Está em curso uma campanha “intensa e massiva” de burla em que estão a ser feitas chamadas telefónicas fraudulentas em nome da Polícia Judiciária (PJ), com recurso à inteligência artificial que esconde a origem do telefonema, identificando números de telefone nacionais, para enganar as pessoas e levá-las a transferir dinheiro para contas bancárias.

O alerta foi lançado nesta terça-feira, por José Ribeiro, coordenador de investigação criminal da Unidade Nacional de Combate ao Cibercrime e Criminalidade Tecnológica (UNC3T), numa conferência de imprensa realizada na sede da PJ, em Lisboa.

O método passa pelo seguinte: as pessoas são contactadas e informadas de que a sua conta bancária está em risco ou foi indevidamente acedida. Depois têm de escolher uma de várias opções, o que inclui falar com um falso inspector da PJ que lhes irá fornecer os dados para transferirem os fundos das suas contas para outras contas supostamente seguras.

Segundo José Ribeiro, só no último fim-de-semana a PJ recebeu mais de uma centena de queixas relacionadas com estas chamadas fraudulentas em seu nome. "Neste momento, a nossa preocupação reside numa campanha actual em que foram difundidas de forma massiva milhares de chamadas telefónicas e que tem resultado neste número incomum de queixas”, afirmou José Ribeiro, sublinhado que a PJ está já a trabalhar em conjunto com as operadoras de telecomunicações para identificar estas técnicas de spoofing. O spoofing consiste em telefonar de um número e fazer aparecer outro no visor do destinatário. Pode ser o número de um banco, por exemplo.

Camuflada a origem do telefonema

Porém, o que aconteceu neste fim-de-semana, segundo este responsável da UNC3T, foi que os criminosos camuflaram a origem dos seus telefonemas com números de telefone de pessoas individuais. Quem recebeu as chamadas e, por algum motivo, para confrontar ou para confirmar a origem, decidiu devolver a mesma, acabava por surpreender o verdadeiro proprietário do número que afinal não tinha efectuado qualquer telefonema. Assim, chegaram à PJ queixas de quem foi alvo da tentativa de burla e de quem veio a saber que o seu número de telefone foi usado para o fazer.

"O facto de pertencerem a números nacionais não quer dizer que sejam feitas pelos titulares desses números. Queremos alertar a população que, pelo facto de aparecer um número nacional, não quer dizer que seja rastreável", sublinhou, acrescentando que “o detentor do número a partir do qual é feito o contacto fraudulento não tem qualquer registo no telemóvel”.

José Ribeiro revelou que, desde o início do ano, a PJ tem em investigação cerca de dois mil inquéritos relacionados com diversos tipos de burlas informáticas, como as campanhas "olá pai, olá mãe".

"A preocupação com estas técnicas é a forma massiva como as campanhas são difundidas e conseguem ter contacto directo com as vítimas, numa abordagem quase individualizada. Estão a desenvolver padrões individualizados de ataque e de burla, fazem análise de perfil e com recurso a inteligência artificial. Neste momento, desenvolvem técnicas direccionadas e este caso é assustador, porque vai trazer-nos dificuldades acrescidas", sustentou.

Já no dia 15 de Agosto, também a PSP alertou para o fenómeno do spoofing e em comunicado divulgou conselhos que se aplicam à mesma campanha de burla que está a ser desenvolvida em nome da PJ. A PSP aconselha a duvidar de qualquer chamada telefónica ou SMS que contenha uma saudação genérica em vez do nome real do receptor ou de uma mensagem personalizada dirigida ao receptor.

No caso das mensagens ou telefonemas por parte de alegadas entidades bancárias, onde sejam solicitados códigos, credenciais ou palavras-passe, deve ser verificada a veracidade do pedido junto da entidade bancária em questão. Já perante emails ou SMS que contenham links duvidosos, devem os mesmos ser ignorados e as mensagens de imediato eliminadas. É ainda recomendado que não se coloque o contacto telefónico nas redes sociais e que se bloqueie manualmente números provenientes de chamadas indesejadas e duvidosas. É considerado importante "respeitar o alerta sobre chamadas ou SMS marcadas como spam [lixo] nos aparelhos telefónicos mais recentes".

Ao receber um email ou outra qualquer comunicação que evidencie a prática de spoofing, as entidades policiais sugerem que seja informado o suposto remetente sobre o sucedido, no sentido de ajudar a impedir novos ciberataques deste tipo. "Podem fazê-lo nos sites das empresas visadas que, normalmente, possuem páginas onde é possível relatar spoofing e outros problemas de segurança", conclui a PSP. Além disso, deve sempre também comunicar o sucedido às autoridades, como a PSP e a PJ.