamento da transação, enquanto ela estiver apenas autorizada mas ainda não reflectida na conta à ordem.
2. Cancelamento preventivo através da redução do saldo da conta
Se o utilizador identificar a burla rapidamente, pode impedir que o débito se concretize esvaziando (ou congelando: há bancos que o fazem) a conta à ordem associada — uma medida de emergência que é tecnicamente viável através das funcionalidades de “transferência imediata” disponíveis nas apps bancárias móveis. Ao reduzir o saldo disponível para zero antes da execução do débito, impede-se que a transacção seja finalizada, mesmo após a sua autorização.

Estas propostas visam não só mitigar os danos de burlas já em curso, mas também incentivar práticas de segurança mais eficazes e reativas por parte dos sistemas financeiros. Se aplicadas, poderiam reduzir substancialmente o número de vítimas, bem como o valor total das perdas associadas.