Spoofing: mensagens falsas usurpam identidade e levam a burlas
Recebemos uma chamada, uma mensagem, um e-mail ou um link de um remetente que nos parece familiar e num instante dá-se a usurpação dos nossos dados pessoais e credenciais de acesso. É uma das técnicas de ciberataque mais frequentes. Veja como atuam os burlões e como se proteger do spoofing.
- Especialista
- Pedro Mendes e Sofia Lima
- Editor
- Alda Mota
Recebeu uma mensagem no telemóvel de uma empresa a propor-lhe ganhar dinheiro ao gostar de vídeos do TikTok ou do YouTube? Foi adicionado a um grupo no WhatsApp com o mesmo intuito, e tudo o que tem de fazer para começar a “trabalhar” é clicar num link? Esta estratégia dá pelo nome de spoofing (em inglês, a arte de falsificar) e é um dos ciberataques mais comuns dos últimos tempos.
Ainda que possa parecer-lhe uma boa forma de aumentar os rendimentos facilmente, não se deixe enganar. O spoofing uma estratégia usada por burlões para usurpar dados pessoais e credenciais de acesso a sites e contas bancárias. Outro exemplo muito comum são os telefonemas ou as mensagens (sejam ou não de SMS) provenientes de entidades bancárias ou do MB Way, com pedidos de envio de dados pessoais ou links para autorizar a receção de um pagamento. Muitas vezes, o remetente da mensagem é alterado de modo a esta ficar alojada junto de outras mensagens (verdadeiras) do “mesmo” remetente. Assim, quem a recebe confia na sua legitimidade e clica no link, o que leva a uma imediata exposição dos seus dados.
Veja o que é o spoofing e como se proteger.
O que é o spoofing?
Spoofing é o nome dado a um ataque em que um cibercriminoso se faz passar por um banco, uma instituição pública ou uma empresa para obter os dados pessoais da pessoa afetada para fins criminosos. Os objetivos podem ser roubar dinheiro – através de acesso a dados bancários, por exemplo –, chantagear e espalhar malware através de anexos ou links infetados.
Como funciona o spoofing?
Um ataque de spoofing pode ser iniciado de várias formas:
- envio de uma mensagem para o telemóvel ou de um e-mail, em que o remetente se faz passar por uma pessoa conhecida ou por uma empresa;
- um site fraudulento, em tudo semelhante ao de uma instituição fidedigna, mas que serve, apenas, para burlar quem lá cair;
- uma chamada telefónica ou um contacto por mensagem, alegadamente de uma pessoa conhecida.
Ligaram do banco? Desconfie
Um dos exemplos mais comuns de spoofing inicia-se com uma chamada telefónica, supostamente do banco, alertando-o de que alguém está a realizar operações bancárias nas suas contas. Para “proteger” o seu dinheiro, é instado a transferi-lo para uma conta “segura”. Solicitam-lhe, então, os dados pessoais "necessários" (como, por exemplo, o número do cartão de cidadão, os códigos de acesso ou as palavras-passe).
Na conversa, os criminosos aludem a dados concretos sobre si (muitos dos quais podem estar visíveis, por exemplo, em perfis públicos de redes sociais) ou terminologia bancária específica, o que torna o relato mais verosímil. Também podem recorrer a programas informáticos para mudar o número de telefone que aparece no ecrã para que quem receba a chamada, caso esteja desconfiado, possa ligar para a entidade, para se “assegurar” de que é de facto do banco que vem o pedido de intervenção na conta. O que o burlado iminente não sabe é que, se voltar a ligar para o número concedido, quem o atenderá é, de novo, alguém da “equipa” dos cibercriminosos, que vai, obviamente, corroborar a história.
Normalmente, o dinheiro é transferido para a conta de uma terceira pessoa que cedeu a sua identidade e que receberá uma comissão em troca do risco de ser apanhada.
Qual a diferença entre spoofing e phishing?
No spoofing, o atacante faz-se passar por outra pessoa ou entidade de modo a tirar partido da sua credibilidade para efetivar o ataque. Para tal, falsifica o remetente da mensagem – seja um número de telefone, um e-mail ou um endereço – de modo a convencer a vítima da sua legitimidade. Frequentemente é alterado apenas um símbolo ou caracter, o que passa despercebido a quem recebe a mensagem, mas é o suficiente para perpetrar o ataque.
O phishing é todo o tipo de ataque que tem como objetivo capturar (“pescar”) dados pessoais da vítima. Frequentemente, os ataques de phishing recorrem a técnicas de spoofing.
3 dicas para se proteger do spoofing
A melhor arma para evitar cair na armadilha é o bom senso.
- Tenha cuidado com chamadas telefónicas em que seja feito um alerta. Lembre-se de que o banco nunca solicita por telefone palavras-passe, credenciais de acesso ou códigos enviados por SMS.
- Verifique sempre a veracidade das informações transmitidas. Contacte, por exemplo, o seu gerente da conta ou entre na aplicação de homebanking e verifique se há movimentos na conta que justifiquem o alerta. Opte por fazê-lo em casa, numa rede que considere segura e em dispositivos próprios, para minimizar os riscos.
- No caso de mensagens com links para sites ou plataformas online, verifique sempre se o link é seguro antes de clicar. Em caso de dúvida, não clique.
Fui burlado, o que fazer?
Se for burlado, contacte imediatamente o seu banco e a polícia. Também pode denunciar o caso na plataforma Reclamar. A DECO PROteste junta o seu nome ao processo de modo a dar mais força à sua denúncia.
Se gostou deste conteúdo, apoie a nossa missão
Somos a maior organização de consumidores portuguesa, na defesa dos seus direitos desde 1991. Acreditamos que Saber é Poder.A nossa independência só é possível através da sustentabilidade económica da atividade que desenvolvemos. Para mantermos esta estrutura a funcionar e levarmos até si um serviço de qualidade, precisamos do seu apoio.
Conheça a nossa oferta e faça parte da comunidade de Simpatizantes. Basta registar-se gratuitamente no site. Se preferir, pode subscrever a qualquer momento.
|
O conteúdo deste artigo pode ser reproduzido para fins não-comerciais com o consentimento expresso da DECO PROTeste, com indicação da fonte e ligação para esta página. Ver Termos e Condições. |