Cuidados a ter com mensagens fraudulentas sobre covid-19

Em plena crise de saúde pública e de fragilidade social, a vulnerabilidade dos cidadãos é um terreno fértil para esquemas fraudulentos. Alguns atraem os utilizadores para a sua teia através das mais diversas vias, acenando, por exemplo, com aplicações que acompanham a evolução da pandemia ou com reduções na conta da água, gás e luz, com um link falso para o portal das finanças. O objetivo é aceder aos seus dados. Podem mesmo bloquear-lhe o telemóvel e exigir-lhe dinheiro para recuperar o acesso. Portanto, a primeira regra é desconfiar, a segunda, proteger-se.

Os burlões têm noção de que pessoas preocupadas tendem a agir com impulsividade. Mais facilmente, em momentos de incerteza, como aquele em que vivemos, cedem à tentação de carregar num link que lhes acene com respostas. Os autores destes estratagemas aproveitam-se do facto de muitas empresas e organismos do Estado terem necessidade de, nesta fase, comunicarem com os seus utentes e consumidores, para tentarem espalhar mensagens fraudulentas no meio de outras  fidedignas. Usam as comunicações oficiais e fazem réplicas para ludibriarem os mais incautos. Estamos a falar sobretudo de cinco tipos de esquemas:

• campanhas de angariação de fundos para combate à doença;
• testes de despiste do covid-19;
• plataformas de informação sobre evolução da pandemia;
• campanhas de vacinação comparticipadas pelo SNS;
• redução de 30% na água, gás e luz, remetendo para um documento no portal das finanças.

Sete regras para evitar ser burlado

Muitos dos esquemas chegam por e-mail. Outros por WhatsApp ou até por sms. Em muitos casos, o modo como as mensagens estão redigidas permite descortinar se se trata de uma fraude. Alguns sinais a que deve estar atento.

1. Leia bem o texto. Se tiver erros ortográficos ou incoerências gramaticais, apague. 
   
   
2. Desconfie se estiverem escritos noutro idioma. Os organismo oficiais comunicam em português de Portugal. 
   
   
3. Não clique no link. Copie o endereço e cole-o na caixa de pesquisa do Google. Se for malicioso, certamente que encontrará informação sobre o esquema. O importante é não clicar.
   
   
4. “Quando a esmola é muita, o pobre desconfia” é um provérbio que serve como uma luva a estas mensagens armadilhadas. Ainda não há cura para a covid-19. Se lhe propuserem uma solução, trata-se provavelmente de uma fraude. 
   
   
5. Confie apenas em comunicações de organismos oficiais, como a Direção-Geral da Saúde e o Ministério da Saúde. 
   
   
6. Desconfie se lhe oferecerem máscaras, gel desinfetante ou até papel higiénico. Estes bens de primeira necessidade que agora vão escasseando nas prateleiras são também um ótimo engodo.
   
   
7. Suspeite de endereços que remetam para formulários de levantamento de dados pessoais. O objetivo é recolher dados que, em muitos casos, permitem aceder às credenciais de acesso ao e-mail ou ao homebanking. Esta informação nunca é pedida, nem por escrito, nem por telefone. As passwords devem ser intransmissíveis.

Quem é o remetente do e-mail?

De uma semana para a outra, grande parte dos portugueses recolheu-se em casa, para evitar o contágio pelo covid-19, e passou a trabalhar em regime de teletrabalho. Mas, uma vez que as ligações domésticas são menos seguras do que as empresariais, trabalhar a partir de casa é uma oportunidade para os atacantes. O que deve fazer?

1. Verificar duas vezes o remetente dos e-mails. Caso detete alguma diferença no nome ou no domínio, rejeite a mensagem. Mesmo que o remetente seja um colega de trabalho, lembre-se que o mesmo pode ter sido atacado e que a mensagem, embora remetida em seu nome, pode não ser da sua autoria. Se um colega lhe estiver a solicitar por e-mail informação que considere anormal, ligue-lhe para confirmar, antes de responder. Esta precaução aplica-se não só aos e-mails, mas também aos anexos e mensagens de sms ou de WhatsApp. Anexos com extensões desconhecidas são suspeitas. 
   
   
2. Não use redes wi-fi públicas. Se não estiver a conseguir aceder à sua rede privada, opte pelo cabo de rede. É a forma mais segura de aceder à internet.

Em que endereços e aplicações confiar?

• Antes de clicar num endereço que receba por e-mail, coloque o rato por cima do mesmo, sem clicar. Os browsers mais populares mostram o endereço completo, o que permite confirmar se a ligação é cifrada, bem como verificar o domínio ou o país de origem (pt, para Portugal, es, para Espanha, fr, para França, etc.).
  
  
• O facto de começar por “https” também não garante que o endereço é legítimo. Significa apenas que os dados transitam num canal encriptado. O perigo é que podem estar a ser transmitidos de forma segura para destinos duvidosos.
  
  
• Tal como as mensagens, é quase certo que endereços com erros ortográficos são falaciosos.
  
  
• Instale apenas aplicações das lojas oficiais das plataformas Google Play e App Store.
  
  
• Para confirmar que o seu Android está configurado para não instalar aplicações de fontes desconhecidas, vá a Definições > Aplicações e Notificações e Avançadas. Em Acesso especial a aplicações, aceda a Instalar aplicações desconhecidas. Confirme que a opção Não permitida está selecionada em todas a aplicações. Preste especial atenção aos browsers, como o Chrome ou o Firefox. Estas instruções são para as versões mais recentes do Android (a partir da 8), mas podem variar em função do modelo que estiver a usar.
  
  
• Ative as atualizações automáticas do sistema operativo e do seu antivírus, para garantir que estão atualizados para as ameaças mais recentes.

A ligação em casa é segura?

• Para verificar se a ligação do seu computador é segura, confirme se a sua rede wi-fi utiliza o WPA2 (WiFi Protected Access), sistema que permite estabelecer uma ligação sem fios segura. A norma WAP2 é a mais segura, sendo superior à WPA e à sua antecessora WEP.
  
  
• No Windows 10, na barra de tarefas, vá ao ícone de ligação no canto inferior direito. Selecione a opção Definições de rede, carregue em Opções avançadas. Em Propriedades, Tipo de segurança, verifique a norma de segurança utilizada.
  
  
• No Mac OS X, no desktop, vá ao ícone de ligação à internet, no canto superior direito. Depois, na barra, escolha Abrir preferências da rede, no qual aparece um menu para consultar todas as opções sobre a rede a que está ligado.

Smartphones: o que fazer se for alvo de ciberataque

O Centro Nacional de Cibersegurança (CNCS) alertou contra um ciberataque, visando smartphones Android, que bloqueia o acesso ao mesmo. Há já denúncias de exigências de pagamentos em bitcoins como moeda de troca para desbloquear o telemóvel. Não pague o regaste, porque é pouco provável que recupere o acesso. Se, no seu telefone, utiliza uma conta Google, ou do Gmail, a maioria da informação (fotografias, contactos e aplicações) poderá ter uma cópia de segurança, se esta opção tiver sido ativada. Tente recuperar a partir de outro smartphone, realizando uma configuração inicial.

Caso suspeite que a sua conta foi pirateada, proceda como lhe explicamos a seguir.

1. Se ainda conseguir ligar-se, altere imediatamente a sua palavra-passe.
   
   
2. Ligue-se e altere as configurações. O pirata pode ter configurado a conta para redirecionar todas as mensagens de correio eletrónico.
   
   
3. Previna as pessoas com quem comunica através dessa conta.
   
   
4. O intruso bloqueou o seu acesso à conta, alterando a palavra-passe (por vezes, uma mensagem de correio eletrónico informa-o disso automaticamente)? Consulte as páginas de ajuda do serviço em causa, para ver o que pode fazer se a sua conta tiver sido pirateada. Talvez consiga reinicializá-la. No pior dos cenários, terá de ser encerrada.
   
   
5. Inicie a análise com um antivírus para detetar malware, tais como keyloggers, que registam as palavras-passe digitadas.
   
   
6. Se usar a mesma palavra-passe, ou outra muito semelhante, noutras contas, verifique se também foram pirateadas e altere-as.
   
   
7. Tente verificar se o intruso usou informações confidenciais. Foram enviadas mensagens em seu nome? Retiraram dinheiro da sua conta? Informe o seu banco se suspeitar que o intruso acedeu à sua conta bancária.
   
   
8. Por fim, reporte o incidente ao CNCS, em www.cncs.gov.pt/certpt/notificar-incidente, bem como à Unidade Nacional de Combate ao Cibercrime e à Criminalidade Tecnológica (UNC3T) da Polícia Judiciária, em www.policiajudiciaria.pt/unc3t.

O que diz a lei?

Utilizar os dados de outra pessoa sem autorização, para obter enriquecimento legítimo, constitui burla informática. Esta é punível com pena de prisão até três anos ou pena de multa. Mas se o prejuízo for muito elevado, a multa deixa de ser uma possibilidade e a pena de prisão varia entre dois e oito anos. A utilização de dados sem autorização pode igualmente ser sancionada no plano civil, se a vítima demonstrar ter sido lesada. O hacking é uma intrusão ilícita num sistema informático, ao qual o utilizador, ciente de que não está autorizado, acede com intenções fraudulentas ou com o intuito de prejudicar. Esta infração é punível por lei com pena de prisão até um ano, ou de multa, até 120 dias. No entanto, se a vantagem patrimonial obtida for substancial, a pena de prisão é entre um e cinco anos.