Os bancos existem com o propósito de deixar o nosso dinheiro e mantê-lo seguro. Mas nem sempre. Os cibercriminosos têm muitas maneiras de acessar nossos dados bancários. Dados especialmente confidenciais que são muito interessantes para os invasores e uma séria preocupação para as pessoas afetadas.
A Lei dos Serviços de Pagamento exige que os bancos implementem as medidas de segurança necessárias para “verificar a identidade do pagador”. Ou seja, certifique-se de que quem está realizando a movimentação é o dono da conta e não outra pessoa sem autorização. Por outro lado, o utilizador tem a responsabilidade de não agir de forma negligente. Algo que nem sempre é cumprido. E os ciberataques tiram vantagem disso.
Phishing: o engano mais comum
O tipo de ataque em que mensagens fraudulentas são enviadas a muitos usuários na esperança de que alguém pique e seja enganado é conhecido como ‘phishing’. Um exemplo é o clássico SMS se passando pelo banco. Basicamente, muitos usuários que o receberem irão simplesmente ignorá-lo, mas haverá quem acredite que é oficial e decida acessar o site que ele lhes indica.
O objetivo destes SMS é que acedamos a um site semelhante ao do nosso banco e lhes forneçamos informações confidenciais, como palavras-passe ou dados de cartão de crédito, pensando que é o banco que nos está a solicitar. Um engano que pode ser mais ou menos credível, porque por vezes estes SMS têm alguma informação específica nossa que facilita o engano.
Aqui devemos lembrar que o banco nunca nos solicitará informações diretamente por SMS ou por correio. Se o banco precisar de algo nosso, ou ele nos envia uma carta autenticada ou pode nos avisar digitalmente, mas a indicação será para que entremos em contato ou consultemos. Mas nunca através de um link.
Além do nosso banco, os ataques de phishing também tentam se passar por outros instituições públicas como o Tesouro, os Correios ou a Polícia, além de empresas com as quais possamos ter contratado serviço de pagamento, como Iberia, Microsoft ou Amazon.
O conselho do INCIBE para evitar o phishing é prestar muita atenção às comunicações que eles nos fazem. Certifique-se de que o endereço de e-mail original está correto, que o assunto não é suspeito, que o código QR não nos leva a uma plataforma falsa, que a grafia está perfeita, que não é uma mensagem genérica e acima de tudo, desconfie quando é pedir informações confidenciais.
Caso já seja tarde e tenhamos sido vítimas, o melhor é entrar em contato diretamente com o banco, explicar o ocorrido e fazer com que alterem as medidas de segurança necessárias.
Malware: observe o que você instala
Outra forma de os invasores cibernéticos entrarem em nosso banco é infectando o celular com algum tipo de malware. Aqui você deve ter cuidado para não instalar aplicativos de origem desconhecida ou baixar arquivos de origem duvidosa.
A verdade é que os sistemas operativos móveis modernos já aplicam a sua própria camada anti-malware, por isso não é tão fácil instalar estes programas. Se essas proteções forem ultrapassadas, nosso celular poderá ser comprometido e, por exemplo, o que é exibido na tela do dispositivo poderá ser visto pelos cibercriminosos.
O acesso alcançado é quase total. Os cibercriminosos podem ter acesso a contatos, mensagens, fotos, localização, gravar áudio, tirar fotos ou vídeos, acessar arquivos… até mesmo instalar outros aplicativos sem que saibamos. Por exemplo, um keylogger que gravar teclas digitadas. Ou seja, a introdução de senhas que colocamos nos sites do banco. Embora sejam seguros a priori, os cibercriminosos podem ver quando os escrevemos se conseguiram comprometer a segurança do nosso telemóvel.
Outro sofisticado: el ‘formjacking’
Este é um caso em que o usuário não tem como verificar se está sendo atacado. Formjacking é um tipo de ataque conhecido como ‘Man-in-the-middle’. A técnica consiste em comprometer o sistema de pagamento de um site, introduzindo códigos maliciosos que passam despercebidos e coletando todos os dados nele inseridos.
Ou seja, o usuário paga em um site e tudo funciona como deveria. Porém, essa operação foi comprometida e além da empresa, os cibercriminosos também estão se apoderando de dados bancários, como o cartão de crédito informado. CVV incluídocomo já vimos no caso da Air Europa.
Aqui o usuário não é negligente. Na verdade, foi a empresa que foi hackeada. Mas em vez de atingir a empresa, o objetivo deste hack é atacar os seus utilizadores. Com este método, milhares de cartões de crédito foram vazados, o que resultou em multas de centenas de milhares de euros.
Apenas com o número do seu cartão eles podem fazer muito
Para acessar nossa conta bancária você não precisa de todos os dados do cartão. Às vezes, números e alguma engenharia social são suficientes. Estamos falando do golpe conhecido como ‘Carding’. Nele, os cibercriminosos primeiro obtêm as informações do nosso cartão e depois as utilizam de forma fraudulenta para que acabamos pagando suas compras.
O número é obtido a partir de vazamentos por meio de falhas de segurança. Aqui explicamos como saber se nossas senhas ou dados pessoais vazaram online.
Felizmente, é cada vez mais comum que os cartões de crédito implementem medidas de segurança adicionais para pagamentos online. Exigir que insiramos um número ou senha quando uma compra for feita.
Os perigos da troca de SIM
Um dos mecanismos de segurança dos bancos é vincular tudo ao nosso celular. Envie-nos um SMS para verificar se somos nós. No entanto, outra das técnicas dos cibercriminosos é a ‘troca de SIM’. Basicamente consiste em enganar o funcionário da loja da operadora e faça uma cópia do nosso SIMfornecendo uma identidade falsa.
Depois de obter a cópia do SIM, você agora tem acesso ao banco digital e pode redefinir a senha solicitando-a por SMS. Uma mensagem que chega precisamente ao número de telefone que demos ao banco, mas que com este método também está na sua posse.
Aqui a responsabilidade recai sobre os operadores. Em 2022, a AEPD multou a Movistar (900.000 euros), a Orange (700.000 euros), a MásMóvil (200.000 euros) e a Vodafone (3.940.000 euros) por não aplicarem medidas suficientes para proteger os seus clientes da troca de SIM.
Os bancos também têm responsabilidade
Embora o erro em alguns casos seja do usuário, a verdade é que os bancos também têm grande parte da responsabilidade. A posição deles é que casos como o de phishing são “negligência grave” da nossa parte e eles se recusam a aceitar as consequências. Contudo, a jurisprudência actual defende que deve ser o banco o responsável e devolver o valor roubado aos clientes em casos de phishing.
Segundo o Tribunal Provincial, não existe tal negligência grave porque existe um engano premeditado por parte de um terceiro para ganhar a sua confiança. E houve uma falha por parte do banco em evitar fraudes de phishing.
Imagem | VOAR:D
Em Xataka | Como saber se seu celular foi hackeado e o que procurar
Reescreva o texto para BR e mantenha a HTML tags