Spoofing: O que é e como se proteger de chamadas falsas de bancos e finanças?
A ANACOM adverte sobre um esquema de falsificação de identidade digital que se torna cada vez mais complexo. Saiba como funciona um ataque de spoofing, como identificá-lo e o que fazer se for alvo de uma tentativa.
Você recebe uma ligação do número oficial do seu banco. Ao atender a chamada, escuta uma voz que parece bastante confiável. O número é reconhecido em sua lista de contatos e o assunto parece urgente, mencionando transações suspeitas na sua conta e a necessidade de confirmar seus dados imediatamente. Qual é a armadilha nesta ligação?
Fique por dentro das notícias mais relevantes sobre tecnologia e
O problema é que você não está realmente falando com o banco; você se tornou mais uma vítima de spoofing. Esta técnica de falsificação de identidade digital é um tipo de ataque que vem ganhando destaque em Portugal, conforme alerta a ANACOM, a Autoridade Nacional de Comunicações. O termo spoofing, em inglês, refere-se a “enganar” ou “imitar”.
O vídeo demonstra como o spoofing opera
No contexto da cibersegurança, spoofing é a prática de falsificar a origem de uma comunicação, de modo a parecer que vem de uma fonte confiável. Essa comunicação pode originar-se de um número de telefone, um endereço de email, um site ou até mesmo um endereço IP, sempre com o mesmo intuito: persuadir a vítima a fornecer dados pessoais, credenciais bancárias, senhas ou a realizar uma transferência bancária imediata.
De que forma atua na prática?
O spoofing pode manifestar-se de diversas maneiras. Em sua forma telefônica, os criminosos manipulam o identificador de chamadas, fazendo com que o número exibido na tela pareça o de uma entidade legítima. Assim, é comum que o aplicativo de chamadas do seu smartphone identifique a ligação como proveniente do seu banco, da operadora de telefonia, da Segurança Social, da Autoridade Tributária ou até mesmo da Polícia de Segurança Pública.
Por meio do email, a técnica envolve a falsificação do remetente para que a mensagem pareça ser de uma empresa ou serviço confiável. Neste caso, o endereço pode apresentar sutis diferenças, que muitas vezes são quase impossíveis de detectar à primeira vista, como a troca de uma letra por outra que se assemelha visualmente. Além disso, há o spoofing de sites, onde é criada uma cópia quase idêntica de uma página legítima, com o único objetivo de capturar as credenciais de acesso do usuário.
Em todos esses casos, a urgência da ação é um fator comum. Os golpistas exercem pressão para que a vítima tome decisões apressadas. Inventam situações como possível bloqueio da conta bancária, encomendas retidas ou tentativas de acesso suspeitas a serviços ou plataformas. Essa pressão é intencional, pois quanto menos tempo a vítima tiver para refletir, maior a chance de sucesso do golpe.
Como identificar uma tentativa de spoofing?
Existem diversos sinais de alerta que podem indicar uma tentativa de golpe e que devem ser levados em consideração. Solicitações inesperadas de dados pessoais, códigos de autenticação ou ordens para realizar transferências bancárias são sempre suspeitas, independente de quem pareça estar fazendo o pedido. Nenhuma instituição financeira, órgão público ou empresa solicita senhas ou códigos de segurança por telefone, SMS ou email.
Mensagens que contenham erros ortográficos, pressões para agir “imediatamente” ou links que não correspondem exatamente ao site oficial são igualmente indicativos de fraude. Nos emails, vale a pena verificar o endereço completo do remetente, e não apenas o nome exibido. Esse endereço “real” frequentemente aparece entre parênteses angulares e, na maioria das vezes, termina com domínios estranhos, que divergem do domínio oficial da entidade.
O que fazer se suspeitar de spoofing?
A ANACOM é clara nas orientações que fornece. Em caso de contato suspeito, não clique em links, não forneça dados e não confirme informações. Se receber uma chamada duvidosa, desligue. Se receber uma mensagem questionável, apague-a. Em ambos os casos, contate a entidade diretamente por meio do número ou endereço oficial, nunca utilizando o contato que recebeu.
Você deve sempre verificar pelo canal oficial da entidade que supostamente o contatou. Se tiver dúvidas quanto a um email, não responda nem clique em links. Acesse o site da entidade digitando o endereço diretamente em seu navegador. Verifique se o endereço começa com “https://” e se há um ícone de cadeado próximo ao URL, indicando que a conexão é segura.
Se for vítima de uma tentativa de spoofing, relate o ocorrido. Faça isso nas plataformas digitais onde o incidente aconteceu (email, redes sociais, operadoras de telecomunicações) e junto às autoridades, especialmente a Polícia Judiciária através do portal de Queixa Eletrônica. Você também pode contatar o Centro Nacional de Cibersegurança (CNCS), que se encarrega de reportar o incidente ao CERT.PT através do endereço cncs.gov.pt/pt/notificacao-incidentes.
O How To TeK é uma seção do TEK Notícias que visa auxiliar os usuários em tarefas simples (mas que muitas vezes parecem complicadas) no uso de computadores e smartphones. Se você tem sugestões de truques que gostaria de ver esclarecidos, envie um email pararedaçã@teknoticias.pt.
