Chegou ao conhecimento da CPC: Cidadãos pela Ciberseguranç um esquema clássico de “email/WhatsApp scam” aplicado ao setor imobiliário, em que o burlão usou o nome de um cliente real com quem a agente já tinha um negócio a decorrer. É importante sublinhar que, neste caso, não há confirmação absoluta de qual a via exacta usada pelo criminoso; contudo, existem várias formas plausíveis e frequentes de obtenção desse tipo de informação. O burlão pode ter descoberto o nome do cliente através de um dos seguintes vetores: contactos anteriores publicados em anúncios ou documentos partilhados publicamente, metadados em ficheiros enviados (por exemplo PDFs ou fotos com informação embutida), mensagens ou emails interceptados por phishing ou acesso a contas pessoais, vazamento de dados de bases de dados da própria agência ou de plataformas de anúncios, ou ainda por simples engenharia social (pesquisas em redes sociais, contactos de terceiros, ou mesmo escuta de conversas em espaços públicos). Em alternativa, o burlão pode ter comprado ou pesquisado listas de leads/contacts em sítios menos fiáveis, ou aproveitado uma falha de segurança no CRM da agência ou num serviço de partilha de documentos. Qualquer uma destas hipóteses é realista e foi adicionada ao relato como possíveis vias de comprometer a informação do cliente.

O burlão fez-se passar pelo cliente verdadeiro cujo nome a vendedora reconheceu, o que lhe deu credibilidade imediata. Alegou ter mudado de número (“este é o novo contacto”) e forneceu um email suspeito (por exemplo do domínio de email gratuito GMX: que é sempre muito suspeito) para canalizar toda a comunicação para meios controlados por si.

Ao usar o nome conhecido, o burlão conseguiu reduzir desconfianças iniciais e pediu que toda a comunicação passasse exclusivamente pelo WhatsApp e pelo novo email, afastando a vendedora dos canais oficiais da agência e impedindo a verificação fácil da identidade através do site ou do telefone fixo do cliente.

O plano do burlão visava ativar o golpe na fase financeira. A tática típica prevista incluía pedidos de pré-pagamento para taxas “urgentes” (despesas de notário, seguro de transporte de valores, ou custos administrativos), o envio de comprovativos de transferência falsos com montantes superiores e o pedido de devolução do “excedente”, ou a recolha precoce de IBANs, cópias de documentos e outras informações pessoais para posterior roubo de identidade.

O esquema foi detectado antes de se materializar financeiramente porque surgiram sinais claros de anomalia: um email profissional foi substituído por um endereço GMX, houve a insistência em cortar com os canais habituais da agência e a conversa começou a orientar-se para transferências ou adiantamentos. Perante isto, a vendedora ou um colega validou através dos contactos oficiais com o cliente e confirmou que não tinha sido ele a efectuar aquela mudança, travando o golpe a tempo.

Para reduzir riscos futuros, é crucial assumir que a descoberta do nome do cliente pode ter ocorrido por múltiplas vias e actuar em conformidade: verificar imediatamente se houve acesso não autorizado a emails ou ao CRM da agência, procurar sinais de phishing nas caixas de entrada dos colaboradores, rever todos os documentos públicos ou anúncios que contenham dados sensíveis, perguntar ao cliente se recebeu contactos estranhos e solicitar que confirme a identidade por um canal oficial, alterar credenciais e activar autenticação forte nas contas profissionais, e conservar todas as conversas e provas para entregar à polícia (PSP/DIAP) caso seja necessário abrir uma investigação.

Em resumo: o burlão explorou um ponto fraco que não foi necessariamente técnico — a exposição do nome do cliente — e transformou esse dado em ferramenta de credibilidade. A partir daí tentou isolar a vendedora e levar a conversa para meios controlados por si, preparando um golpe do tipo advance-fee ou overpayment. A descoberta do esquema antes da fase do dinheiro foi resultado de validação simples pelos canais oficiais, prova de que a verificação directa ao cliente é a defesa mais eficaz.

Conselhos Práticos:

Verificação de identidade:

Sempre que alguém afirmar ter “mudado de número” ou email, confirmar diretamente através dos contactos antigos antes de prosseguir

Criar um protocolo interno de validação obrigatória para qualquer alteração de dados de clientes

Em negócios já iniciados, qualquer mudança súbita de contacto deve acionar uma chamada telefónica para o número original

Sinais de alerta a reconhecer:

Emails de domínios gratuitos (GMX, Gmail, Hotmail) quando o cliente tinha anteriormente email corporativo ou outro

Insistência em comunicar apenas por WhatsApp ou canais não oficiais

Pedidos para abandonar os canais habituais da agência

Urgência artificial em questões financeiras ou administrativas

Segurança da informação:

Auditar regularmente quem tem acesso ao CRM e bases de dados de clientes

Remover metadados de documentos antes de os partilhar (PDFs, fotos, contratos)

Limitar informações sensíveis em anúncios públicos e materiais de marketing

Activar autenticação de dois factores em todas as contas profissionais

Protocolos financeiros:

Nunca aceitar pedidos de pré-pagamento de taxas ou “despesas urgentes” sem validação presencial ou por via oficial

Desconfiar de comprovativos de transferência recebidos por WhatsApp ou email não verificado

Exigir confirmação presencial ou videochamada para operações financeiras acima de determinado valor

Nunca devolver “excedentes” de pagamento sem confirmação bancária real (e aguardar compensação completa)

Resposta ao incidente:

Conservar todas as mensagens, emails e conversas como prova

Reportar à PSP/PJ e considerar queixa formal mesmo que não tenha havido perda financeira

Alertar o cliente real de que os seus dados podem estar comprometidos

Partilhar o caso internamente como formação para toda a equipa

Formação contínua:

Realizar sessões regulares sobre esquemas de fraude comuns no sector imobiliário

Criar uma cultura de “verificar duas vezes” sem receio de parecer desconfiado

Estabelecer que é perfeitamente aceitável (e esperado) validar identidades mesmo de clientes conhecidos