Fraude do falso consultor bancário: análise deste ataque por vishing
Num mundo cada vez mais conectado, os cibercriminosos não param de inovar para enganar os seus alvos, sejam eles particulares, empresas, administrações públicas ou associações.
Embora o phishing continue a ser o principal vetor dos ciberataques, os esquemas fraudulentos por telefone, como o vishing, estão a crescer a um ritmo alarmante.
Entre estas, a fraude do falso consultor bancário tem registado um crescimento preocupante em França, afetando milhares de vítimas todos os anos.
De acordo com o último barómetro do Cybermalveillance.gouv.fr, os casos de fraude envolvendo falsos consultores bancários aumentaram, de facto, 78 %, o que ilustra a dimensão do fenómeno.
A crescente exposição dos dados pessoais, nomeadamente devido às recentes fugas de informação, contribui para o aumento deste tipo de fraude.
Neste artigo, propomos-lhe analisar esta ameaça em pormenor, compreender os seus mecanismos, avaliar as suas consequências e, acima de tudo, descobrir as melhores práticas para se proteger eficazmente.
O que é a fraude do falso consultor bancário?
Definição
A fraude do falso consultor bancário é uma técnica de burla em que os cibercriminosos se fazem passar por funcionários de um banco para obter informações confidenciais ou desviar fundos.
Este esquema de fraude enquadra-se numa categoria mais ampla denominada «vishing», um termo resultante da contração de «voice» e «phishing». O vishing pode ser traduzido para português como «phishing por voz».
O vishing baseia-se na utilização de chamadas telefónicas fraudulentas para manipular psicologicamente as vítimas e levá-las a revelar dados confidenciais.
Este método recorre aos princípios da engenharia social, um conjunto de técnicas que visam influenciar comportamentos, apelando a fatores emocionais como o medo, a urgência, a confiança ou ainda a empatia.
Os métodos utilizados na fraude do falso consultor bancário
Como vimos, a fraude do falso consultor bancário baseia-se em ataques de vishing, que podem assumir várias formas, com diferentes níveis de complexidade:
1. Chamadas telefónicas diretas: O burlão contacta diretamente a vítima por telefone. Esta chamada pode ser feita através da rede telefónica tradicional ou por VoIP, utilizando aplicações como o WhatsApp (Voice over IP é uma tecnologia que permite efetuar chamadas de voz através da Internet).
Em ambos os casos, o autor da chamada apresenta-se como consultor bancário e alega querer resolver um problema relacionado com a conta da vítima.
2. Ataque híbrido que utiliza e-mails e/ou SMS de phishing: Nesta situação, a vítima recebe, em primeiro lugar, um SMS ou um e-mail a informá-la de um problema na sua conta bancária ou de um pagamento fraudulento iminente.
A mensagem pede então que se contacte urgentemente um número de telefone para ser encaminhado para um suposto consultor bancário. Estas mensagens imitam, evidentemente, as comunicações oficiais dos bancos.
3. Entrega de um cartão bancário a um estafeta: Entre as técnicas de burla mais sofisticadas, alguns burlões conseguem subtrair fisicamente o cartão bancário da vítima.
Depois de criarem um clima de confiança, alegam uma anomalia de segurança na conta e insistem para que a vítima revele o seu código secreto, sob o pretexto de uma verificação.
Em seguida, pedem à vítima que entregue o cartão a um mensageiro, alegando que o banco precisa de recuperar o cartão para o proteger ou destruí-lo. Assim que ficam na posse do cartão e do código, os burlões utilizam-no imediatamente para levantar dinheiro ou efetuar compras.
4. Utilização de software infostealer: Estes programas maliciosos são concebidos para roubar informações confidenciais armazenadas num dispositivo infetado. Uma vez instalados (por exemplo, através de um link de phishing que redireciona para uma loja de aplicações falsa), estes programas espionam a atividade do utilizador e recolhem dados (identificativos, palavras-passe, etc.).
Algumas aplicações podem ir muito longe no que diz respeito ao controlo do telemóvel da vítima, tal como revelam investigadores coreanos num estudo:
-
- Eliminação de quaisquer aplicações anti-phishing que possam estar instaladas no dispositivo.
- Envio de fotos, vídeos, gravações de voz, etc.
- Reencaminhamento de chamadas (para cancelar todas as chamadas para números de telefone legítimos e forçar as chamadas para um número fraudulento).
- Exibição de uma sobreposição (falsa tela) para ocultar chamadas não autorizadas.
- Bloqueio de chamadas externas legítimas.
- Manipulação do registo de chamadas (para que o número legítimo seja apresentado em vez do número fraudulento).
Como funciona o esquema de fraude do falso consultor bancário?
Passo 1: O acesso inicial
A primeira etapa de um esquema de fraude envolvendo um falso consultor bancário consiste, portanto, em entrar em contacto com a vítima. O objetivo do cibercriminoso é manipular as emoções da vítima.
Por isso, vai apostar no medo, na urgência, na confiança e no respeito pela autoridade. Utiliza um tom tranquilizador e profissional para informar a vítima de uma suposta atividade suspeita na sua conta.
Passo 2: A manipulação
Assim que a conversa estiver estabelecida e a relação de confiança criada, o golpista pode continuar a manipular a sua vítima. Para reforçar a sua credibilidade, o golpista pode fornecer detalhes sobre a vítima, obtidos através de bases de dados pirateadas ou das redes sociais.
Pode, em seguida, solicitar informações confidenciais (como um código de validação recebido por SMS) ou incitar a vítima a realizar diretamente determinadas operações.
Passo 3: A transferência fraudulenta
O objetivo de um esquema de fraude envolvendo um falso consultor bancário é desviar dinheiro. Assim que obtém as informações necessárias, o fraudador pode concretizar o seu objetivo pedindo à vítima:
- Os números do seu cartão de crédito para efetuar compras na Internet.
- Os seus dados de acesso à sua área pessoal do banco, para que possa transferir fundos por conta própria.
- Efetuar transferências fraudulentas sob um pretexto (por exemplo, proteger o dinheiro contra piratagem informática, transferindo-o para uma nova conta corrente).
Sinais de uma fraude perpetrada por um falso consultor bancário
Comportamentos suspeitos a ter em atenção
Apesar da profissionalização dos hackers, alguns sinais podem revelar uma tentativa de fraude por parte de um falso consultor bancário:
- Canais de comunicação invulgares: Algumas chamadas de vishing são feitas através da rede telefónica tradicional, enquanto outras utilizam software de VoIP, um meio de comunicação que um banco não utilizaria.
- E-mail ou SMS a pedir para ligar para um número: É raro, para não dizer impossível, que um banco alerte o seu cliente por SMS ou e-mail sobre um problema na sua conta.
- Chamadas a horas invulgares: Os burlões contactam frequentemente as suas vítimas de manhã cedo, à noite ou durante os feriados. Mais uma vez, isto é um sinal de alerta de um esquema fraudulento.
- Tom urgente ou ameaçador: O burlão incita a vítima a agir rapidamente, sob o pretexto de resolver um problema ou de contestar um pagamento. A urgência é a chave destes ataques. O objetivo é levá-lo a agir impulsivamente, em vez de refletir com calma. Esteja atento a estes sinais.
- Pedidos de informações confidenciais: O suposto consultor bancário pede dados de identificação, palavras-passe ou códigos de validação recebidos por SMS ou e-mail. Um verdadeiro consultor bancário nunca faria isso.
Verificações a realizar
Em caso de dúvida sobre a existência de uma tentativa de fraude por parte de um falso consultor bancário, deve seguir estas regras:
- Verifique o número do chamador: mesmo que o número exibido pareça legítimo (um número já guardado na sua lista de contactos ou que mostre o nome de uma empresa conhecida), pode tratar-se de uma falsificação de número (spoofing telefónico). O melhor é terminar a chamada e ligar de volta para o número legítimo. O ideal é fazer a chamada de volta a partir de outro aparelho, caso o telefone esteja infetado por software espião.
- Faça perguntas ao interlocutor: Um burlão pode saber muitas coisas sobre si (nome, apelido, número de telefone, morada, números de cartão de crédito, números de conta, etc.). No entanto, não hesite em questioná-lo e em pressioná-lo. Ele acabará certamente por se desmascarar.
- Fale o mínimo possível e não faça nada: um banco nunca lhe pedirá dados de identificação ou outras informações confidenciais por telefone. Da mesma forma, nunca o incitará a efetuar transações entre as suas contas ou para uma conta externa. Se alguém lhe ligar a pedir que o faça, está perante uma fraude perpetrada por um falso consultor bancário.
O que fazer em caso de fraude por parte de um falso consultor bancário?
Os passos essenciais
Se foi vítima de uma fraude perpetrada por um falso consultor bancário, é fundamental agir sem demora para proteger as suas finanças e evitar que outras pessoas sejam alvo dessa fraude. Aqui estão as primeiras medidas a tomar:
- Contacte imediatamente o seu banco para comunicar a fraude e proteger as suas contas bancárias, bem como os seus meios de pagamento.
- Apresente queixa à polícia, à gendarmerie ou ao Ministério Público.
- Em caso de fraude com cartão de crédito, comunique-a através da plataforma Perceval do Ministério do Interior, concebida para combater este tipo de fraude.
- Visite o site 17Cyber para obter apoio nos seus trâmites e aconselhamento em matéria de cibersegurança.
Reforce a sua segurança e avise as pessoas à sua volta
Para além dos trâmites oficiais, informar os familiares e amigos é um passo fundamental. Os burlões costumam visar os idosos, mas os jovens adultos também são vulneráveis, por mais paradoxal que isso possa parecer, como indica um estudo recente. Informar os entes queridos ajuda a evitar que se tornem as próximas vítimas.
Num contexto profissional, alerte imediatamente o seu departamento de segurança de sistemas de informação e os seus colegas para impedir que o ataque se propague.
Por fim, para evitar qualquer tentativa de intrusão futura:
- Altere todas as suas palavras-passe para proteger os seus acessos digitais.
- Reinicie o seu telemóvel para eliminar qualquer potencial software espião.
Como se proteger contra a fraude do falso consultor bancário?
Manter a discrição nas redes sociais
Um cibercriminoso não consegue implementar uma estratégia de engenharia social sem possuir informações sobre si. Por isso, é importante limitar a sua pegada digital, ou seja, a sua superfície de ataque.
Não publique nada de caráter pessoal nas redes sociais, incluindo as redes sociais profissionais, que são frequentemente uma mina de ouro para pessoas mal-intencionadas.
Já em 2012, o investigador Michal Kosinski e os seus colegas das universidades de Cambridge e Stanford demonstraram que um algoritmo de aprendizagem automática consegue determinar com precisão os traços de personalidade de um indivíduo através da análise das suas reações no Facebook.
Então, o que dizer de um currículo com todos os seus dados de contacto e informações pessoais disponíveis publicamente no LinkedIn?
Se pretender publicar nas redes sociais, é melhor limitar o público às pessoas de confiança.
Além disso, mantenha nos seus contactos apenas pessoas que conheça realmente e tenha cuidado quando um desconhecido tentar juntar-se à sua rede.
Proteger-se o máximo possível contra fugas de dados
Os utilizadores não são responsáveis pela segurança das empresas a quem confiam as suas informações. No entanto, é dever de cada um estar atento.
Isso implica registar-se apenas em sites fiáveis que tratem os dados em conformidade com a lei e, em particular, com o RGPD.
Isso implica também não fornecer mais informações do que o necessário e, por exemplo, não preencher os campos não obrigatórios.
Para se inscrever numa newsletter, não lhe devem ser solicitados, por exemplo, a data de nascimento ou a morada.
Conclusão
A fraude perpetrada por falsos consultores bancários constitui uma ameaça crescente, agravada pela proliferação de fugas de dados na dark web, onde circulam informações confidenciais, tais como IBANs e outros dados pessoais dos utilizadores.
Embora existam soluções técnicas para filtrar chamadas e SMS fraudulentas, estas não são infalíveis. Os cibercriminosos conseguem, por vezes, contorná-las utilizando técnicas avançadas, como a instalação de software espião nos dispositivos visados.
Perante esta ameaça, a melhor defesa continua a ser o ser humano. Desenvolver um espírito crítico face a comunicações suspeitas e aprender a identificar os sinais de alerta são competências essenciais para limitar os riscos.
A sensibilização é, portanto, um fator-chave, tanto no âmbito familiar — onde é fundamental conversar com os entes queridos sobre estas práticas fraudulentas — como no ambiente profissional, onde é indispensável avaliar a resistência das equipas face às tentativas de vishing.
Nesse sentido, as simulações de vishing, como as propostas pela Hucency, permitem testar, em condições reais, a capacidade dos colaboradores de identificar um ataque.
Estas simulações são seguidas de um relatório detalhado, que apresenta recomendações personalizadas para reforçar os procedimentos internos e otimizar a estratégia de defesa contra estas fraudes sofisticadas.
Contacte-nos para saber se a sua organização está preparada para enfrentar um ataque de vishing.
