São cada vez mais os ataques de “phishing” aos clientes do serviço de ‘homebanking’. Saiba como funcionam e como evitá-los.
Nas últimas semanas, as televisões e os jornais fizeram notícia dos ataques de ‘phishing' de que os clientes dos serviços de ‘homebanking' são alvo. Os mais recentes alvos foram os clientes do Montepio Geral e da Caixa Geral de Depósitos. O banco estatal divulgou em meados de Agosto uma situação de ‘phishing' de que os seus clientes estariam a ser vítimas. Depois disso, foi a vez do Montepio reportar uma situação semelhante. Apesar deste tipo de tentativas de fraude bancária estar em expansão e de serem usados métodos cada vez mais sofisticados, minimizar o risco de ser "pescado" na rede por ciber-criminosos não é difícil. Bastam para tal alguns cuidados e atenção.
Mas afinal o que significa ser alvo de ‘phishing'? O termo é uma adaptação da palavra inglesa ‘fishing' (pesca) já que o infractor recorre a um isco para enganar a vítima e tem como alvo uma grande quantidade de destinatários. Como explica Nuno Mendes, director geral da WhiteHat, empresa especializada em software de segurança, no caso dos utilizadores dos serviços de ‘homebanking' este género de ataque informático envolve técnicas de engenharia social e ‘malware' ('software' malicioso) e tem como objectivo o roubo de dados pessoais e confidenciais para a execução de fraudes financeiras. "Na posse dessas credenciais o atacante fica com total acesso à plataforma de ‘homebanking' da vítima, podendo então - dependendo dos níveis de segurança de cada sistema ‘homebanking' - executar consultas, pagamentos ou transferências bancárias a partir de qualquer parte do mundo, o que dificulta a sua localização e identificação", refere Nuno Mendes. E, segundo este especialista, as tentativas de fraudes informáticas deste género tem vindo a aumentar, não apenas em quantidade como também em qualidade. "Cada vez mais os bancos estão a ser usados como isco e os conteúdos das mensagens e características do ‘malware' que tipicamente acompanha estes ataques dão uma aparência mais credível, diminuindo assim a barreira de desconfiança do utilizador", refere.
Os ataques são efectuados através do envio de mensagens de e-mail que aparentam ter origem na instituição financeira, mas que na realidade foram enviadas por ciber-criminosos. Nesses e-mails, o cliente é induzido a "clicar" num ‘link' que o direcciona para uma página da Internet onde muitas vezes este acaba por introduzir ou confirmar dados pessoais e confidenciais, como os códigos de acesso ao serviço de ‘homebanking', sobre contas ou cartões de crédito e de débito. Em alguns casos as fraudes são facilmente detectáveis dado o aparente amadorismo com que as mensagens ou os sites falsos foram desenhados, com erros grosseiros ou expressões pouco comuns na redacção. Nos casos mais elaborados a falsa página de Internet pode parecer muito semelhante à legítima, nomeadamente, o endereço web que aparece na janela do ‘browser'.
Noutro método utilizado pelos burlões a "presa" é também induzida a descarregar um ficheiro que nada mais faz do que introduzir no computador um vírus. Segundo Nuno Mendes, o que ocorre é a "disseminação de ficheiros com código malicioso (ex: trojan, rootkit) que perante a sua execução se instalam no sistema operativo e monitorizam a actividade do computador, gravando por exemplo as teclas pressionadas, registando imagens ou mesmo capturando imagens sequenciais dos ecrãs com o objectivo de identificar códigos de acesso que utilizam sistemas de teclados virtuais". Na posse dessa informação, o ‘hacker' consegue uma via de livre acesso ao dinheiro depositado na conta do cliente.
Segundo Luís Pisco, jurista da Deco, escapar ao ‘phishing' é acima de tudo uma "questão de bom senso". "Nenhum banco solicita via ‘e-mail' que os clientes comuniquem dados pessoais. Sempre que isso aconteça devem contactar o banco a alertar para essa situação. Mas nunca através de contactos enviados nesse e-mail", alerta o especialista. Mas, então como se consegue escapar ao ‘phishing'? A generalidade dos bancos a operar em Portugal disponibilizam nos seus sites um leque de informação a alertar para os perigos e principais medidas de prevenção dessas situações, alguns deles com grande destaque na página principal. Uma das informações divulgada pelos bancos é da total responsabilidade dos clientes dos serviços de ‘homebanking' das perdas caso sejam vítimas de ‘phishing' alheios à instituição financeira. O Diário Económico fez uma corrida pelos sites dos bancos e falou com especialistas e deixa-lhe aqui seis conselhos que pode seguir para evitar ser "pescado" na "rede" (ver caixas).
Dicas para evitar ser "pescado"
Não revele dados confidenciais
Os especialistas alertam que nenhum banco solicita a divulgação ou a alteração de dados pessoais e confidenciais através de mensagens de e-mail. Sempre que tal lhe seja solicitado o mais provável é que esteja a ser alvo de uma tentativa de ‘phishing' com vista a capturar dados do cartão matriz ou dos seus códigos de acesso ao sistema de ‘homebanking' para posterior utilização fraudulenta.
Solução antivírus eficaz
Uma das formas dos ciber-criminosos chegarem aos dados de acesso ao serviço de ‘homebanking' é através da instalação de vírus no computador da vítima. Uma forma de prevenir que isso aconteça- apesar de não ser impeditivo já que estão a surgir permanentemente novos vírus- é possuir uma solução de antivírus de qualidade e que esteja constantemente a ser actualizada.
Suspeite de ‘links' e ficheiros
Duvide sempre dos e-mails em que lhe é pedida qualquer acção ou interacção já que podem conter vírus que se instalam no computador . Não responda, não clique em ‘links' nem abra ficheiros de remetentes desconhecidos. Nuno Mendes aconselha a nunca aceder à plataforma de ‘homebanking' através de um ‘link' recebido por e-mail e que os utilizadores devem sempre digitar manualmente o endereço na barra de endereços do ‘browser'.
Não use computadores públicos e preserve códigos
Esta é uma regra de ouro para escapar ao ‘phishing'. Nunca deve aceder ao seu serviço de ‘homebanking' a partir de computadores públicos já que estes podem estar contaminados por vírus. Não se esqueça ainda de terminar sempre a sessão de internet ‘banking' através da opção ‘sair'. Evite códigos como clubes de futebol, nomes próprios, ou expressões que possam ser de fácil dedução.
Atenção à linguagem usada
Nos e-mails fraudulentos é frequente identificar no texto da mensagem erros de escrita grosseiros ou expressões pouco habituais e que facilmente excluem a possibilidade de se tratar de uma comunicação autêntica do banco. Isto acontece porque a maior parte dos ataques informáticos tem origem fora de Portugal, em países como a Rússia ou a China, em que muitas vezes são utilizadas traduções automáticas.
Sistemas operativos actualizados
Uma forma de prevenir que o seu computador seja atacado por ciber-criminosos é manter o sistema operativo sempre com as actualizações mais recentes. Instale também por exemplo uma ‘firewall' no seu computador já que só desta forma conseguirá filtrar e controlar o tráfego que entra e sai do seu computador enquanto este estiver ligado à Internet.
Início 
Registar 
