Cibercrime: quem protege e como?
Com a utilização regular da Internet as fraudes online tornaram-se mais frequentes. Felizmente, podem ser prevenidas e detectadas a tempo. Perguntámos ao WiZink quem protege do cibercrime e como.
1 – O que é um cibercrime?
Como o próprio nome indica, cibercrime é todo o tipo de crime que tem como alvo ou faz uso de um computador, de uma rede de computadores ou de um dispositivo electrónico ligado em rede, nomeadamente, através da Internet. Muitas vezes, os cibercrimes são extensões ou adaptações, no mundo virtual, de crimes levados a cabo no mundo real. Entre os cibercrimes mais comuns contam-se os esquemas de burlas online, destinados a enganar o utilizador para obter informação confidencial e roubar ou extorquir o seu dinheiro. Alguns exemplos que lhe podem soar familiares são o phishing, smishing ou vishing, o malware, os esquemas de ofertas online, entre outros. Com formas de operar semelhantes ou nem por isso, reforçamos que o fim é quase sempre o mesmo: ter acesso aos seus dados confidenciais (como palavras-passe ou códigos de segurança) e chegar ao seu dinheiro.
2 – Quais são os cibercrimes mais comuns relacionados com a utilização de serviços bancários online?
Entre os ataques informáticos dirigidos a quem usa serviços bancários online, destacam-se sobretudo o phishing, o smishing e o vishing. O objectivo e o tipo de esquema de burla são muito idênticos, ou seja, o cibercriminoso faz-se passar pelo banco ou outra entidade de confiança e pede informação confidencial à vítima. Esta informação pode passar por dados de acesso (as palavras-passe, por exemplo), dados do cartão (nomeadamente, CVV ou PIN) ou códigos de segurança, autenticação ou autorização (como aqueles que são enviados para o seu telemóvel, pelo seu banco, para que valide uma operação que esteja a realizar online).
Estes três tipos de cibercrime diferenciam-se pela forma de aceder à vítima e pela maneira como a informação confidencial é pedida. Assim:
• No phishing, o ciberataque é geralmente levado a cabo através de e-mails, os quais podem contar links que redireccionam para páginas falsas com o convite de nelas serem inseridos os dados confidenciais a que o cibercriminoso quer ter acesso. Muitas vezes, o cliente pensa que está mesmo a aceder à página de homebanking do seu banco, pois as páginas falsas para as quais é redireccionado através desses links são extremamente parecidas com as da entidade bancária legítima.
• No smishing, o cibercriminoso recorre ao envio de SMS, mensagens de WhatsApp ou de outras aplicações de mensagens escritas. O esquema depois é em tudo semelhante ao phishing, com links para páginas falsas a solicitar os dados confidenciais.
• No vishing, a fraude é concretizada através de uma chamada telefónica, durante a qual o burlão se faz passar por alguém do banco ou de uma empresa da confiança da vítima, alegando algum tipo de problema ou necessidade de obtenção de dados pessoais e confidenciais, como dados do cartão ou códigos de segurança. De realçar que, em regra, o criminoso alega que esses dados são necessários com muita rapidez para a resolução do dito problema. É precisamente este carácter de urgência que leva, muitas vezes, a vítima a ser enganada, já que acaba por agir sem pensar. Tenha em atenção que nenhum banco lhe vai pedir dados confidenciais, como palavras-passe, PIN ou códigos de segurança, autorização ou autenticação numa chamada telefónica. Por isso, não facilite! Se ficar na dúvida e com receio de que realmente alguma coisa possa estar a acontecer com a sua conta, cartão ou homebanking, não forneça qualquer dado, desligue a chamada e ligue de imediato para o telefone oficial da linha de apoio do seu banco ou para o seu balcão ou gestor de conta, se tiver um.
Sugerimos que veja este vídeo para ficar a saber mais sobre estes tipos de cibercrime.
3 – Porque é que é preciso ter cuidado com algumas ofertas online a preços irresistíveis?
Porque um outro tipo de burla muito comum prende-se precisamente com os esquemas de ofertas online. Em causa estão ofertas imperdíveis, por exemplo, de produtos ou serviços com descontos fantásticos. Os criminosos informáticos fazem-se passar por marcas/empresas legítimas de venda de bens e serviços e criam lojas online falsas, muito parecidas com as reais (isto porque copiar logótipos e fazer cópias de websites verdadeiros e credíveis é mesmo muito fácil). A vítima é atraída com as promoções muito atractivas e é na hora de pagar que se dá o golpe: os burlões pedem para que o pagamento seja feito por transferência bancária, ou pedem os dados do cartão, com o objectivo de acederem ao dinheiro da pessoa lesada.
4 – Pharming, malware e SIM card swap… estes são também cibercrimes a ter em conta. O que é que os caracteriza e como se diferenciam?
De facto, são também cibercrimes que podem ser levados a cabo no âmbito da utilização de serviços bancários online, mas são diferentes uns dos outros. Assim:
• O pharming acontece quando um vírus informático instalado num computador ou tablet (por exemplo, após o download ou instalação de algum ficheiro aparentemente insuspeito) redirecciona a vítima para uma página de Internet falsa para obtenção dos seus dados confidenciais.
• O malware é também um programa criado para danificar ou roubar dados. Existem muitos tipos de malware, por exemplo:
- O spyware, que é um programa malicioso instalado, sem que a vítima se aperceba, no seu computador ou tablet, e que permite detectar o acesso a uma página de Internet protegida, registando os dados que a vítima aí introduz.
- O ransonware (uma espécie de rapto informático), que é um software malicioso criado para deixar a vítima sem acesso aos ficheiros do seu computador. O cibercriminoso depois pedirá dinheiro (o “resgate”) para devolver o acesso aos referidos arquivos.
• O SIM card swap verifica-se quando alguém recolhe informação pessoal da vítima, directamente ou nas redes sociais, conseguindo fazer-se passar por ela numa loja de comunicações e solicitar uma segunda via do cartão de telemóvel. Esta manobra permite que todas as chamadas e SMS recebidas (como códigos de segurança ou autorização) sejam direccionadas para um cartão de telemóvel que está na posse do cibercriminoso, sem que a pessoa lesada se aperceba.
5 – O que é o shoulder surfing?
É outra forma de crime cibernético, talvez a mais rudimentar de todas, mas igualmente eficaz. É muito provável que todos já tenhamos espreitado por cima do ombro de um colega de escola para ver o que escrevia nalgum teste… Pois bem, este tipo de crime começa de forma idêntica, mais precisamente quando alguém consegue recolher informação ou dados confidenciais da vítima através de observação directa, por exemplo, em locais com muitas pessoas como os transportes públicos, quando a vítima coloca palavras-passe ou códigos de segurança nos seus dispositivos electrónicos sem saber que está a ser observada.
6 – Quais são as principais regras de segurança que devem ser seguidas para evitar o cibercrime?
Há várias regras que devem ser seguidas para evitar ser vítima de uma fraude online:
1.ª Navegação segura
- Proteger computadores e outros dispositivos electrónicos com firewall e antivírus;
- Criar palavras-passe fortes e difíceis de adivinhar, as quais devem incluir letras maiúsculas e minúsculas, números e caracteres especiais. Nunca usar datas de nascimento, números de porta, códigos postais ou sequências naturais de letras e números, pois são muito fáceis de prever;
- E depois, claro, não inscrever ou gravar as passwords, nem usar as mesmas em várias plataformas;
- Aceder aos canais digitais do seu banco digitando sempre o endereço completo do site oficial do banco no seu browser/navegador de Internet ou usando a App oficial do seu banco (sempre instalada através das stores/lojas oficiais);
- Visitar apenas páginas seguras. Para compras online ou outras transacções, usar páginas oficiais de marcas/empresas da sua confiança, em que o endereço começa por https e/ou inclui um cadeado fechado ou uma chave no lado esquerdo da barra de endereços;
- Evitar usar redes públicas ou hotspots de Wi-Fi, sobretudo para fazer transacções online que impliquem o uso de palavras-passe ou códigos de acesso.
2.ª Guardar os dados confidenciais só para si e para as suas operações
Nunca divulgar os seus dados confidenciais, como códigos de acesso, palavras-passe, códigos de segurança/autorização ou autenticação, PIN ou CVV do cartão, a terceiros, quer seja por e-mail, mensagem ou telefone, mesmo que digam ser do banco. É importante ter sempre presente que estes dados/códigos são pessoais e intransmissíveis e o banco nunca os pedirá por estes meios.
3.ª Manter a vigilância apertada (às vezes, serve mais para remediar, ainda assim, quanto mais cedo actuar melhor)
Verificar regularmente os movimentos dos seus cartões e das suas contas. É muito fácil fazê-lo através dos canais digitais legítimos do seu banco. Faça-o à mínima suspeita de poder estar a ser vítima de uma fraude. Para tal, entre na App do seu banco (instalada no seu telemóvel através da App store oficial) e verifique que os seus acessos e contas estão de acordo com o esperado. Se for informado que os acessos não são os mesmos, faça de imediato a recuperação de acessos e contacte o seu banco. Neste caso, é muito provável que tenha mesmo sido vítima de fraude e actuar rápido pode ser a chave para limitar o prejuízo.
7 – Que indícios devem levantar a suspeita de que algo pode ser um cibercrime?
É preciso estar atento a:
• Origem da mensagem – O remetente do e-mail é desconhecido e/ou “soa” estranho? Enviam-lhe uma mensagem escrita através de aplicações (como WhatsApp ou Facebook) e nem percebe bem quem a enviou? O número de onde ligam é desconhecido?
• Tipo de mensagem – A mensagem é alarmista e urgente, daquelas que requerem acção imediata? Quase assusta e nem deixa quase tempo para pensar? Propõem-lhe uma oferta demasiado boa para ser verdade? Acabou de ganhar alguma coisa sem nunca ter concorrido a nada? O texto contém erros de ortografia ou de concordância?
• Pedidos – É convidado a clicar num determinado link ou botão suspeito? Solicitam que faça o download/instalação de um ficheiro que não pediu? Pedem-lhe directamente ou encaminham para uma página com o objectivo de introduzir dados de acesso, como palavras-passe, PIN ou CVV do cartão, ou ainda códigos de segurança/autorização/autenticação que recebeu no seu telemóvel?
Tudo isto são indícios suspeitos. Mesmo que, do lado de lá, aleguem ser do banco, desconfie e NUNCA responda nem clique em qualquer link ou botão. Não forneça dados confidenciais, sob que pretexto for. Em caso de mensagem escrita, esta não deve ser reencaminhada para ninguém, a não ser para o próprio banco, com o devido alerta de possível fraude. Na dúvida, desconfie. O seu banco não lhe vai levar a mal!
Aos seus clientes, o WiZink sugere que se envie o e-mail suspeito ou imagem do SMS para alertaseguranca@wizink.pt, para que possam ser dados os passos de investigação ou segurança necessários.
8 – Como é que os clientes normalmente se apercebem que foram vítimas de um cibercrime?
É possível que as vítimas se dêem conta logo após o golpe, quando recapitulam o que acabou de acontecer e percebem que algo “não bate certo”. Outras vezes, só se dão conta quando verificam o extracto das suas contas e detectam movimentos que não reconhecem, ou quando percebem que o funcionamento do computador ou o acesso a alguns ficheiros está comprometido. Podem também aperceber-se apenas quando vêem os alertas de burla online divulgados pela entidade bancária e encontram semelhanças no esquema praticado.
Nunca é demais reforçar: se desconfia que possa ter sido vítima de fraude, aceda à App do seu banco (instalada no seu telemóvel através da App store oficial) e verifique se os seus acessos e contas estão de acordo com o esperado. Se for informado que os acessos não são os mesmos, faça de imediato a recuperação de acessos e contacte o seu banco – é provável que tenha mesmo sido vítima de fraude.
9 – Que medidas devem ser tomadas de imediato pelo utilizador se desconfiar que foi alvo de um cibercrime ou de uma tentativa de burla online?
Vamos repetir-nos, mas nunca é demais dizê-lo: se desconfia que possa ter sido vítima de fraude aceda ao homebanking ou à App do seu banco e verifique se os seus acessos e contas estão de acordo com o esperado. Se detectar algo de anormal, contacte de imediato o seu banco.
O WiZink aconselha os seus clientes a proceder da seguinte forma, nestas três situações:
1. Em caso de e-mail, mensagem ou contacto suspeitos, mas em que não houve partilha de qualquer informação confidencial, o conselho passa por reencaminhar para o endereço alertaseguranca@wizink.pt o email ou imagem da mensagem recebida (indicando o remetente) ou, se o contacto foi feito por telefone, indicar o número. Assim, o WiZink pode agir e tentar que outros não sejam alvo das mesmas mensagens.
2. Se desconfiar que pode ter comprometido os seus dados confidenciais, a recomendação é alterar de imediato os dados de acesso aos canais digitais WiZink. De seguida, há que entrar na App WiZink e confirmar novamente o dispositivo seguro, e vigiar os movimentos da conta-cartão. Em caso de alguma dúvida, é aconselhável contactar o WiZink.
3. No caso de ter movimentos não reconhecidos na sua conta-cartão e acreditar que tenha havido fraude – a orientação é para ligar de imediato através de qualquer dos Contactos WiZink. Se não conseguir ser atendido de imediato, aceder aos canais digitais WiZink em wizink.pt, Login ou através da App, ir ao menu “Segurança”, opção que refere “Roubo” e seguir os passos indicados. Mas insista sempre no contacto telefónico ou por Mensagem através do WiZink Online, para que o Centro de Fraude possa analisar a sua situação.
Além de entrar em contacto com o banco, para que este possa analisar a situação e agir em conformidade, é ainda recomendável participar a situação fraudulenta à Polícia de Segurança Pública (PSP), Guarda Nacional Republicana (GNR) ou Polícia Judiciária (PJ) ou ainda ao Ministério Público.
10 – O que é que o WiZink nunca faz e que é importante que os clientes saibam?
O Wizink:
- Nunca pede dados confidenciais - como dados ou códigos de acesso (como palavras-passe), PIN ou CVV do cartão, códigos de segurança, autenticação ou autorização - por e-mail, SMS, WhatsApp, qualquer outro tipo de mensagem escrita ou chamada telefónica;
- Nunca envia e-mails de remetentes do tipo Gmail, Hotmail ou Yahoo;
- Nunca pede a instalação ou actualização de software após um acesso aos seus canais digitais.
11 – Como actua o WiZink para garantir a segurança online dos seus clientes?
O WiZink actua em duas frentes para garantir que os seus clientes estão seguros:
1. Processos e procedimentos internos - Só nos últimos dois anos, o WiZink investiu mais de 6,3 milhões de euros para combater a ciberfraude, reforçando ainda mais a segurança online dos seus clientes, trabalhando não só para garantir simplicidade e rapidez, mas também total confiança nas transacções realizadas.
2. Sensibilização dos clientes e do mercado para melhor prevenir - Todos podemos ser vítimas de tentativa de acesso ilegítimo aos nossos dados confidenciais para roubarem o nosso dinheiro. Mas quanto mais soubermos sobre as práticas do cibercrime, quais os sinais de alerta e como devemos actuar, mais aptos estaremos para nos protegermos. É essa uma das missões do WiZink: informar, alertar e ajudar cada um a proteger-se da actuação dos cibercriminosos.
Há uma forte e contínua aposta na informação regular aos clientes, através de mensagens dirigidas - por exemplo, através de e-mail, nos canais digitais e no extracto - ou meios mais abrangentes, de acesso público, como o site e redes sociais do WiZink. É um trabalho contínuo. Por um lado, é necessário repetir a mensagem até que as pessoas interiorizem os hábitos de segurança e possam assumi-los no dia-a-dia de forma quase automática. Por outro, os tipos de cibercrime alteram-se, tornam-se mais sofisticados, e é necessário ajustar a informação a essa evolução.
12 – A utilização de serviços bancários online deve ser evitada?
Não. Seguindo as regras de segurança para evitar o cibercrime (ver pergunta 6) não há razão para não usar os serviços bancários e os canais digitais de entidades credíveis como o WiZink ou outro banco ou entidade idónea. O online traz vantagens únicas, como a rapidez e a comodidade, de que não faz sentido abdicar. Além disso, falar de online, actualmente, é falar de algo inevitável.
Felizmente, há também cada vez mais sensibilização em relação ao tema da cibersegurança e as diversas instituições, como os governos, bancos e empresas, não só têm vindo a tomar medidas de maior protecção contra as ameaças online, como têm vindo a investir, cada vez mais, na informação aos consumidores. Porque uma coisa é certa, cada um, como indivíduo e consumidor, é o primeiro responsável pelos seus dados e a primeira barreira contra o cibercrime.
Agora que aprofundou os seus conhecimentos sobre cibercrime, faça este quiz e confirme se está preparado para reconhecer uma fraude online.