“Em 25 minutos tínhamos perdido tudo”, explicou há poucos dias Miguel Ángel, cliente do ING em Madrid, sobre o golpe de que foi vítima. Um número desconhecido ligou para ele, alegando ser seu banco, ele verificou que o número que viu na tela correspondia na verdade a um de seus escritórios, e a partir daí ouviu uma história sobre acesso não autorizado à sua conta que acabou com suas economias, 11.300 euros no bolso de outra pessoa. Poucos dias antes, María, nossa colega na Webedia Espanha como editora do Tendências, sofreu um golpe muito semelhante: um SMS falso entrou na lista de mensagens recebidas de seu banco, o BBVA. Alertou sobre o bloqueio de sua conta por acesso suspeito, convidando-o a acessar um link para restaurar o acesso. Logo ele recebeu uma ligação de uma suposta operadora de seu banco que o “orientaria” durante o processo. Acabou também por perder o dinheiro: 1.708 euros. Os dois casos partilham muitas linhas, mas acima de tudo redirecionam o foco dos clientes para os bancos: será altura de eles elevarem a fasquia dos seus protocolos de segurança? Golpes sofisticados demais para manter protocolos
Longe do clichê, tanto Michelangelo quanto María são pessoas qualificadas, entre 30 e 40 anos. Nada a ver com o clichê de que esses golpes são para idosos desorientados. Simplesmente aceitaram as identificações via SMS ou número do emissor. Algumas das coisas que Miguel Ángel destacou foram especialmente interessantes: os golpistas conseguiram clonar o número de telefone da agência para tornar a sua chamada credível, conseguiram modular o tom para apelar à urgência sem sair do papel e até replicaram a música de espera. María diz algo semelhante: ver o SMS embutido no mesmo tópico das mensagens que costuma receber do banco, com confirmações de compra ou códigos de verificação, fez com que ela agisse rapidamente. Nessas capturas de tela fornecidas por María podemos ver como o SMS falso parecia mais uma parte da conversa normal. Montagem do SMS recebido por María, desde o último que chegou antes de ser fraudado até o último, com seu novo código de assinatura após o bloqueio de sua conta. Imagem: Fornecida, Xataka.
Em ambos os casos, Miguel Ángel e María, o banco descarregou a sua responsabilidade sobre eles e não assumiu a responsabilidade pela fraude. A pergunta é: Por que continuam a usar um método de verificação de identidade que é tão facilmente falsificável, se já causa estragos há muito tempo? Ele falsificação, roubo de identidade para cometer crimes, não é algo recente. O Banco de Espanha alertou para esta prática há dois anos. Uma de suas recomendações para detectá-lo é “mesmo que você as receba no mesmo local que o resto das mensagens da entidade, observe o formato ou conteúdo, ou se houver erros ortográficos”. Não é muito sério transferir essa responsabilidade para alguém que é vítima de um golpe, supondo que todos possam detectar grafias incorretas, que também são tão sutis quanto a ausência de um acento. Eles também recomendam “aplicativos que permitem conhecer a verdadeira identidade de quem liga”. Aconselhá-los de forma genérica, sem especificar nada, é incentivar a instalação de potenciais fraudes de privacidade. Um bom conselho que eles dão é desligar se alguma coisa não servir e nos ligar, mas isso tem que repercutir na sociedade, e isso leva tempo. No caso de María, o que ela recebeu foi um SMS. E Ela ligou imediatamente, como ela nos contou, mas não conseguiu que nenhum humano atendesse.apenas bots, uma perda de tempo que os invasores aproveitaram, pois o senso de urgência estava crescendo. Se num contexto de emergência devido a um possível roubo de poupanças demoramos muito a contactar um bancário para nos ajudar, talvez a recomendação de desligarmos e ligarmos nós próprios para o banco não seja a mais adequada. Principalmente se desligar e ligar novamente pode nos fazer perder muito tempo, como aconteceu com María. Às vezes é a própria infraestrutura de segurança bancária que não facilita as coisas para nós. A captura de tela a seguir foi compartilhada conosco por Clara, engenheira de telecomunicações cliente do Banco Santander. É o SMS que você recebeu para validar uma compra na Amazon. Captura de tela fornecida por Clara do SMS autêntico que recebeu do Banco Santander. Seu problema? Com esse remetente e esse link, é difícil diferenciar um verdadeiro de uma fraude. Imagem: Fornecida, Xataka.
“https://scaweb.bsan.mobi/” não parece ser a melhor carta de apresentação para validar a identidade de algo que está se tornando crítico. Nem “CODCONF” como remetente, que entendemos ser a sigla para “código de confirmação”, mas soa mais como linguagem de programação do que algo que visa facilitar a vida do usuário. Bastaria alterar uma letra desse endereço depois de conseguir clonar o remetente, o que já vimos custa pouco, para causar um sério problema à vítima. Se tivermos também o sentido de urgência provocado por um possível roubo de poupanças, temos ainda mais ingredientes para a catástrofe. Depois há outros factores, como a alardeada mensagem de alguns bancos garantindo que nunca telefonam… sem que seja o caso. “Meu banco me liga constantemente para me oferecer cartões de crédito ou empréstimos, o novo gerente até me ligou uma vez para se apresentar e dizer que estava lá para tudo que eu precisasse”, explica María. A bola de neve que é a pegada digital ocasionalmente deixa poros na forma de vazamentos de informações. Por exemplo, quando 533 milhões de contas do Facebook foram filtradas em 2021. Foi publicado o nome, e-mail, cidade, telefone, data de nascimento ou local de trabalho dos usuários afetados, e quem escreve estas linhas verificou com seus próprios olhos como uma família os dados do membro apareceram no banco de dados roubado. Este é apenas um exemplo da quantidade de bancos de dados que podem circular em caso de confusão ou roubo de informações e conter informações úteis para um invasor. SMS de phishing já parecem ultrapassados, um ataque de falsificação É mais eficaz e também permite direcioná-lo para a vítima. Quanto mais informações o invasor tiver sobre nós em particular, mais fácil será dar-lhe credibilidade e acabar registrando uma reclamação. Se é cada vez mais provável que haja informação acumulada a circular na rede, há cada vez mais ataques às nossas poupanças e é perfeitamente possível clonar números para ligar ou enviar SMS, Por que os protocolos de segurança para serviços bancários on-line não mudam e aumentam? Embora existam casos em que o erro é do utilizador, os bancos também têm uma quota-parte de responsabilidade, maior à medida que passa o tempo desde que tomamos conhecimento deste tipo de fraude. Até mesmo as telecomunicações, por onde passam SMS e chamadas de invasores, podem conseguir encontrar uma maneira de evitar a chegada de mensagens ou chamadas com números clonados, especialmente de atores tão críticos como os bancos. Mantendo distância, eles já foram multados por não implementarem medidas de proteção suficientes para evitar o SIM trocando. Algumas entidades bancárias também foram forçadas a compensar vítimas de fraudes cibernéticas, considerando que tais fraudes sofisticadas não são fáceis de detectar e que também existe responsabilidade bancária. Em Xataka | Cuidado com o falso esquema de aluguel: como funciona e por que você nunca deve fornecer sua identidade com alegria. Imagem em destaque | Emprestado, Xataka, Unsplash.