O ‘spoofing’ - o termo vem do verbo em inglês spoof (imitar, fingir) - é uma burla que tem feito vítimas por todo o país, através de tecnologia que as faz acreditar que estão a ser contactadas por funcionários de instituições bancárias onde têm conta.
Os burlões utilizam tecnologia para mascarar o seu número de telefone ou outro meio de comunicação, fazendo com que o número que aparece no visor da vítima pareça ser de uma fonte confiável, como o banco. Durante a chamada, o meliante personifica um funcionário do banco, utilizando técnicas de engenharia social para ganhar a confiança da vítima.
Com uma voz aparentemente profissional, o burlão faz perguntas sobre informações pessoais e solicita códigos bancários, supostamente para validar ou cancelar transações. Este tipo de abordagem cria uma falsa sensação de segurança na vítima, que acaba por fornecer os dados solicitados, acreditando que está a proteger as suas finanças.
Este tipo de crime é particularmente complicado de investigar. Os burlões utilizam métodos sofisticados para ocultar a sua identidade e localização, o que dificulta o rastreamento pelas autoridades. Em Portugal, a GNR e a PSP já receberam várias queixas relacionadas com ‘spoofing’, mas a natureza elusiva deste crime faz com que muitas vezes fique impune.
O Centro Nacional de Cibersegurança (CNCS) alerta para os perigos do 'phone spoofing’ e sublinha a importância de estar sempre alerta. É crucial nunca partilhar informações pessoais ou códigos bancários por telefone, especialmente em chamadas não solicitadas. Se receber uma chamada suspeita, o melhor é desligar e contactar diretamente o banco através de um número de telefone oficial.
Em suma, a prevenção é a melhor defesa contra este tipo de burla. A desconfiança pode ser o seu melhor aliado na protecção das suas finanças.
Tipos de spoofing
- Spoofing de ID: Um hacker faz uma requisição a um site ou servidor se passando por um IP legítimo, de forma que a vítima não consiga identificar o atacante;
- Spoofing de e-mail: Um dos mais comuns, mira usuários e consiste em e-mails falsos, se passando por outra pessoa ou uma empresa real. Geralmente ligado a golpes de phishing;
- Spoofing de DNS: O hacker manipula as conexões de rede e desvia acessos a um site legítimo para uma cópia falsa, de modo a roubar dados. Sites de bancos são os alvos mais comuns;
- Spoofing de chamadas e/ou SMS: O atacante faz chamadas ou envia mensagens SMS se passando por um número legítimo, tentando enganar outros usuários;
- Caller ID Spoofing: Este é um método mais elaborado. O hacker tenta entrar nos serviços de rede de telemóvel ou de apps através de um número clonado, de modo a invadir contas de e-mail, mensageiros e redes sociais do usuário copiado.
Como se proteger
O spoofing de ID é o mais fácil de identificar, basta o usuário ficar de olho no cabeçalho e poderá identificar alguns dados errados. Outra dica importante é não sair clicando em qualquer link enviado para si, seja por e-mail, SMS ou através de apps de mensagens.
Desconfie da natureza das solicitações, como sites de bancos que pedem números da conta, além do número de cartão, senha e código de segurança.
Active a verificação em duas etapas para seus mensageiros instantâneos e de preferência, não use o SMS ou o número de telefone como verificador; prefira apps como o Google Authenticator e Microsoft Authenticator para guardar suas chaves.