NUNCA confronte o vigarista. NUNCA lhe diga por que acha que é um vigarista. NUNCA questione partes suspeitas ou obviamente imperfeitas da sua história.
Se fizer isso, está a treiná-lo tornando-o um melhor burlão.
SIMPLESMENTE IGNORE e AFASTE-SE bloqueando e reportando a tentativa de contacto se essa funcionalidade estiver ao seu alcance na plataforma onde foi feito o contacto (SMS, WhatsApp, facebook, telegram, etc).
Se interagir com o burlão além de confirmar o contacto irá expor o seu contacto pessoal a subsequentes tentativas de burla e irá também dar formação ao burlão aumentando a sua eficácia em burlar outras e futuras dívidas.
Nunca conte a alguém que conheceu na internet qual é a dimensão dos seus rendimentos e poupanças. Nunca partilhe informação financeira ou bancária com alguém que conheceu apenas na Internet.
Todos dias os burlões enganam novas vítimas, desviando milhões de euros e com praticamente nenhumas hipóteses de recuperação: a sua melhor protecção é e será sempre: bloquear e reportar!
Conselhos básicos: 1. Ao falar na rua nunca esteja completamente do que e de quem o rodeia 2. Não atenda o telemóvel se não estiver num local seguro para prevenir o roubo por esticão 3. Não deixe o seu telemóvel em balcões ou mesas fora do seu alcance e quando o fizer esteja sempre atento remova-o se se aproximar alguém estranho ao estabelecimento 4. Anote o IMEI do seu equipamento num local seguro 5. Instale e configure aplicações de geolocalização do seu telemóvel: o Android e o iOS têm já essas funcionalidades que pode reforçar com antivirus como BitDefender ou o Panda (entre outros que também oferecem essa funcionalidade) 6. Use palavras-passe ou padrões ou, melhor ainda, a impressão digital para desbloquear o seu equipamento.
Se lhe roubarem o seu telemóvel: 1. não perca a calma e não reaja com violência 2. tente chamar a atenção de alguém que esteja perto 3. se não correr riscos grite por socorro 4. procure fixar características do ladrão: cor da pele, vestuário, estatura, calçado, idade aparente, tipo de cabelo, óculos, chapéu/bone, sinais na pele, tatuagens. 5. Se se afastou num veículo anote a marca, modelo, cor e idealmente a matrícula 6. Ligue para o 112 ! E nunca deixe de apresentar Participação na Polícia! 7. Peça uma segunda via do cartão e informe o operador para que bloqueie todos os outros cartões no mesmo número. Se houve chamadas ou consumos de dados apresente a cópia da Participação na loja da sua operadora.
Os contratos com a Microsoft são, aliás, tão numerosos que a plataforma Base não é capaz de lidar com o seu volume e devolve um erro cada vez que os tentamos extrair para ficheiro para os podermos analisar. Ou seja, quem quiser trabalhar e processar estes dados não o consegue fazer o que, de per si, é um atentado à transparência que se exige às entidades públicas e à própria legislação (Decreto-Lei nº 111-B/2017, de 31 de agosto, que procedeu à nona alteração ao Código dos Contratos Públicos, aprovado pelo Decreto-Lei nº 18/2008, de 29 de janeiro).
Apesar desta falta “técnica” de transparência, não há qualquer dúvida que a Microsoft, é a principal fornecedora tecnológica do governo e autarquias portuguesas. Ora, actualmente, a empresa enfrenta muitas críticas por falhas de segurança que comprometeram dados públicos e, em particular, do governo dos EUA (https://www.crn.com/news/security/2024/cisa-publishes-emergency-order-on-microsoft-breach-by-russian-group-confirms-stolen-emails) sendo agora sabido que a agência de cibersegurança dos Estados Unidos (CISA) afirma que vários emails foram roubados de órgãos federais em conexão com o comprometimento do sistema de email corporativo da Microsoft pelo actor estatal de ameaças (APT) conhecido como Midnight Blizzard e que, geralmente, é associado à Rússia.
Estas falhas graves poderão já ter afectado ou vir a afectar no futuro também entidades públicas (autarquias e governo central) portuguesas e temos que sublinhar que um relatório recente do Cyber Security Council critica a Microsoft pela sua cultura de segurança inadequada e pela falta de investimento em medidas preventivas. A isto somamos uma dependência crescente da cultura de outsourcing massivo para países terceiros e uma obsessão na redução de custos operacionais que se traduz na perda de confiança e segurança por parte de muitos clientes.
Actualmente a Microsoft é essencial para o funcionamento das suas operações detendo um conhecimento profundo das infraestruturas digitais das entidades públicas, tornando-a um parceiro crucial na defesa contra ciberataques. Contudo, a falta de responsabilização da empresa norte-americana nesta vaga de ataques e a sua crescente perda de qualidade de suporte torna as entidades públicas portuguesas mais vulneráveis a ataques informáticos. Recordamos ainda que a Microsoft lucra com a venda de serviços de segurança adicionais, em vez de os tornar padrão para todos os clientes, criando um incentivo para manter um certo nível de risco.
A CpC acredita que: a) O governo português pode impor novas exigências aos fornecedores de serviços informáticos, como auditorias de segurança regulares e a obrigatoriedade de implementar medidas de segurança robustas. b) A sociedade civil portuguesa poderá pressionar a Microsoft a adotar práticas mais responsáveis em termos de segurança, protegendo os dados dos cidadãos e a infraestrutura digital do país. c) Existe uma necessidade urgente de investir em formação e capacitação em cibersegurança para os funcionários das entidades públicas portuguesas. d) É preciso promover a criação de uma cultura de segurança da informação em todo o setor público português. e) É preciso diversificar os fornecedores de serviços informáticos para reduzir a dependência da Microsoft. f) Em alguns sectores é possível abandonar a Microsoft e a sua plataforma de Office em lugar a distribuições Linux e de soluções baseadas em software equivalente mas em open source. g) O Estado central e as autarquias locais precisam de implementar um sistema de documentação interno similar ao modelo Linux, com maior abertura e acesso à informação para programadores e administradores. h) É urgente fazer uma redução de pontos únicos de falha através da implementação de mecanismos de autenticação multifactorial robusta, evitando o uso de passwords únicas como credenciais de adminstração (recentemente uma falha num datacenter no Texas impediu a autenticação a muitos serviços públicos e o mesmo pode repetir-se em breve na Europa). i) Investir em redundância de serviços críticos, tanto em soluções locais quanto na nuvem, para garantir disponibilidade em caso de falhas pontuais. j) Estabelecer planos de contingência para cenários de indisponibilidade de serviços terceirizados, como tai como os fornecedores de MFA.
Ao implementar estas medidas, o Governo e as autarquias podem fortalecer a sua segurança digital, proteger os dados dos cidadãos e garantir a continuidade dos serviços públicos. Acreditamos que a colaboração entre Governo, a sociedade civil e o sector privado é fundamental para construir um futuro digital mais seguro e resiliente para Portugal.
Começamos a encontrar por Lisboa nas novas paragens de autocarros da Carris – em obras de execução muito contestada – portas USB para carregamento de dispositivos móveis. Ora, muito bem, a ideia parece boa. O problema é que não devemos carregar os nossos dispositivos em portas USB públicas.
Recentemente, o FBI alertou os cidadãos norte-americanos: “não deve carregar o seu telemóvel numa porta USB pública” devido ao risco de “juice jacking”. É verdade que, quando estamos em viagem é frequente precisarmos de carregar a bateria dos novos dispositivos sejam eles telemóveis ou tablets e se nos encontrarmos num hotel, aeroporto ou paragem de autocarro com uma porta USB a tentação de a usar para esse efeito é grande. O problema é que isso irá expor o dispositivo a uma técnica conhecida como “juice jacking”, em que se podem usar as portas USB públicas para instalar malware e software de monitorização nos dispositivos aqui ligados. Teoricamente, o tipo de ferramentas que podem ser instaladas desta forma pode permitir o acesso ao conteúdo do smartphone e o furto de palavras-passe, para uso em operações de roubo de identidade, acesso à conta bancária ou simplesmente a venda de informações pessoais na dark web.
Para ser uma vítima de “juice jacking” é suficiente ligar o smartphone a uma porta USB num aeroporto, hotel, centro comercial ou qualquer outra localização pública: A FCC (Comissão Federal de Comunicações dos Estados Unidos) alertou que devemos considerar que qualquer porta USB pública pode estar comprometida. Há, contudo, grandes diferenças entre portas USB públicas: dependendo do tipo e do que está do outro lado da porta o risco pode ser elevado ou praticamente nulo (mas nunca de zero): Os mais perigosos são certamente os de hotéis e restaurantes onde não há confiança no que existe do outro lado da cablagem podendo ser um computador utilizado por alguém mal intencionado ou comprometido por uma entidade terceira. Também é possível usar uma destas portas para ligar um computador (se tiverem os pinos de dados activos) e entrar no equipamento que se encontra do outro lado e, se este for um computador, invadir e comprometer esta máquina, afectando posteriormente os equipamentos móveis que aqui forem ligados. Num aeroporto ou paragem de autocarro esta operação exige a participação da empresa de manutenção ou de alguém que tenha acesso aos equipamentos o que é um risco também longe de displiciente (o contrato da JC Decaux em Lisboa assume que a empresa irá manter estas portas algo que fará, obviamente, através de uma empresa terceira).
A prudência dita então que devemos assumir que todas as portas USB públicas são perigosas.
O raiz do problema reside no próprio padrão USB: Os cabos USB-A têm 4 pinos — 2 para transferência de energia e 2 para transferência de dados. Ligar o smartphone a uma porta USB com um cabo USB normal potencialmente significa conectá-lo directamente a um dispositivo que pode transferir dados para ou a partir dele.
Práticas recomendadas: 1. Tenha sempre consigo um banco USB e carregue-o em tomadas públicas e use apenas este equipamento para carregar os seus dispositivos. 2. Perante portas USB públicas use-as apenas para carregar bancos USB: nunca telemóveis ou tablets. 3. Lembre-se que os portáteis também têm portas USB que pode usar para carregar os seus dispositivos. 4. Há cabos USB especiais que bloqueiam a transferência de dados USB: se tiver um destes cabos pode usá-lo com segurança em qualquer portas USB pública. 5. Se apesar de tudo ligar o seu equipamento numa destas portas: esteja atento ao seu smartphone: verifique se aparece alguma pop-up a perguntar se confia no dispositivo, se aparece algum storage ou se alguém de incomum acontece ao telemóvel.
Razões para – nunca – ligar um dispositivo móvel numa porta USB pública como as que a JC Decaux colocou nas paragens de autocarro em Lisboa: 1. Portas USB públicas podem ser alvo de hackers que usam técnicas como “juice jacking” para instalar malware nos dispositivos conectados, potencialmente comprometendo a segurança destes equipamentos. 2. Ao ligar o nosso telemóvel a uma porta USB pública, corremos o risco de ter os nossos dados pessoais roubados, incluindo informações sensíveis como palavras-passe, dados bancários e informações de identidade. 3. Mesmo que os nossos dispositivos estejam actualizados com as últimas correcções de segurança (o que deve acontecer: sempre), ainda assim podem ser vulneráveis a ataques “zero day” ou outras formas de exploração de vulnerabilidades desconhecidas. 4. É seguro carregar o nosso telemóvel com um carregador próprio e uma tomada de parede, ou usarr bancos portáteis USB em vez de confiar em portas USB públicas.
Em suma, conectar um telemóvel a uma porta USB numa paragem de autocarro representa um risco significativo para a segurança dos nossos dados pessoais e é melhor evitar fazê-lo sempre que possível.
Scam usando os nomes comerciais “Immediate Vortex”, “BTC 6.0 Avage”, “Trade Forex 500”, “Trade Cipro 360”, “Meridian Finance”, não sendo claro se estas entidades existem mesmo ou estão a par deste uso do seu nome: Várias campanhas activas usando as identidades de celebridades (João Baião, Cristina Ferreira, Jorge Gabriel, Tony Carreira, Goucha, Filomena Cautela, André Ventura (!) entre outros)
Estão neste momento activas várias campanhas de anúncios nas redes sociais Twitter, Microsoft Advertising e Google Ads que usam abusivamente nomes de figuras públicas (Celebrity Scam), especialmente daquelas que participam nos programas da manhã das televisões portuguesas. Todos estes anúncios e sites surgem nos primeiros resultados do Google: o que revela uma operação muito profissional). Todos foram denunciados a estas plataformas mas ainda todos – sem excepção – continuam online.
A escolha destas figuras públicas não é inocente: é um produto de campanhas profissionais e muito direccionadas que visam as poupanças dos reformados que assistem aos programas da manhã. Com os frutos das poupanças de uma vida inteira, desiludidos com a rentabilidade das formas convencionais de poupança e cercados de notícias sobre os “lucros das criptomoedas”, esta população tem predisponibilidade para cair nestes esquemas.
As campanhas foram lançadas a 15 de janeiro de 2024 e começaram por um anúncio no Twitter alegando que a “Casa Feliz” na “Entrevista de João Baião a Pedro Andersson foi interrompida pelo Banco de Portugal”. A partir daqui o texto foi copiado para vários sites e – com pequenas alterações – publicado em vários sites falsos de “notícias de famosos” para onde são direccionados todos estes anúncios. A campanha activa em Portugal é uma réplica de várias outras campanhas (com celebridades locais) que começaram em Outubro de 2023 numa operação que incluiu França, Reino Unido, Austrália, Canadá e Turquia. Nesta primeira campanha era usado – entre outros – o nome da futebolista australiana Sam Kerr.
Nos vários sites da rede que são exibidos em Portugal encontramos alegações falsas ou absurdas nas centenas de textos nos sites de uma rede que usa o nome “Immediate Vortex” (alguns escritos pelo ChatGPT): “orgulhamo-nos das medidas de segurança da nossa plataforma de negociação. Vamos além da encriptação com 2FA” o que não faz, tecnicamente, nenhum sentido. A alegação “estamos constantemente a monitorização do nosso site para sermos proactivos para os nossos utilizadores” está escrita num péssimo português (tradução automática) e pretende induzir um falso sentido de segurança na vítima da burla. Várias pistas no texto indicam que os sites em português foram traduções a partir de sites lançados no Reino Unido.
As redes de burlões como esta que usa o nome da Vortex (pode ser, ou não, esta empresa) usam a moda das criptomoedas e o seu mediatismo como forma de captar investidores inexperientes que tentam assim a sua sorte embarcando neste mundo muito complexo e opaco. Se forem expostas estas redes como a da Vortex podem ameaçar denunciar a vítima às Finanças por “mais valias não declaradas” (o que é falso: não existem ganhos de nenhum tipo).
Depois do registo na plataforma o esquema começa pelo pedido de um “depósito inicial” mínimo de “€250 ou $250” para que a vítima possa “começar a negociar“. Uma vez feita a transferência (por visa ou mb way/mbnet) a vítima perde para sempre essa verba e todos os alegados ganhos são virtuais expondo-se a burla quando se tenta fazer o levantamento dos ganhos acumulados. Algumas vítimas reforçam o depósito – iludidas pelos supostos ganhos – mas são uma minoria. São estas as vítimas que caem nos vários estímulos criados pelo “agente especializado” que depois do contacto inicial o contactam e que são vítimas do Pig Butchering Scam.
Alguns dos (muitos) sites da rede que usa o nome “Vortex” (entre outros):
Na prática a maioria destes sites de “reviews” avaliam toda a rede de muitos outros “scams de criptomoedas” com avaliações falsas que visam credibilizar toda a rede mas que, no processo, expõe a grande dimensão desta operação internacional. A qual não é nítido se a empresa registada na CMVM grega é mesmo a que está por detrás desta rede ou não.
É preciso, contudo, ter em conta que embora um dos sites da alegada “Vortex” mencionam que possuem mais de 1,2 milhões de “clientes” (vítimas), há mais redes a explorar este filão dos “cripto scam”. Olhando apenas para números de 2021, mais de 14 mil milhões de dólares foram perdidos. Ou seja: esta rede que usa este nome (entre outros) não é única: É apenas a mais activa, actualmente, em Portugal.
A operação realizada por esta organização é profissional e muito especializada: as campanhas financiam anúncios no Twitter, Google e na Microsoft. No Facebook existem alguns grupos mas de pequena escala:
Parecem existir pelo menos 5 “departamentos”: IT, Web developpers e Conteúdos, Gestão de anúncios (através de “Campanhas de Afiliados”), um Call Center que, dizem os operadores está sediado em Londres e em Paris (é impossível saber) e que faz chamadas a partir de indicativos da Roménia, Irlanda e Chipre para acolher os novos contactos e “Agentes Especializados” (“operadores financeiros”) que gerem a maior parte da operação. O serviço de vendas de dados pessoais a brokers parece funcionar de forma paralela existindo vários relatos de vítimas da rede que passaram a receber chamadas de outros scammers nos seus telemóveis desde que se registaram num dos sites da burla.
Um dos métodos para aumentar o alcance e a credibilidade destas campanhas é o uso de contas Twitter “blue“: Trata-se de um modo de assinatura paga e que deveria garantir mais confiança e a fácil identificação dos burlões. Contudo, tal não acontece uma vez que os mecanismos de controlo desta rede social são cada vez mais débeis e que as suas ferramentas de reporte funcionam mal ou, simplesmente, não funcionam (como comprovámos quando tentámos denunciar várias destas contas).
Outra campanha publicitária – além da no Twitter – foi também lançada na página de arranque do browser Edge da Microsoft usando a plataforma “Microsoft Advertising” e o EngageYa: aqui surgem notícias falsas de celebridades tais como “Portugal em Choque! Rumores Sobre Filomena Cautela Foram Confirmados”, “Filomena Cautela: Lamento Essa Ação”, “Adeus a Jorge Gabriel. Portugal chocado”, “Jorge Gabriel: Tenho Vergonha do que fiz!”, “EXCLUSIVO: Tony Carreira Quebra o Silêncio: Não acredito no que fiz!”, “Roubo na TVI! Cristina Ferreira afirma: Foi o Goucha!”. “Portugal em luto! O impactante adeus a Jorge Gabriel”. Estes anúncios surgem entre notícias (em carrocel) de sites reais o que credibiliza os anúncios.
Se hoje em dia temos sites com notícias e imagens reais publicadas em sites falsos com o crescimento da inteligência artificial teremos vídeos e áudios deepfake com as vozes destas celebridades. A tecnologia hoje em dia já existe e está ao alcance de umas dezenas de dólares.
Os links onde caiam estes anúncios nada tinham a ver com os títulos. Trata-se de Clickbaits (conteúdo online projectado de forma sensacionalista ou enganosa para atrair cliques). Geralmente o título ou descrição exagera informações ou usa estratégias chamativas para incentivar os utilizadores a clicarem, muitas vezes sem entregar o conteúdo relevante ou prometido. O seu principal objetivo é apenas o de gerar tráfego para o site.
A rede que usa o nome “Vortex” (entre outros) tem uma excelente gestão de SEO (Search Engine Optimization ou “Optimização para Mecanismos de Busca”: Um conjunto de práticas e técnicas para melhorar a visibilidade e a classificação de um site nos resultados orgânicos do Google). De facto, na primeira página de resultados todos os resultados são elogiosos para a Immediate Vortex: em 20 resultados só 2, (no fundo da página de resultados) são negativos e um é do reddit... Esta rede usa de forma muito eficaz um conjunto de métodos de “SEO Spam” e a Google está a perder a guerra contra estes spammers. De sublinhar que nunca ninguém vai além dos primeiros 3 ou 4 resultados pelo que quem procurar pelo nome da rede só encontrará, praticamente, avaliações positivas.
A manipulação do Google segue, contudo, outro nível: Quem procurar no google por “immediate vortex” encontra a secção do próprio Google:
“People also ask Is immediate vortex legit or not?” onde surgiu o texto “Immediate Vortex is not a scam: However, you should be aware that a few fake copycat websites using similar names have popped up on the internet, which are most definitely scams. Make sure you register only through the official website”. O que credibiliza (e muito) a rede de cripto scammers.
Nos sites da rede e no twitter os burlões usam o método “like farming” multiplicando em contas (muitas delas certificadas) com mensagens positivas sobre a Immediate Vortex com o objectivo de aumentar o alcance e a credibilidade dos anúncios. Isto reforça os conteúdos que usam “Celebrity scams” e dos quais vimos alguns exemplos mais acima.
De notar que estas campanhas de Clickbait vivem muito dos fracos mecanismos de controlo de anúncios de: Google, Microsoft e Twitter. Há também anúncios em redes de menor dimensão que surgem nos sites falsos como nas réplicas falsas do jornal “ECO” mas pela sua escala não são significativas.
O registo inicial por parte da vítima é feito numa das muitas versões do formulário em https://immediate-edge.software/ pedindo-se o nome da vítima, o mail e o nº de telefone. O formulário adapta-se à lingua do browser (são suportados: português, húngaro, dinamarquês, alemão, espanhol, francês, italiano, japonês, holandês, norueguês, polaco e sueco). No código HTML surge o “author” “Dominik Howe” (não é visível na página pelo que pode ser uma pista deixada por esquecimento da identidade de quem faz estas páginas): O nome é comum nos EUA, país onde esta operação global parece estar baseada (embora os call centers pareçam estar na Europa). Isso mesmo é indicado pela presença na Califórnia dos servidores, de registos DNS de domínios na namecheap, dos alojamentos na cloudflare (Califórnia) e – sobretudo – da informação os “supported countries”: “Most countries Except USA”. Aplicando a regra “don’t shit where you eat” os burlões ficam assim fora de processos judiciais e investigações mais profundas à natureza do negócio e sobre a sua identidade.
Após o registo da potencial vítima, minutos depois caem chamadas de call centers que usam números romenos, cipriotas e irlandeses: +353870584332, +40737957601, +442039964082, +35725341901, +35799722979 e +35724647177 (entre outros). Se a chamada do call center for recusada é feita uma chamada a partir do 937869616 (que no sync.me aparece associado a “Ulisses”) ou partir de um outro número com indicativo estrangeiro. Os operadores do call center usam um sotaque africano ou português sem sotaquem e “trabalham” numa sala onde se ouve em fundo outras conversas em várias línguas, o que indica que a rede opera várias campanhas por país em simultâneo. O operador dá informações sobre como aderir ao “trading de criptomoedas” e diz que o contacto seguinte será feito por um dos vários “experientes gestores de investimentos”, prometendo lucros substanciais com criptomoedas.
O operador do Call Center alega que o “depósito” não tem comissões e que pode ser facilmente levantado (o que é falso). Na prática este depósito é o scam: uma vez que poucos investidores o reforçam logo que compreende que se trata de uma burla.
Após o registo é enviado por SMS um link para acesso a https://www.liquidityx.com/redirects/ud/?data=<editado já que muda a cada registo e apontará directamente para o perfil da vítima>
Esta entidade “financeira” alega estar
registada na CMVM grega (o que não implica que pode exercer actividade financeira em Portugal).
Indica a forma de receber as verbas (Visa sendo que este cartão pode ser gerado através da aplicação MBWAY).
Surge aqui o valor que é o padrão em todas estas burlas: 250 euros (ou dólares ou libras) o que é uma das marcas distintivas de todas estas organizações e que indiciam que, de facto, tudo se resume à mesma organização com vários nomes “comerciais”.
Numa nota que revela algum sentido de humor diz-se, neste site, que
A “empresa não promove os seus serviços através do patrocínio de celebridades” o que é manifestamente falso como comprovam os clickbaits de notícias de celebridades como Goucha, André Ventura ou Tony Carreira. É apenas uma tentativa de credibilizar o site e de afastar a ligação à promoção original que levou as vítimas ao registo.
Aqui é requerido o upload de documentos pessoais: do Cartão de Cidadão digitalizado, frente e verso (!): ou seja a vítima entrega os seus dados pessoais, fotografia e assinatura ficando assim estes totalmente acessíveis à redes destes cripto scammers. Além de tudo o mais isto é um risco de segurança (grave) e uma flagrante violação do RGPD dado que os servidores deste domínio estão alojados na Cloudflare em São Francisco (EUA).
De sublinhar que esta rede usa muitos nomes e que estes mudam em ciclos de alguns dias. Os mesmos servidores são usados apenas mudando os conteúdo. Essa manobra foi observada a 19.09.2024 no https://tradesimplex.com/HCTM/ quando em vez de Trade Urex 500 começou a aparecer a página de registo da plataforma “BTC 6.0 Avage”.
Sinais de Alerta (red flags):
1. Se na plataforma não encontra uma morada ou telefone e se apenas existe um formulário de contacto isso é uma bandeira vermelha (red flag) de que algo está errado. Significa que quem gere esta operação não quer ser contactado e que todos os contactos serão unidireccionais (apenas na direcção do alvo).
2. Se alguém o contacta do nada seja por whatsapp, telegram ou Facebook é provável um esquema que visa – a prazo – conquistar a sua confiança e roubar o seu dinheiro.
3. Se algo parece demasiado bom para ser verdade: Não o é. Mais uma “red flag”.
3. Se promete total segurança e absoluta segurança contra perdas financeiras é uma “red flag”: todos os produtos financeiros legítimos têm uma determinada taxa de risco. Nenhum garante – também – um rendimento.
4. Outra “red flag”: Se o site do “produto” ou “serviço” não mostra informações claras e precisas sobre a empresa, se a sua liderança é anónima e se a localização da sede é desconhecida: é um esquema. Se nas diversas chamadas os operadores indicam várias moradas e se nunca indicam a morada exacta: Toda essa opacidade é uma defesa contra eventuais processos legais (raros mas que já aconteceram: “Chefe da criptomoeda Thodex é condenado a 11.196 anos de prisão na Turquia por fraude” (BBC)).
O que fazer para evitar cair num “golpe de criptomoedas” (cripto scam)?
1. Instale um antivírus comercial com uma boa extensão de browser como a do BitDefender.
2. Antes de investir procure na internet por avaliações da criptomoeda ou da plataforma. Tenha em conta que no caso da suposta “Vortex” a maioria dos resultados do Google foram contaminados e manipulados.
3. Se chegou aos burlões através de anúncios em plataformas como as da Google ou Microsoft denuncie os anúncios a estas empresas.
5. Se não domina totalmente o mundo das criptomoedas: não invista. Muitos acreditam que o próprio conceito das criptomoedas é um scam, um esquema de Ponzi que, mais tarde ou mais cedo, vai explodir arrastando atrás todos os que até agora aqui investiram. Actualmente o seu uso principal na “economia real” são ataques de ransomware.
6. Se, ainda assim, investir em cripto, use VPNs para impedir ataques “Man-in-the-middle” por captura de credenciais.
7. Não contrate empresas de recuperação de fundos dados que estas, frequentemente, são também esquemas.
8. No Twitter pode adicionar em Mutted words as palavras que não quer ver: P.ex. “Banco de Portugal processa”.
Se já foi vítima:
1. Lute: não seja uma vítima: Execute todos os passos acima descritos e, se a perda for grande: contacte um advogado para avaliar a possibilidade de processar gigantes como a Microsoft ou a Google pela sua incompetência em travarem estas campanhas de anúncios nas suas redes.
2. Todos já caímos ou iremos cair numa burla: não se vitimize e procure aconselhamento profissional. As verbas perdidas praticamente nunca são recuperadas mas não deve perder também a sua saúde porque se deixou enganar por uma rede muito profissional e experiente de burlões internacionais.
3. Se foram recolhidos dados pessoais como o nome, cartão de cidadão, a sua assinatura, mail, dados bancários e o nº de telefone essa informação será mais tarde vendida a outras redes de burlões. Se puder mude o mail e troque de nº de telemóvel.
1. Golpes “Rug Pull”: que partem da promoção exagerada de novos projetos, tokens não fungíveis (NFT) ou moedas para obter financiamento. Depois de receber o dinheiro, os golpistas desaparecem, deixando os investidores com um investimento sem valor. Um exemplo conhecido é o do golpe da moeda Squid, inspirado na série da Netflix “Squid Game”, onde os investidores perderam cerca de 3 milhões de dólares num jogo online.
2. Golpes Românticos: Ocorrem em aplicações de relacionamentos envolvendo relacionamentos online de longa distância. Uma das partes ganha a confiança da outra e convence a vítima a comprar ou doar dinheiro em criptomoeda. Depois de receber o dinheiro, o golpista desaparece. Este golpe também é conhecido como “golpe do abate do porco” e frequentemente demora vários meses a revelar-se.
3. Golpes de Phishing que dependem do envio de mails com links maliciosos para sites falsos, visando obter informações pessoais, tais como chaves de carteiras de criptomoedas.
4. Ataques de Homem no Meio: Em locais públicos, os golpistas podem realizar ataques de “homem no meio”, interceptando informações sensíveis, como passwords e chaves de carteiras, quando os utilizadores acedem às suas contas de criptomoedas.
5. Golpes de Doação em Criptomoedas nas Redes Sociais: Muitas publicações fraudulentas em redes sociais prometem doações de Bitcoin, mas não passam de golpes.
6. Golpe do “abate do porco”: Os esquemas com sites falsos de criptomoedas estão a tornar-se cada vez mais comuns. Por vezes, o golpe começa com um alguém que finge estar disponível para um relacionamento e promete ajudar a vítima a investir em criptomoedas. As vítimas são instruídas a comprar criptomoedas numa exchange legítima e, em seguida, enviá-la para um endereço de carteira de um site falso para investimento. Em outros casos, o golpe começa com a notificação de que a vítima ganhou criptomoedas num site. Em ambos os casos, o golpista controla o site, simulando um saldo na conta da vítima. Posteriormente, a vítima é informada de que precisa depositar mais dinheiro no site para retirar os seus supostos ganhos. Todas as quantias enviadas vão directamente para a carteira do burlão, e as informações sobre o dinheiro retido no site são falsas. Este golpe também é conhecido como o golpe do “abate do porco” ou “pig butchering” scam.
Estes múltiplos golpes destacam a importância de estar ciente e tomar muitas precauções ao lidar com criptomoedas e investimentos online em geral.
1. Opte por utilizar mais de 8 caracteres nas suas senhas: Esta é uma regra básica mas crucial ao escolher uma nova senha. A extensão da senha é directamente proporcional à sua segurança. Quanto mais caracteres utilizar, mais difícil será para alguém descobri-la em caso de um ataque.
2. Varie entre letras maiúsculas, minúsculas, números e símbolos ou use frases longas: Esta regra complementa a anterior. Evite sequências óbvias, como “abcdefghi” ou “123456789”, porque são fáceis de deduzir. O ideal é misturar letras, números e símbolos, tornando a senha mais complexa e difícil de ser hackeada. Idealmente, escolha palavras-frases, longas e fáceis de memorizar que, portanto, não precisa de escrever. Portanto, combine diferentes elementos em suas senhas e evite escolhas previsíveis, como nomes de familiares ou animais de estimação.
3. Nunca escreva as suas senhas em papel: As suas senhas são informações confidenciais que só você deve conhecer. Evite anotá-las em papel, pois isso pode expô-las a pessoas não autorizadas, tanto internas quanto externas ao seu ambiente. Note que transportar senhas por escrito entre casa e escritório aumenta ainda mais o risco de perdê-las em locais públicos. Se o fizer não anote os nomes de utilizador a que correspondem essas senhas.
4. Não repita a mesma senha em diferentes sites. Essa regra é fundamental. Mesmo que a sua senha seja forte, nunca a use em mais de um site ou serviço. Se uma senha for comprometida num, pode ser usada para aceder a outros serviços importantes, tais como contas de redes sociais ou bancos.
5. Altere as suas senhas a cada 3-6 meses. Embora esta prática tenha sido comum no passado, a sua eficácia tem sido questionada nos últimos anos. Em vez de mudar regularmente por obrigação, é mais seguro mudar as senhas periodicamente, garantindo que cada nova senha seja tão segura quanto ou mais do que a anterior e, sobretudo, que use senhas mais longas (e memorizáveis). Além disso, sempre que houver indícios de comprometimento de uma senha, altere-a imediatamente.
6. Regra Extra: Utilize um gestor de senhas. Considerar o uso de um gestor de senhas é tão importante quanto as outras regras. Com a quantidade de contas que actualmente todos temos, é impossível recordar de todas as senhas, principalmente se estas seguirem padrões complexos.
Os gestores de senhas, como Bitwarden, LastPass, Dashlane, Secrets, KeepPass ou RoboForm, permitem criar senhas fortes, armazená-las de forma segura e partilhá-las de maneira privada. Desta forma, só precisa lembrar-se da senha do seu gestor, mantendo as demais protegidas numa base de dados criptografada.
Alertamos os utilizadores da Internet em Portugal para um “advance fee scam” (“golpe de taxa antecipada”) que utiliza mensagens de SMS para números exfiltrados nos últimos anos (facebook e linkedin: sobretudo) e, agora, também para registos realizados através da “plataforma” de criptomoedas que usa os nomes comerciais “Immediate Vortex”, “BTC 6.0 Avage”, “Trade Forex 500”, “Meridian Finance” (os nomes mudam todas as semanas). Comprovámos isto através de um registo numa destas plataformas de um número de telemóvel usado para estes testes.
O domínio DNS tinha a 19.02.2024 apenas alguns dias de acordo com (https://www.criminalip.io/domain/report?scan_id=11504283) (https://www.whois.com/whois/okanuw.com) e apresenta vários alertas indicando – com elevado grau de certeza – de que se tratava de uma operação criminosa: 1. Elementos HTML suspeitos 2 2. Probability of Phishing URL de 67.31% 3. Hidden Iframe 1 4. Obfuscated Script 6 5. Fake Favicon: Dangerous
Se navegarmos ao URL enviado por SMS num browser que não esteja num telemóvel somos encaminhados para homepage da ExpressVPN mas se, pelo contrário, fizermos o acesso num Smartphone aparece o site real sendo isto feito para iludir algumas verificações automáticas (como se pode constatar em https://urlscan.io/ ajustando o país e browser).
Se acedermos de forma a que o site alojador pense que estamos num smartphone somos encaminhados para um site malicioso em www.powerplay.com onde se recolhem dados pessoais que, posteriormente, vão encaminhar redes para chamadas de burlões para vários esquemas e, em particular, para um esquema de casinos online para onde a vítima é atraída.
Recomendações: NÃO CLIQUE em links recebidos por SMS de fontes desconhecidas. Verifique o URL cuidadosamente antes de clicar. NUNCA forneça dados pessoais em sites suspeitos. Tenha cuidado com ofertas que parecem boas demais para ser verdade. Proteja todos os seus dispositivos (não esquecendo o smartphone!) com antivírus e outros software de segurança.
As “Fake News” (ou “notícias falsas”), são informações total ou parcialmente falsas que se disfarçam de notícias reais e que são criadas e disseminadas com o objetivo específico de enganar, manipular ou influenciar a sua opinião e, especialmente, para condicionar o sentido de voto em eleições democráticas ou, mais raramente, com o fito de atrair (clickbait) tráfego para um site onde um grupo criminoso exerce a sua actividade (que pode ser de phishing ou uma burla com Criptomoedas).
Existem basicamente 4 tipos de “fake news”: 1. Notícias totalmente inventadas que nunca aconteceram. 2. Desinformação com dados distorcidos ou retirados de contexto mas que são, basicamente, verdadeiros. 3. Meias-verdades com a omissão de elementos ou detalhes essenciais por forma a criar uma narrativa que leva o leitor a formar uma opinião errada. 4. Conteúdo manipulado através da edição de audio, imagens ou vídeo com ou sem recurso a ferramentas de Inteligência Artificial.
Como detectar uma “Fake News” (notícia falsa)? 1. Sempre que vir uma notícia que lhe causa qualquer – por pequena – suspeita quanto à sua credibilidade procure uma fonte alternativa da mesma informação. 2. Qual é domínio principal do site? Foi criado há quanto tempo? (Veja no criminalip.io). 3. Procure outros artigos no mesmo site. Por vezes todos apontam para a mesma “notícia” (isto acontece muito em sites clickbait) e todos terão o mesmo tipo de conteúdo se se tratar de um site de fake news. 4. Qual foi a data da publicação? Se for muito recente terá aqui um forte sinal de alerta. 5. Qual é o tipo de linguagem utilizada? Se é sensacionalista ou visa criar um estado de alarme: tem aqui mais um sinal de alerta. Se abusa de adjectivos ou de linguagem coloquial terá mais um… Se encontra erros ortográficos terá aqui, também, mais uma pista.
A principal e maior prevenção para que não seja enganado por uma notícia falsa é, mesmo, ser Céptico: sempre! 1. Coloque tudo o que lê online sempre em dúvida. 2. Desconfie de tudo o que “parece demasiado bom para ser verdadeiro” 3. Nunca acredite em nada antes de o confirmar noutras fontes e, idealmente, apenas em sites de referência ou de órgãos de comunicação social reconhecidos e com credibilidade. 4. Use ferramentas como o https://www.factcheck.org (internacional) e os listados pela Lusa em https://combatefakenews.lusa.pt/verificadores-em-portugal/ 5. Aprenda a distinguir textos de notícias reais de notícias falsas. 6. Habitue-se a usar um número limitado e confiável de sites noticiosos e evite procurar e obter essas informações exclusivamente através de redes sociais. 7. Se partilhar notícias nas redes sociais procure fazê-lo apenas a partir de sites confiáveis. 8. Passe tudo o que aprendeu ao identificar sites de fake news à sua rede de amigos e familiares. 9. Obtenha as suas noticias através de jornais ou telejornais. Não se informe apenas nas redes sociais ou em jornais “alternativos” online e pouco confiáveis.
O Worldcoin é um projecto que oferece criptomoedas em troca de um scan da sua íris e hoje em dia encontramos captando utilizadores em muitas superfícies comercais do país. Apesar da promessa de uma renda básica universal e de um futuro digital mais equitativo, diversos especialistas alertam para os perigos que esta iniciativa pode trazer:
Riscos à privacidade: Dados biométricos: A íris é um dado único e imutável. Se vender a sua digitalização a uma entidade isto significa que está a abrir mão de um elemento crucial da sua identidade e privacidade. Termos e condições: O Worldcoin não é regulamentado e os seus termos de serviço permitem a utilização dos seus dados para diversos fins, nem sempre claros. Se a empresa abrir falência: os dados poderão ser comprados por um terceiro. Segurança de dados: A empresa já foi alvo de tentativas de hacking (algumas com sucesso), e não há garantias de que os seus dados biométricos estão seguros a longo prazo ou que não foram já acedidos por hackers. Etnia: A textura e a cor da íris podem indicar a origem geográfica de uma pessoa, como Europa, África, Ásia ou América e, em alguns casos, podem fornecer pistas sobre a etnia específica de uma pessoa, como descendência italiana, japonesa ou nigeriana. Saúde: A íris pode apresentar sinais de doenças oculares como glaucoma, heterocromia, iridociclite e síndrome de Horner e diabetes, síndrome de Down e síndrome de Sturge-Weber ou, até, através de genes relacionados à cor dos olhos, doenças hereditárias indicar predisposição para certos tipos de tumores.
Riscos à liberdade: Controlo centralizado: A Worldcoin alega ser uma identidade digital global, com potencial para controlar o acesso a serviços e recursos. Isto quer dizer que – se tiver sucesso – lhe poderá também barrar o acesso a esses serviços. Manipulação e censura: A posse de dados biométricos por uma única entidade abre portas para manipulação e censura em larga escala se fizer algo que desagrade ou contrarie esta entidade. Discriminação algorítmica: O uso de dados biométricos pode levar à discriminação e exclusão de grupos sociais uma vez que é possível obter muita informação a partir da íris (ver acima).
Riscos financeiros: Valor da moeda: A Worldcoin é uma criptomoeda nova e volátil, sem garantia de valor futuro. Este risco – aliás – aplica-se a todas as criptomoedas. Esquema Ponzi: Há o risco muito sensível de que a Worldcoin seja um esquema Ponzi, onde os novos utilizadores pagam os antigos. Exploração de dados: O valor real da Worldcoin reside nos seus dados biométricos, que podem ser vendidos a terceiros para fins lucrativos.
Recomendações: 1. Evite participar do Worldcoin. Se já o fez, considere solicitar a exclusão dos seus dados (ver abaixo). 2. Seja cauteloso com qualquer projecto que exija seus dados biométricos. 3. Proteja a sua identidade digital e os seus dados pessoais. 4. Exija regulamentação e transparência de empresas que operam no mundo digital e da nossa Assembleia da República e Parlamento Europeu uma maior e mais rigorosa regulamentação e fiscalização.
Um vírus polimórfico é um tipo de malware que tem a capacidade de alterar a sua aparência de maneira constante para evitar a detecção por programas antivírus. Isso significa que, mesmo que o código interno do vírus permaneça funcional, a sua representação externa muda constantemente, tornando mais difícil para antivírus identificarem e bloquearem o malware.
Recomendamos que para evitar este perigoso tipo de malware:
Mantenha o Software e Sistema actualizados
Use um Bom Antivírus
Firewall Activo
Evite Clicar em Links Suspeitos
Cuidado com Downloads!
Tenha Práticas de Navegação Segura
Backups Regulares
Conscientização Digital: Esteja ciente das táticas comuns de engenharia social e phishing. Eduque-se sobre as ameaças online para poder reconhecê-las.
Iniciativa CpC: Cidadãos pela Cibersegurança 