Por email, chamada telefónica ou SMS, esta é uma técnica em que a identidade do remetente é usurpada por alguém que procura obter dados pessoais ou levar a cabo uma fraude financeira. Saiba como evitá-las.
Mais de mil ciberataques semanais por organização, e um crescimento de 38% face ao ano anterior, fizeram de 2022 o ano mais “negro” de sempre na cibersegurança, segundo revelam os dados do “Ciber Security Report” da empresa de segurança Check Point. Portugal não é exceção e tem aumentado a sua atratividade enquanto alvo das ameaças cibernéticas. De acordo com outro relatório, o “Intelligence Índex”, da IBM, o país ocupa o terceiro lugar entre os mais atacados, reunindo 9% dos casos. Na primeira posição está o Reino Unido, com 43% das ameaças totais.
Este aumento global nas ciberameaças é consequência direta do crescimento da digitalização, impulsionada pela pandemia e pelo aumento do trabalho remoto que exponenciaram a superfície disponível para os ataques. Uma tendência incrementada ainda mais pela guerra na Ucrânia, mas também pelo elevado nível de sofisticação dos atacantes. Do lado dos utilizadores – responsáveis por mais de 50% dos incidentes, de acordo com os dados do Centro Nacional de Cibersegurança –, uma literacia digital ainda baixa e alguma desatenção ajudam ao crescimento de novas fraudes como o spoofing, que implica a utilização da identidade de uma empresa, instituição ou pessoa para roubar dados.
Quem não recebeu já emails de remetentes como a Google, o PayPal, o banco com que trabalha ou até das Finanças que, afinal, mais não eram do que uma tentativa de extorsão de dados pessoais ou financeiros? Se acha que nunca recebeu, desengane-se porque provavelmente já sofreu na pele uma destas tentativas.
Mas o spoofing não se limita ao email. Receber uma chamada ou um SMS supostamente de uma empresa legítima, como um prestador de serviços de luz, gás, água ou telecomunicações pode ser uma tentativa de fraude para a qual é preciso atenção redobrada. Os especialistas alertam para ficar atento, mesmo que já tenha recebido outras mensagens (reais) destas entidades, cuja única diferença pode ser a inclusão de um link que habitualmente não é usual nas suas comunicações.
Para evitar problemas, deixamos-lhe o alerta para os tipos de spoofing com que pode deparar-se e algumas dicas para se proteger.
Tenha especial atenção para os seguintes exemplos de ataques que recorrem à técnica de spoofing
Como se proteger
- Spoofing de chamadas: o atacante faz chamadas telefónicas onde é apresentado o nome ou número legítimo como, por exemplo: “Mãe”, “Pai”, “Filho”, “112”, etc.
- Spoofing de SMS: o atacante envia mensagens SMS, apresentando o número legítimo da entidade/pessoa pela qual se quer fazer passar, como, por exemplo: “Mãe”, “Autoridade Aduaneira”, etc.
- Spoofing de email: são enviados emails falsos, em que o atacante, geralmente ligado a esquemas de phishing, se faz passar por outra pessoa ou por uma empresa real. Nestas circunstâncias, é feito o mascaramento do nome do remetente que é apresentado, em que o endereço real pode ser EuSouUmAtacante@domínio.com, contudo, pode aparecer diferente e apresentar um nome aparentemente credível com endereços de correio eletrónico semelhantes aos de empresas de transportes de encomendas urgentes ou de comunicações, energia, etc.
- Desconfie de qualquer SMS não solicitado, mesmo que venha de uma empresa aparentemente confiável, especialmente se pedir dados pessoais, se incluir um link ou uma promessa de prémio.
- Nunca faça pagamentos ou transferências usando informações recebidas por SMS ou email.
- Não clique nos links incluídos em emails ou SMS.
- Não envie dados pessoais por mensagem de texto.
- Não ceda dados pessoais por chamada telefónica.
- Se tiver dúvidas sobre a veracidade do que lhe está a ser solicitado, seja por que canal for, entre em contacto com a empresa que alegadamente o solicitou, utilizando os canais de atendimento oficiais dessa empresa.
- Instale software antivírus não apenas no computador pessoal, mas também nos telemóveis ou tablets.
Todas as empresas que prestam os seus serviços de forma remota, e que utilizam meios de comunicação como o telefone, o email ou a internet, estão a desenvolver formas de proteção dos seus clientes e das próprias empresas contra os ciberatacantes. Apesar disso, a primeira linha de defesa contra estes ataques cabe a cada um de nós, tomando medidas como as que aqui são apresentadas.
Os serviços digitais e remotos são facilitadores do nosso dia a dia, mas tal como já o fazemos quando andamos na rua ou utilizamos serviços presenciais, também temos de nos proteger nas nossas atividades à distância.
