O Ministério Público (MP) alertou para uma campanha criminosa dirigida a clientes de instituições bancárias portuguesas, através de mensagens falsas e chamadas telefónicas. O esquema, descrito como “muito complexo”, procura obter dados de acesso às contas e levar as vítimas a autorizar transferências de elevado valor sem perceberem.
Segundo o Gabinete de Cibercrime do MP, a campanha combina phishing e engenharia social. Os criminosos enviam mensagens por SMS ou email, de forma indiscriminada, fazendo-se passar por instituições bancárias.
Mensagens falsas em nome dos bancos
Nas mensagens fraudulentas, os destinatários são avisados de uma alegada transferência ou pagamento feito a partir da sua conta. A intenção é criar alarme e levar a vítima a acreditar que houve um acesso ilegítimo à conta bancária.
Depois, é apresentada uma suposta solução: clicar num link para resolver rapidamente o problema. No entanto, esse link encaminha a vítima para uma página falsa, criada para imitar o site oficial do banco.
Nessa página, são pedidos vários dados pessoais e bancários, incluindo elementos de identificação e credenciais de acesso à conta. Também é solicitado o número de telefone, que passa a ser uma peça essencial na segunda fase da burla.
Criminosos ligam às vítimas
Depois de recolherem os dados, os criminosos conseguem aceder à conta bancária da vítima, consultar movimentos e verificar o saldo disponível. Porém, em muitos casos, ainda precisam de ultrapassar o segundo fator de autenticação para realizar transferências.
É nessa altura que entram as chamadas telefónicas. Os burlões contactam a vítima e apresentam-se como funcionários da área de cibersegurança do banco, usando informações reais da conta para dar credibilidade à conversa.
Durante a chamada, dizem ter identificado um movimento suspeito de valor elevado. Quando a vítima nega ter feito essa operação, o falso funcionário oferece-se para anular ou reverter o movimento.
Segundo fator usado contra a vítima
Para concretizar a fraude, os criminosos pedem que a vítima confirme a suposta anulação através do segundo fator de autenticação. Este pode ser um código recebido por SMS ou uma validação numa aplicação do banco.
Na realidade, essa confirmação não serve para anular qualquer operação. Serve para autorizar a transferência que os criminosos estão a tentar realizar a partir da conta bancária da vítima.
Assim que obtêm o código ou a validação necessária, os burlões conseguem aprovar a transferência e apropriar-se do dinheiro. De acordo com o MP, o objetivo destas campanhas é a realização de transferências monetárias muito avultadas.
Mensagens devem ser apagadas
O Gabinete de Cibercrime do MP recomenda que este tipo de mensagens seja ignorado e apagado, sem qualquer resposta. A mesma cautela deve ser aplicada a chamadas telefónicas em que alguém se apresente como funcionário do banco e peça códigos, validações ou dados pessoais.
O MP sublinha que as mensagens não são enviadas pelas instituições bancárias, nem partem de servidores pertencentes aos bancos ou geridos por essas entidades.
Quem já tiver facultado dados pessoais ou bancários deve contactar imediatamente o banco através dos canais oficiais habituais. Esta deve ser a primeira medida para tentar bloquear acessos, impedir movimentos indevidos e proteger a conta.
A recomendação principal é simples: nunca clicar em links recebidos por SMS ou email para resolver alegados problemas bancários e nunca fornecer códigos de autenticação por telefone. Em caso de dúvida, deve contactar diretamente o banco, usando os contactos oficiais.
Leia também: O seu cartão está a ser clonado? Faça isto antes de usar o Multibanco para impedir que aconteça
