Os contratos com a Microsoft são, aliás, tão numerosos que a plataforma Base não é capaz de lidar com o seu volume e devolve um erro cada vez que os tentamos extrair para ficheiro para os podermos analisar. Ou seja, quem quiser trabalhar e processar estes dados não o consegue fazer o que, de per si, é um atentado à transparência que se exige às entidades públicas e à própria legislação (Decreto-Lei nº 111-B/2017, de 31 de agosto, que procedeu à nona alteração ao Código dos Contratos Públicos, aprovado pelo Decreto-Lei nº 18/2008, de 29 de janeiro).
Apesar desta falta “técnica” de transparência, não há qualquer dúvida que a Microsoft, é a principal fornecedora tecnológica do governo e autarquias portuguesas. Ora, actualmente, a empresa enfrenta muitas críticas por falhas de segurança que comprometeram dados públicos e, em particular, do governo dos EUA (https://www.crn.com/news/security/2024/cisa-publishes-emergency-order-on-microsoft-breach-by-russian-group-confirms-stolen-emails) sendo agora sabido que a agência de cibersegurança dos Estados Unidos (CISA) afirma que vários emails foram roubados de órgãos federais em conexão com o comprometimento do sistema de email corporativo da Microsoft pelo actor estatal de ameaças (APT) conhecido como Midnight Blizzard e que, geralmente, é associado à Rússia.
Estas falhas graves poderão já ter afectado ou vir a afectar no futuro também entidades públicas (autarquias e governo central) portuguesas e temos que sublinhar que um relatório recente do Cyber Security Council critica a Microsoft pela sua cultura de segurança inadequada e pela falta de investimento em medidas preventivas. A isto somamos uma dependência crescente da cultura de outsourcing massivo para países terceiros e uma obsessão na redução de custos operacionais que se traduz na perda de confiança e segurança por parte de muitos clientes.
Actualmente a Microsoft é essencial para o funcionamento das suas operações detendo um conhecimento profundo das infraestruturas digitais das entidades públicas, tornando-a um parceiro crucial na defesa contra ciberataques. Contudo, a falta de responsabilização da empresa norte-americana nesta vaga de ataques e a sua crescente perda de qualidade de suporte torna as entidades públicas portuguesas mais vulneráveis a ataques informáticos. Recordamos ainda que a Microsoft lucra com a venda de serviços de segurança adicionais, em vez de os tornar padrão para todos os clientes, criando um incentivo para manter um certo nível de risco.
A CpC acredita que: a) O governo português pode impor novas exigências aos fornecedores de serviços informáticos, como auditorias de segurança regulares e a obrigatoriedade de implementar medidas de segurança robustas. b) A sociedade civil portuguesa poderá pressionar a Microsoft a adotar práticas mais responsáveis em termos de segurança, protegendo os dados dos cidadãos e a infraestrutura digital do país. c) Existe uma necessidade urgente de investir em formação e capacitação em cibersegurança para os funcionários das entidades públicas portuguesas. d) É preciso promover a criação de uma cultura de segurança da informação em todo o setor público português. e) É preciso diversificar os fornecedores de serviços informáticos para reduzir a dependência da Microsoft. f) Em alguns sectores é possível abandonar a Microsoft e a sua plataforma de Office em lugar a distribuições Linux e de soluções baseadas em software equivalente mas em open source. g) O Estado central e as autarquias locais precisam de implementar um sistema de documentação interno similar ao modelo Linux, com maior abertura e acesso à informação para programadores e administradores. h) É urgente fazer uma redução de pontos únicos de falha através da implementação de mecanismos de autenticação multifactorial robusta, evitando o uso de passwords únicas como credenciais de adminstração (recentemente uma falha num datacenter no Texas impediu a autenticação a muitos serviços públicos e o mesmo pode repetir-se em breve na Europa). i) Investir em redundância de serviços críticos, tanto em soluções locais quanto na nuvem, para garantir disponibilidade em caso de falhas pontuais. j) Estabelecer planos de contingência para cenários de indisponibilidade de serviços terceirizados, como tai como os fornecedores de MFA.
Ao implementar estas medidas, o Governo e as autarquias podem fortalecer a sua segurança digital, proteger os dados dos cidadãos e garantir a continuidade dos serviços públicos. Acreditamos que a colaboração entre Governo, a sociedade civil e o sector privado é fundamental para construir um futuro digital mais seguro e resiliente para Portugal.
Se usa um telemóvel, se acede ao facebook, se está no twitter/X então já deve saber o que é a Temu da Pinduoduo Inc (PDD). A loja online alega ter preços fantásticos e tem em curso diversas campanhas de marketing muito agressivas. Rapidamente, tornou-se muito popular nos EUA onde já é a mais popular (mesmo mais que a Amazon). O que é mais curioso, não é nem este crescimento estrondoso, nem os seus preços baixos: é o facto de não operar na China.
A Grizzly Research, uma empresa de análise de Nova York, investigou a Temu e concluiu que “Acreditamos que a PDD é uma empresa fraudulenta em declínio e que a sua aplicação de compras TEMU é um spyware habilmente oculto que representa uma ameaça de segurança urgente para os interesses nacionais dos Estados Unidos“. Para estes investigadores a Temu é “o software malware e spyware mais perigoso actualmente em circulação” tendo, na investigação, sido identificados 18 “vulnerabilidades graves” na versão Android do App incluindo a possibilidade de “descarregar software de fontes desconhecidas” e até mesmo “criar e executar código arbitrariamente directamente no dispositivo” (!),
Aqui estão algumas das capacidades mais preocupantes da aplicação móvel (para Android) da Temu: 1. Acesso aos registos/logs (Crash logs, Diagnostics, etc) do sistema Android (para que efeitos?!) 2. Recolha do número de telemóvel e email 3. Captura de écran: Pode fazer capturas de écran no seu telemóvel. 4. Gravação de áudio: A Temu pode gravar áudio sem o seu conhecimento (para quê?!) 5. Acesso à câmara: Pode activar a câmara remotamente. 6. Obtenção de informações sobre arquivos no dispositivo: A aplicação pode consultar os seus arquivos pessoais no dispositivo.
A Temu contribui assim activamente para a exfiltração massiva de dados que hoje em dia assola o mundo e que está na raíz de várias campanhas de phishing. A aplicação está a crescer a níveis nunca antes vistos: mais de 100 milhões de downloads nos últimos 9 meses, todos nos EUA e Europa. A equipa de desenvolvimento do aplicação inclui 100 engenheiros que construíram o aplicativo Pinduoduo, que foi suspenso da Google Play Store e posteriormente reinstalado após a remoção das partes “perigosas”. No entanto, algumas destas partes foram usadas como componentes do aplicação, indicando uma intenção maliciosa.
Suspeita-se fortemente que a Temu já esteja, ou pretende, vender ilegalmente dados roubados de clientes de países ocidentais para sustentar um modelo de negócio que, de outra forma, estaria condenado ao fracasso.
Embora as ofertas da Temu possam parecer tentadoras, a segurança e a privacidade dos utilizadores devem ser prioridades. Acreditamos que a Temu deve ser removida das lojas de aplicações do Google e da Apple, uma vez que a empresa-mãe, PDD, é notoriamente muito pouco fiável, com práticas financeiras opacas e indícios de má conduta empresarial. É absolutamente inaceitável que esta aplicação ainda esteja disponível para uso e download e Portugal.
Ontem, 19 de março de 2024, os sites do PS (https://ps.pt/) e PSD (https://www.psd.pt) estiveram em baixo durante horas na parte da manhã e, no caso do PSD, pelo menos uma hora no começo da tarde. O site do Chega continua em aparente contenção de tráfego na cloudflare. Coincidência ou ataque DDoS (negação de serviço por botnet) dois depois do anúncio do contributo português de 110 milhões de euros para a aquisição de munições de artilharia para a Ucrânia?
Scam usando os nomes comerciais “Immediate Vortex”, “BTC 6.0 Avage”, “Trade Forex 500”, “Trade Cipro 360”, “Meridian Finance”, não sendo claro se estas entidades existem mesmo ou estão a par deste uso do seu nome: Várias campanhas activas usando as identidades de celebridades (João Baião, Cristina Ferreira, Jorge Gabriel, Tony Carreira, Goucha, Filomena Cautela, André Ventura (!) entre outros)
Estão neste momento activas várias campanhas de anúncios nas redes sociais Twitter, Microsoft Advertising e Google Ads que usam abusivamente nomes de figuras públicas (Celebrity Scam), especialmente daquelas que participam nos programas da manhã das televisões portuguesas. Todos estes anúncios e sites surgem nos primeiros resultados do Google: o que revela uma operação muito profissional). Todos foram denunciados a estas plataformas mas ainda todos – sem excepção – continuam online.
A escolha destas figuras públicas não é inocente: é um produto de campanhas profissionais e muito direccionadas que visam as poupanças dos reformados que assistem aos programas da manhã. Com os frutos das poupanças de uma vida inteira, desiludidos com a rentabilidade das formas convencionais de poupança e cercados de notícias sobre os “lucros das criptomoedas”, esta população tem predisponibilidade para cair nestes esquemas.
As campanhas foram lançadas a 15 de janeiro de 2024 e começaram por um anúncio no Twitter alegando que a “Casa Feliz” na “Entrevista de João Baião a Pedro Andersson foi interrompida pelo Banco de Portugal”. A partir daqui o texto foi copiado para vários sites e – com pequenas alterações – publicado em vários sites falsos de “notícias de famosos” para onde são direccionados todos estes anúncios. A campanha activa em Portugal é uma réplica de várias outras campanhas (com celebridades locais) que começaram em Outubro de 2023 numa operação que incluiu França, Reino Unido, Austrália, Canadá e Turquia. Nesta primeira campanha era usado – entre outros – o nome da futebolista australiana Sam Kerr.
Nos vários sites da rede que são exibidos em Portugal encontramos alegações falsas ou absurdas nas centenas de textos nos sites de uma rede que usa o nome “Immediate Vortex” (alguns escritos pelo ChatGPT): “orgulhamo-nos das medidas de segurança da nossa plataforma de negociação. Vamos além da encriptação com 2FA” o que não faz, tecnicamente, nenhum sentido. A alegação “estamos constantemente a monitorização do nosso site para sermos proactivos para os nossos utilizadores” está escrita num péssimo português (tradução automática) e pretende induzir um falso sentido de segurança na vítima da burla. Várias pistas no texto indicam que os sites em português foram traduções a partir de sites lançados no Reino Unido.
As redes de burlões como esta que usa o nome da Vortex (pode ser, ou não, esta empresa) usam a moda das criptomoedas e o seu mediatismo como forma de captar investidores inexperientes que tentam assim a sua sorte embarcando neste mundo muito complexo e opaco. Se forem expostas estas redes como a da Vortex podem ameaçar denunciar a vítima às Finanças por “mais valias não declaradas” (o que é falso: não existem ganhos de nenhum tipo).
Depois do registo na plataforma o esquema começa pelo pedido de um “depósito inicial” mínimo de “€250 ou $250” para que a vítima possa “começar a negociar“. Uma vez feita a transferência (por visa ou mb way/mbnet) a vítima perde para sempre essa verba e todos os alegados ganhos são virtuais expondo-se a burla quando se tenta fazer o levantamento dos ganhos acumulados. Algumas vítimas reforçam o depósito – iludidas pelos supostos ganhos – mas são uma minoria. São estas as vítimas que caem nos vários estímulos criados pelo “agente especializado” que depois do contacto inicial o contactam e que são vítimas do Pig Butchering Scam.
Alguns dos (muitos) sites da rede que usa o nome “Vortex” (entre outros):
Na prática a maioria destes sites de “reviews” avaliam toda a rede de muitos outros “scams de criptomoedas” com avaliações falsas que visam credibilizar toda a rede mas que, no processo, expõe a grande dimensão desta operação internacional. A qual não é nítido se a empresa registada na CMVM grega é mesmo a que está por detrás desta rede ou não.
É preciso, contudo, ter em conta que embora um dos sites da alegada “Vortex” mencionam que possuem mais de 1,2 milhões de “clientes” (vítimas), há mais redes a explorar este filão dos “cripto scam”. Olhando apenas para números de 2021, mais de 14 mil milhões de dólares foram perdidos. Ou seja: esta rede que usa este nome (entre outros) não é única: É apenas a mais activa, actualmente, em Portugal.
A operação realizada por esta organização é profissional e muito especializada: as campanhas financiam anúncios no Twitter, Google e na Microsoft. No Facebook existem alguns grupos mas de pequena escala:
Parecem existir pelo menos 5 “departamentos”: IT, Web developpers e Conteúdos, Gestão de anúncios (através de “Campanhas de Afiliados”), um Call Center que, dizem os operadores está sediado em Londres e em Paris (é impossível saber) e que faz chamadas a partir de indicativos da Roménia, Irlanda e Chipre para acolher os novos contactos e “Agentes Especializados” (“operadores financeiros”) que gerem a maior parte da operação. O serviço de vendas de dados pessoais a brokers parece funcionar de forma paralela existindo vários relatos de vítimas da rede que passaram a receber chamadas de outros scammers nos seus telemóveis desde que se registaram num dos sites da burla.
Um dos métodos para aumentar o alcance e a credibilidade destas campanhas é o uso de contas Twitter “blue“: Trata-se de um modo de assinatura paga e que deveria garantir mais confiança e a fácil identificação dos burlões. Contudo, tal não acontece uma vez que os mecanismos de controlo desta rede social são cada vez mais débeis e que as suas ferramentas de reporte funcionam mal ou, simplesmente, não funcionam (como comprovámos quando tentámos denunciar várias destas contas).
Outra campanha publicitária – além da no Twitter – foi também lançada na página de arranque do browser Edge da Microsoft usando a plataforma “Microsoft Advertising” e o EngageYa: aqui surgem notícias falsas de celebridades tais como “Portugal em Choque! Rumores Sobre Filomena Cautela Foram Confirmados”, “Filomena Cautela: Lamento Essa Ação”, “Adeus a Jorge Gabriel. Portugal chocado”, “Jorge Gabriel: Tenho Vergonha do que fiz!”, “EXCLUSIVO: Tony Carreira Quebra o Silêncio: Não acredito no que fiz!”, “Roubo na TVI! Cristina Ferreira afirma: Foi o Goucha!”. “Portugal em luto! O impactante adeus a Jorge Gabriel”. Estes anúncios surgem entre notícias (em carrocel) de sites reais o que credibiliza os anúncios.
Se hoje em dia temos sites com notícias e imagens reais publicadas em sites falsos com o crescimento da inteligência artificial teremos vídeos e áudios deepfake com as vozes destas celebridades. A tecnologia hoje em dia já existe e está ao alcance de umas dezenas de dólares.
Os links onde caiam estes anúncios nada tinham a ver com os títulos. Trata-se de Clickbaits (conteúdo online projectado de forma sensacionalista ou enganosa para atrair cliques). Geralmente o título ou descrição exagera informações ou usa estratégias chamativas para incentivar os utilizadores a clicarem, muitas vezes sem entregar o conteúdo relevante ou prometido. O seu principal objetivo é apenas o de gerar tráfego para o site.
A rede que usa o nome “Vortex” (entre outros) tem uma excelente gestão de SEO (Search Engine Optimization ou “Optimização para Mecanismos de Busca”: Um conjunto de práticas e técnicas para melhorar a visibilidade e a classificação de um site nos resultados orgânicos do Google). De facto, na primeira página de resultados todos os resultados são elogiosos para a Immediate Vortex: em 20 resultados só 2, (no fundo da página de resultados) são negativos e um é do reddit... Esta rede usa de forma muito eficaz um conjunto de métodos de “SEO Spam” e a Google está a perder a guerra contra estes spammers. De sublinhar que nunca ninguém vai além dos primeiros 3 ou 4 resultados pelo que quem procurar pelo nome da rede só encontrará, praticamente, avaliações positivas.
A manipulação do Google segue, contudo, outro nível: Quem procurar no google por “immediate vortex” encontra a secção do próprio Google:
“People also ask Is immediate vortex legit or not?” onde surgiu o texto “Immediate Vortex is not a scam: However, you should be aware that a few fake copycat websites using similar names have popped up on the internet, which are most definitely scams. Make sure you register only through the official website”. O que credibiliza (e muito) a rede de cripto scammers.
Nos sites da rede e no twitter os burlões usam o método “like farming” multiplicando em contas (muitas delas certificadas) com mensagens positivas sobre a Immediate Vortex com o objectivo de aumentar o alcance e a credibilidade dos anúncios. Isto reforça os conteúdos que usam “Celebrity scams” e dos quais vimos alguns exemplos mais acima.
De notar que estas campanhas de Clickbait vivem muito dos fracos mecanismos de controlo de anúncios de: Google, Microsoft e Twitter. Há também anúncios em redes de menor dimensão que surgem nos sites falsos como nas réplicas falsas do jornal “ECO” mas pela sua escala não são significativas.
O registo inicial por parte da vítima é feito numa das muitas versões do formulário em https://immediate-edge.software/ pedindo-se o nome da vítima, o mail e o nº de telefone. O formulário adapta-se à lingua do browser (são suportados: português, húngaro, dinamarquês, alemão, espanhol, francês, italiano, japonês, holandês, norueguês, polaco e sueco). No código HTML surge o “author” “Dominik Howe” (não é visível na página pelo que pode ser uma pista deixada por esquecimento da identidade de quem faz estas páginas): O nome é comum nos EUA, país onde esta operação global parece estar baseada (embora os call centers pareçam estar na Europa). Isso mesmo é indicado pela presença na Califórnia dos servidores, de registos DNS de domínios na namecheap, dos alojamentos na cloudflare (Califórnia) e – sobretudo – da informação os “supported countries”: “Most countries Except USA”. Aplicando a regra “don’t shit where you eat” os burlões ficam assim fora de processos judiciais e investigações mais profundas à natureza do negócio e sobre a sua identidade.
Após o registo da potencial vítima, minutos depois caem chamadas de call centers que usam números romenos, cipriotas e irlandeses: +353870584332, +40737957601, +442039964082, +35725341901, +35799722979 e +35724647177 (entre outros). Se a chamada do call center for recusada é feita uma chamada a partir do 937869616 (que no sync.me aparece associado a “Ulisses”) ou partir de um outro número com indicativo estrangeiro. Os operadores do call center usam um sotaque africano ou português sem sotaquem e “trabalham” numa sala onde se ouve em fundo outras conversas em várias línguas, o que indica que a rede opera várias campanhas por país em simultâneo. O operador dá informações sobre como aderir ao “trading de criptomoedas” e diz que o contacto seguinte será feito por um dos vários “experientes gestores de investimentos”, prometendo lucros substanciais com criptomoedas.
O operador do Call Center alega que o “depósito” não tem comissões e que pode ser facilmente levantado (o que é falso). Na prática este depósito é o scam: uma vez que poucos investidores o reforçam logo que compreende que se trata de uma burla.
Após o registo é enviado por SMS um link para acesso a https://www.liquidityx.com/redirects/ud/?data=<editado já que muda a cada registo e apontará directamente para o perfil da vítima>
Esta entidade “financeira” alega estar
registada na CMVM grega (o que não implica que pode exercer actividade financeira em Portugal).
Indica a forma de receber as verbas (Visa sendo que este cartão pode ser gerado através da aplicação MBWAY).
Surge aqui o valor que é o padrão em todas estas burlas: 250 euros (ou dólares ou libras) o que é uma das marcas distintivas de todas estas organizações e que indiciam que, de facto, tudo se resume à mesma organização com vários nomes “comerciais”.
Numa nota que revela algum sentido de humor diz-se, neste site, que
A “empresa não promove os seus serviços através do patrocínio de celebridades” o que é manifestamente falso como comprovam os clickbaits de notícias de celebridades como Goucha, André Ventura ou Tony Carreira. É apenas uma tentativa de credibilizar o site e de afastar a ligação à promoção original que levou as vítimas ao registo.
Aqui é requerido o upload de documentos pessoais: do Cartão de Cidadão digitalizado, frente e verso (!): ou seja a vítima entrega os seus dados pessoais, fotografia e assinatura ficando assim estes totalmente acessíveis à redes destes cripto scammers. Além de tudo o mais isto é um risco de segurança (grave) e uma flagrante violação do RGPD dado que os servidores deste domínio estão alojados na Cloudflare em São Francisco (EUA).
De sublinhar que esta rede usa muitos nomes e que estes mudam em ciclos de alguns dias. Os mesmos servidores são usados apenas mudando os conteúdo. Essa manobra foi observada a 19.09.2024 no https://tradesimplex.com/HCTM/ quando em vez de Trade Urex 500 começou a aparecer a página de registo da plataforma “BTC 6.0 Avage”.
Sinais de Alerta (red flags):
1. Se na plataforma não encontra uma morada ou telefone e se apenas existe um formulário de contacto isso é uma bandeira vermelha (red flag) de que algo está errado. Significa que quem gere esta operação não quer ser contactado e que todos os contactos serão unidireccionais (apenas na direcção do alvo).
2. Se alguém o contacta do nada seja por whatsapp, telegram ou Facebook é provável um esquema que visa – a prazo – conquistar a sua confiança e roubar o seu dinheiro.
3. Se algo parece demasiado bom para ser verdade: Não o é. Mais uma “red flag”.
3. Se promete total segurança e absoluta segurança contra perdas financeiras é uma “red flag”: todos os produtos financeiros legítimos têm uma determinada taxa de risco. Nenhum garante – também – um rendimento.
4. Outra “red flag”: Se o site do “produto” ou “serviço” não mostra informações claras e precisas sobre a empresa, se a sua liderança é anónima e se a localização da sede é desconhecida: é um esquema. Se nas diversas chamadas os operadores indicam várias moradas e se nunca indicam a morada exacta: Toda essa opacidade é uma defesa contra eventuais processos legais (raros mas que já aconteceram: “Chefe da criptomoeda Thodex é condenado a 11.196 anos de prisão na Turquia por fraude” (BBC)).
O que fazer para evitar cair num “golpe de criptomoedas” (cripto scam)?
1. Instale um antivírus comercial com uma boa extensão de browser como a do BitDefender.
2. Antes de investir procure na internet por avaliações da criptomoeda ou da plataforma. Tenha em conta que no caso da suposta “Vortex” a maioria dos resultados do Google foram contaminados e manipulados.
3. Se chegou aos burlões através de anúncios em plataformas como as da Google ou Microsoft denuncie os anúncios a estas empresas.
5. Se não domina totalmente o mundo das criptomoedas: não invista. Muitos acreditam que o próprio conceito das criptomoedas é um scam, um esquema de Ponzi que, mais tarde ou mais cedo, vai explodir arrastando atrás todos os que até agora aqui investiram. Actualmente o seu uso principal na “economia real” são ataques de ransomware.
6. Se, ainda assim, investir em cripto, use VPNs para impedir ataques “Man-in-the-middle” por captura de credenciais.
7. Não contrate empresas de recuperação de fundos dados que estas, frequentemente, são também esquemas.
8. No Twitter pode adicionar em Mutted words as palavras que não quer ver: P.ex. “Banco de Portugal processa”.
Se já foi vítima:
1. Lute: não seja uma vítima: Execute todos os passos acima descritos e, se a perda for grande: contacte um advogado para avaliar a possibilidade de processar gigantes como a Microsoft ou a Google pela sua incompetência em travarem estas campanhas de anúncios nas suas redes.
2. Todos já caímos ou iremos cair numa burla: não se vitimize e procure aconselhamento profissional. As verbas perdidas praticamente nunca são recuperadas mas não deve perder também a sua saúde porque se deixou enganar por uma rede muito profissional e experiente de burlões internacionais.
3. Se foram recolhidos dados pessoais como o nome, cartão de cidadão, a sua assinatura, mail, dados bancários e o nº de telefone essa informação será mais tarde vendida a outras redes de burlões. Se puder mude o mail e troque de nº de telemóvel.
1. Golpes “Rug Pull”: que partem da promoção exagerada de novos projetos, tokens não fungíveis (NFT) ou moedas para obter financiamento. Depois de receber o dinheiro, os golpistas desaparecem, deixando os investidores com um investimento sem valor. Um exemplo conhecido é o do golpe da moeda Squid, inspirado na série da Netflix “Squid Game”, onde os investidores perderam cerca de 3 milhões de dólares num jogo online.
2. Golpes Românticos: Ocorrem em aplicações de relacionamentos envolvendo relacionamentos online de longa distância. Uma das partes ganha a confiança da outra e convence a vítima a comprar ou doar dinheiro em criptomoeda. Depois de receber o dinheiro, o golpista desaparece. Este golpe também é conhecido como “golpe do abate do porco” e frequentemente demora vários meses a revelar-se.
3. Golpes de Phishing que dependem do envio de mails com links maliciosos para sites falsos, visando obter informações pessoais, tais como chaves de carteiras de criptomoedas.
4. Ataques de Homem no Meio: Em locais públicos, os golpistas podem realizar ataques de “homem no meio”, interceptando informações sensíveis, como passwords e chaves de carteiras, quando os utilizadores acedem às suas contas de criptomoedas.
5. Golpes de Doação em Criptomoedas nas Redes Sociais: Muitas publicações fraudulentas em redes sociais prometem doações de Bitcoin, mas não passam de golpes.
6. Golpe do “abate do porco”: Os esquemas com sites falsos de criptomoedas estão a tornar-se cada vez mais comuns. Por vezes, o golpe começa com um alguém que finge estar disponível para um relacionamento e promete ajudar a vítima a investir em criptomoedas. As vítimas são instruídas a comprar criptomoedas numa exchange legítima e, em seguida, enviá-la para um endereço de carteira de um site falso para investimento. Em outros casos, o golpe começa com a notificação de que a vítima ganhou criptomoedas num site. Em ambos os casos, o golpista controla o site, simulando um saldo na conta da vítima. Posteriormente, a vítima é informada de que precisa depositar mais dinheiro no site para retirar os seus supostos ganhos. Todas as quantias enviadas vão directamente para a carteira do burlão, e as informações sobre o dinheiro retido no site são falsas. Este golpe também é conhecido como o golpe do “abate do porco” ou “pig butchering” scam.
Estes múltiplos golpes destacam a importância de estar ciente e tomar muitas precauções ao lidar com criptomoedas e investimentos online em geral.
Alertamos os utilizadores da Internet em Portugal para um “advance fee scam” (“golpe de taxa antecipada”) que utiliza mensagens de SMS para números exfiltrados nos últimos anos (facebook e linkedin: sobretudo) e, agora, também para registos realizados através da “plataforma” de criptomoedas que usa os nomes comerciais “Immediate Vortex”, “BTC 6.0 Avage”, “Trade Forex 500”, “Meridian Finance” (os nomes mudam todas as semanas). Comprovámos isto através de um registo numa destas plataformas de um número de telemóvel usado para estes testes.
O domínio DNS tinha a 19.02.2024 apenas alguns dias de acordo com (https://www.criminalip.io/domain/report?scan_id=11504283) (https://www.whois.com/whois/okanuw.com) e apresenta vários alertas indicando – com elevado grau de certeza – de que se tratava de uma operação criminosa: 1. Elementos HTML suspeitos 2 2. Probability of Phishing URL de 67.31% 3. Hidden Iframe 1 4. Obfuscated Script 6 5. Fake Favicon: Dangerous
Se navegarmos ao URL enviado por SMS num browser que não esteja num telemóvel somos encaminhados para homepage da ExpressVPN mas se, pelo contrário, fizermos o acesso num Smartphone aparece o site real sendo isto feito para iludir algumas verificações automáticas (como se pode constatar em https://urlscan.io/ ajustando o país e browser).
Se acedermos de forma a que o site alojador pense que estamos num smartphone somos encaminhados para um site malicioso em www.powerplay.com onde se recolhem dados pessoais que, posteriormente, vão encaminhar redes para chamadas de burlões para vários esquemas e, em particular, para um esquema de casinos online para onde a vítima é atraída.
Recomendações: NÃO CLIQUE em links recebidos por SMS de fontes desconhecidas. Verifique o URL cuidadosamente antes de clicar. NUNCA forneça dados pessoais em sites suspeitos. Tenha cuidado com ofertas que parecem boas demais para ser verdade. Proteja todos os seus dispositivos (não esquecendo o smartphone!) com antivírus e outros software de segurança.
Recentemente uma petição que fizemos ao Parlamento Europeu e em que se pedia que “A União Europeia deve regular o Reconhecimento Facial por Inteligência Artificial” viu recusado o “seguimento” porque foi também dirigida à Comissão uma pergunta parlamentar com pedido de resposta escrita sobre a utilização enganosa e fracturante da IA na comunicação política (E-003421/2023): https://www.europarl.europa.eu/doceo/document/E-9-2023-003421_EN.html
Desde 2022 que o Parlamento tem debatido esta questão:
2. Estudo do EPRS, o Serviço de Estudos do Parlamento Europeu: um órgão interno do Parlamento Europeu, responsável por fornecer análises e investigações independentes, objetivas e fundamentadas aos deputados e comissões parlamentares sobre questões políticas relacionadas à UE e que, a julho de 2021, elaborou o “Tackling deep fakes in Europeanpolicy” [Combate à falsificação profunda na política europeia: https://www.europarl.europa.eu/thinktank/pt/document/EPRS_STU(2021)690039), que identificou cinco aspectos do ciclo de vida das falsificações profundas que os decisores políticos podem ter em conta para prevenir e combater os impactos negativos das falsificações profundas.
“União Europeia deve regular o Reconhecimento Facial por Inteligência Artificial: Quando sabemos que a China se está a tornar numa gigantesca “sociedade de vigilância”, a uma escala que nunca houve na História da Humanidade e que, pela primeira vez, pode criar condições para a eternização de um regime ditatorial através da omnivigilância e da contenção/anulação de qualquer desafio ao poder e que o reconhecimento facial (usando tecnologias de Inteligência Artificial) joga nesta tenebrosa equação um papel central as democracias liberais têm que colocar um pé adiante e defenderem-se contra as portas que este tipo de tecnologia abre. Numa abordagem mais superficial a tecnologia de reconhecimento facial, com incorporação de Inteligência Artificial, em sistemas de videovigilância parece algo de relativamente inócuo. Mas não é assim: se permitirmos que estes sistemas se espalhem pelas nossas cidades não estamos a falar de um sistema de CCTV que pode ser usado pelas autoridades para reagirem rapidamente a uma situação de insegurança na via pública (que defendo) mas de algo que pode ser facilmente apropriado pelos Serviços de Informações (cuja monitorização, mesmo em democracia, é sempre imperfeita) ou, pior, pelas megaempresas que agora estão omnipresentes em praticamente tudo o que fazemos (porque fazemos, praticamente tudo, com os nossos smartphones fabricados por elas). Neste sentido, a decisão recente da cidade de Brookline, no Massachusetts (EUA) de se tornar a quinta cidade dos Estados Unidos a proibir o uso de sistemas de vigilância facial no seu território. Este tipo de iniciativas legislativas são possíveis num país como os EUA dado o seu grande nível de descentralização mas também porque não existe, ainda, legislação federal a regular esta matéria. Na Europa não existe ainda uma iniciativa regulatória que proíba os Estados membros mas a ameaça é cadente à medida que Estados e Empresas estão a compilar – sem o conhecimento dos cidadãos – dados de reconhecimento facial. Estas bases de dados (algumas assentes fora da Europa) ameaçam a privacidade dos cidadãos europeus e – caso sejam comprometidas – podem colocar em mãos indesejáveis dados sensíveis. No Reino Unido, na Suécia e na Hungria decorrem neste momento projectos de reconhecimento facial a partir de câmaras CCTV instaladas na rua com o objectivo de identificarem “criminosos” e “terroristas” com o auxílio de bases de dados de rostos e de tecnologia de Inteligência Artificial. É preciso que a União Europeia desenvolva uma resposta que: 1. Regule todos os sistemas de reconhecimento facial automático indicando de forma clara e visível os locais onde esses sistemas estão em utilização. 2. Que os cidadãos não sejam sujeitos a processos de seguimento ou perfilamento emocional ou geolocalização e que estes dados não sejam conservados e usados sem o seu expresso consentimento. 3. É necessário incorporar este tipo de regulação na abordagem de regulação da Inteligência Artificial que a nova Comissão Europeia colocou na agenda para os seus primeiros cem dias de mandato.”
O Worldcoin é um projecto que oferece criptomoedas em troca de um scan da sua íris e hoje em dia encontramos captando utilizadores em muitas superfícies comercais do país. Apesar da promessa de uma renda básica universal e de um futuro digital mais equitativo, diversos especialistas alertam para os perigos que esta iniciativa pode trazer:
Riscos à privacidade: Dados biométricos: A íris é um dado único e imutável. Se vender a sua digitalização a uma entidade isto significa que está a abrir mão de um elemento crucial da sua identidade e privacidade. Termos e condições: O Worldcoin não é regulamentado e os seus termos de serviço permitem a utilização dos seus dados para diversos fins, nem sempre claros. Se a empresa abrir falência: os dados poderão ser comprados por um terceiro. Segurança de dados: A empresa já foi alvo de tentativas de hacking (algumas com sucesso), e não há garantias de que os seus dados biométricos estão seguros a longo prazo ou que não foram já acedidos por hackers. Etnia: A textura e a cor da íris podem indicar a origem geográfica de uma pessoa, como Europa, África, Ásia ou América e, em alguns casos, podem fornecer pistas sobre a etnia específica de uma pessoa, como descendência italiana, japonesa ou nigeriana. Saúde: A íris pode apresentar sinais de doenças oculares como glaucoma, heterocromia, iridociclite e síndrome de Horner e diabetes, síndrome de Down e síndrome de Sturge-Weber ou, até, através de genes relacionados à cor dos olhos, doenças hereditárias indicar predisposição para certos tipos de tumores.
Riscos à liberdade: Controlo centralizado: A Worldcoin alega ser uma identidade digital global, com potencial para controlar o acesso a serviços e recursos. Isto quer dizer que – se tiver sucesso – lhe poderá também barrar o acesso a esses serviços. Manipulação e censura: A posse de dados biométricos por uma única entidade abre portas para manipulação e censura em larga escala se fizer algo que desagrade ou contrarie esta entidade. Discriminação algorítmica: O uso de dados biométricos pode levar à discriminação e exclusão de grupos sociais uma vez que é possível obter muita informação a partir da íris (ver acima).
Riscos financeiros: Valor da moeda: A Worldcoin é uma criptomoeda nova e volátil, sem garantia de valor futuro. Este risco – aliás – aplica-se a todas as criptomoedas. Esquema Ponzi: Há o risco muito sensível de que a Worldcoin seja um esquema Ponzi, onde os novos utilizadores pagam os antigos. Exploração de dados: O valor real da Worldcoin reside nos seus dados biométricos, que podem ser vendidos a terceiros para fins lucrativos.
Recomendações: 1. Evite participar do Worldcoin. Se já o fez, considere solicitar a exclusão dos seus dados (ver abaixo). 2. Seja cauteloso com qualquer projecto que exija seus dados biométricos. 3. Proteja a sua identidade digital e os seus dados pessoais. 4. Exija regulamentação e transparência de empresas que operam no mundo digital e da nossa Assembleia da República e Parlamento Europeu uma maior e mais rigorosa regulamentação e fiscalização.
Foi lançada a 27.02.2024 uma campanha patrocinada (paga) a partir de um perfil “pessoal” https://www.facebook.com/profile.php?id=61551672681660 (o que, de per si, é uma violação dos termos de serviço do facebook: “Quem pode utilizar o Facebook: Quando as pessoas assumem as suas opiniões e ações, a nossa comunidade torna-se mais segura e responsável. Por este motivo, tens de: Facultar para a tua conta o mesmo nome que utilizas diariamente” https://www.facebook.com/legal/terms) onde se diz, explicitamente, que não é permitida a criação de perfis “organizacionais” mas apenas pessoais. Apesar disso, não só a conta passou crivo da Meta como foi também aceite como autora de publicidade que aparece agora no feed dos utilizadores portugueses da rede social.
A operação – aliás – expõe uma série de contas falsas que surgem elogiando este “negócio” (fraude) e alegando terem ficado muito satisfeitas com a compra. É o caso de “Scarlett Green” e “Ava Cooper” que, curiosamente, têm a maioria dos seus amigos residindo na África Ocidental e Indonésia embora sejam, alegamente, norte-americanas.
O site indicado na página – testado numa sandbox – indica que não existe e é apresentado na página dos “CTT Distribuição de mercadorias” apenas para credibilizar a operação criminosa uma vez que – naturalmente – os CTT não vendem este tipo de paletes nem nada é entregue após pagamento.
As imagens foram manipuladas de forma a acrescentar o logo e a palavra “CTT” e é claro que não são uma operação autorizada por esta empresa. A rede de comentários elogiosos desta operação internacional é um método antigo para iludir possíveis vítimas dos medíocres sistemas de controlo da Meta.
A página, embora se insira numa operação mais vasta que sugere ser a mesma das páginas falsas do “Zoo de Lisboa” parece ter sido lançada a partir do Brasil o que expõe uma rede com braços na Indonésia, Rússia, Brasil e África Ocidental (pelo padrão de amizades e relações das contas falsas). Provavelmente por descuido destes burlões foi deixada a indicação do local inicial da operação: Jaraguá, um município do estado de Goiás, no Brasil. Isto indica parte do método usado pelos burlões: começam por criar um perfil pessoal e depois alteram a sua designação, conteúdo, foto e nome para o nome que vão usar na sua campanha.
Todos estes perfis foram denunciados como fraudulentos ao facebook mas permanecem, sem excepção, no ar e exercendo a sua actividade.
Recentemente, e depois de constatar que – numa das contas facebook usadas pela CpC surgia o vestígio de uma tracking cookie de uma visita ao site do Partido Livre instalámos a Extensão ao Google Chrome https://privacybadger.org sendo que em todos os partidos políticos com assento parlamentar (com uma excepção) encontrámos tracking cookies bloqueadas pela extensão de privacidade da EFF marcadas como “red” em que esta extensão bloqueia completamente.
A EFF é a sigla da “Electronic Frontier Foundation” (Fundação Fronteira Electrónica”. Trata-se de uma organização sem fins lucrativos com sede em San Francisco, Califórnia, com o objectivo de proteger os direitos civis relacionados à liberdade de expressão, no contexto da mundo digital.
Encontrámos também várias outras “tracking cookies” marcadas a amarelo indicam que o domínio de terceiros do site do partido político parece estar a tentar rastreá-lo, mas parecem ser necessários para o normal funcionamento do site. Nesse caso, o Privacy Badger carregará conteúdo do domínio, mas tentará filtrar cookies e referências de terceiros.
Concordamos com a EFF quando esta escreve nas FAQs da Extensão que esta forma de rastrear os utilizadores (neste casos: eleitores) é a “mais escandalosa, intrusiva e censurável de rastreamento online” dado que é .- muitas vezes – conduzida por empresas das quais muitas vezes nunca antes ouviu falar e com as quais não tem nenhum relacionamento”.
Se desejar evitar este rastreamento instale a extensão.
Com mais tracking cookies encontrámos, por ordem: PCP com 15, Livre com 13 e Chega com 12. Com menos encontrámos a Bloco de Esquerda (2), a Iniciativa Liberal (3) e o PAN (8).
Em quantidades de Tracking Cookies bloqueadas pela extensão https://privacybadger.org tivemos na liderança o PCP (15), seguido de Livre (5) e PSD e Chega ambos com 4.
Em termos de percentagem de cookies bloqueadas, contudo, a lista foi diferente com 50% na IL, 46,6% no PCP e 40% no site do PSD.
Na opinião da Iniciativa Cidadãos pela Cibersegurança a presença de tracking cookies de plataformas como Facebook, YouTube ou Telegram no um site de um partido político pode ser considerada questionável porque:
1. Privacidade: A presença de tracking cookies permite que estas plataformas recolham dados de navegação dos cidadãos enquanto estão no site do partido. Isso levanta preocupações sobre a privacidade dos cidadãos-eleitores, uma vez que as suas actividades online podem ser rastreadas e utilizadas para fins publicitários ou para criar perfis de comportamento como aqueles que em 2014 a Cambridge Analytica se gabava de ter (“5 mil data points para cada eleitor dos EUA”).
2. Neutralidade e Transparência: Os Partidos políticos deviam ter uma presença online transparente. A presença de tracking cookies de plataformas externas pode levantar questões sobre o seu uso para segmentar eleitores com mensagens específicas em futuras ou eventuais campanhas de marketing político.
3. Integridade Eleitoral: O uso de tracking cookies pode suscitar preocupações sobre a integridade do processo eleitoral. Se os dados dos visitantes do site forem usados para influenciar estrategicamente a propaganda política nas plataformas externas, isto pode levantar questões sobre manipulação e interferência nas eleições.
4. Segurança: A presença de tracking cookies de terceiros pode representar um risco de segurança cibernética para o site do partido político. Cookies maliciosas podem ser explorados por terceiros para ataques, comprometendo a segurança do site e dos dados dos seus utilizadores. Nenhuma destas, felizmente, foi encontrada em nenhum site de um destes partidos.
Em suma, a exclusão de tracking cookies de plataformas externas do site de um partido político deve ser vista como uma medida para preservar a privacidade, promover a transparência e manter a integridade do processo político e eleitoral.
Recomendação enviada a todos os partidos com assento parlamentar.
1. Phishing: Esta burla online usa emails, mensagens de SMS ou links falsos em sites ou blogs como forma para induzir a vítima a dar as suas informações pessoais ou financeiras. Este tipo de comunicações frequentemente assume a identidade de bancos, lojas online ou sites do governo (IRS) ou dos CTT. A forma mais eficaz de evitar cair nestas burlas é evitar clicar em links que lhe sejam enviados por email ou SMS. Veja cuidadosamente se o URL corresponde, mesmo, ao site que pretende ser passando o rato sobre os links antes de os abrir. Não partilhe passwords entre sites e aplicações e guarde essas passwords num gestor de passwords como o Keepass ou o Bitwarden (ambos gratuitos)
2. Vishing: Esta burla usa chamadas telefónicas para induzir a vítima a fornecer informações pessoais ou financeiras. Os burlões fazem-se passar por agentes falsos de “suporte técnico”, operadores de call centers de bancos ou funcionários de organizações do governo ou, mais recentemente por elementos da polícia ou da Interpol/FBI. Para evitar cair numa burla de Vishing suspeite imediatamente se a chamada vem de um número desconhecido. Use plataformas de identificação de números, se atender a chamada, nunca ceda dados pessoais ou financeiros por telefone. Confirme sempre a identidade da pessoa através de outro contacto ou ligando directamente para a entidade antes de fornecer qualquer informação.
3. Smishing: Neste golpe, similar ao phishing, o burlão usa mensagens de texto (SMS) em vez de emails. Neste tipo de burlas referem-se frequentemente a prémios, ofertas, problemas na conta do banco ou oferecem-se adiantamentos em criptomoedas. Não responda a mensagens de texto de fontes desconhecidas. Tenha em conta que o número ou descrição da origem do SMS pode ser facilmente adulterada. Evite ao máximo abrir links em mensagens de SMS no seu telemóvel.
4. Burlas com Lojas Online: Neste tipo de burlas encontramos lojas falsas ou réplicas de lojas verdadeiras que vendem artigos. Os preços, nestas burlas, são invulgarmente baixos ou, se a loja for legítima o vendedor tem poucas ou nenhumas avaliações de outros compradores. Antes de comprar online procure na internet pela credibilidade da loja e se o URL oficial é o mesmo do site onde está. Se a loja for conhecida (como a wish, temu ou amazon) verifique antes de comprar as avaliações do vendedor.
5. Fraudes com Criptomoedas: Este tipo de burlas prometem grandes ganhos em períodos de tempo muito curtos a partir de supostos investimentos em criptomoedas. Estas variantes modernas de burlas financeiras muito antigas (como a Ponzi), ou usam criptomoedas falsas ou os nomes de criptomoedas conhecidas como a Ethereum ou a Bitcoin para venderem “serviços” de Inteligência Artificial em bolsas online que prometem grandes ganhos. Por princípio suspeite sempre de promessas de retornos rápidos ou de grande dimensão. Invista apenas – e com extremo cuidado – em criptomoedas conhecidas, começando sempre com pequenos valores e subindo apenas à medida que consegue recuperar o investimento em dinheiro “real”. Pesquise a bolsa, a criptomoeda antes de investir. Desconfie de contactos que lhe propõem crioptomoedas por parte de pessoas que, previamente, não conhecia ou que surgiam no contexto de uma relação romântica online.
6. Burlas Românticas: Neste tipo de golpes os burlões (quase sempre homens embora usem nomes e perfis femininos ou masculinos: consoante os seus alvos) procuram aproveitar a solidão para estabelecer relacionamentos online com vista à obtenção de dinheiro ou de informações pessoais que depois podem usar em chantagens ou noutras burlas. Usam perfis falsos em sites de relacionamentos ou mensagens em redes sociais onde, a dado momento, a relação passa a um pedido de dinheiro para si ou para a sua família (mãe ou filho/irmão doentes: é o mais comum). Evite contactos românticos com pessoas que apenas conhece online. Se a relação evoluir para física, procure marcar encontros sempre em locais públicos e não pague viagens a ninguém até ao local.
7. Burlas de Emprego: Nestas burlas o criminoso oferece oportunidades de emprego que não existem tendo, de facto, com vista a obter informações pessoais ou financeiras. O contacto é feito frequentemente por linkedin, mas o whatsapp e o facebook também são usados. Mais recentemente, temos visto casos destes usando o Telegram. Suspeite de ofertas de trabalho que antes não procurou e de contactos que surgem do nada. Suspeite de salários muito altos por tempos laborais muito curtos Evite fazer qualquer pagamento para que a sua candidatura “seja processada”, procure pela empresa antes de responder e pergunte-lhes se o tentaram contactar. Faça isto antes mesmo de responder.
Em suma, para evitar cair numa burla online: 1. Seja céptico e desconfie de ofertas boas demais ou feitas por desconhecidos. 2. Confirme em sites como o https://www.browserling.com, o https://www.virustotal.com/gui/home/url ou o www.criminalip.io antes de aceder a qualquer site. 3. Use passwords fortes, idealmente frases facilmente memorizáveis para não ter que as escrever em cadernos ou postits e use um gestor de passwords para não ter que as escrever. Proteja este gestor com autenticação por Múltiplo Factor. 4. Tenha sempre o sistema operativo do seu computador actualizado e invista num bom antivírus. 5. Nunca forneça informações pessoais ou financeiras a pessoas que não conhece pessoalmente. 6. Não clique em links ou abra anexos de emails, mensagens de SMS ou posts/mensagens de redes sociais. 7. Se foi vítima de uma burla online faça uma participação na polícia mesmo se acreditar que existem poucas hipóteses de recuperar a perda.
Iniciativa CpC: Cidadãos pela Cibersegurança 