A SMS (short message service, ou “aquilo que se utilizava muito antes do WhatsApp”) aparece de surpresa com uma frase que deixa em alerta qualquer pessoa: “A encomenda não pode ser enviada, confirme o endereço carregando aqui”. De seguida, surge a dúvida: “Mas não fiz nenhuma encomenda”. Ou, “os avisos de onde encomendei algo não costumam ser assim”.

As mensagens com o objetivo de defraudar os consumidores de telecomunicações não são um fenómeno novo, mas a situação foi agravada com a pandemia de Covid-19 e os sucessivos confinamentos. O que têm feito as operadoras para mitigar o problema? Ao Observador, duas das principais empresas de telecomunicações a operar em Portugal falam de “firewalls” e “permanente monitorização” para proteger os clientes. Já o Centro Nacional de Cibersegurança (CNCS) diz estar “atento” a estas fraudes. Contudo, há limitações que fazem com que o problema não vá acabar tão cedo.

Fisco emite alerta sobre sms enviados por falsos centros aduaneiros

Ao que o Observador apurou, as queixas feitas às entidades competentes relativamente a estas situações cada vez mais frequentes são no entanto “residuais”. Ou seja, mesmo que receber um destes SMS seja uma situação comum para quem tenha um smartphone, quem tenta enganar terceiros através desta tática poderá não estar a ser bem sucedido massivamente. Ou, estando, os danos causados não têm sido em escala suficiente para levar a um grande número de queixas a autoridades como a Anacom.

Esta questão mostra que o maior problema desta mensagens não é o risco de o telemóvel ficar infetado com um vírus informático. Na maioria dos casos, estas estratégias de fraude são usadas para levar alguém a fornecer indevidamente dados pessoais que permitirão o acesso a contas bancárias ou acesso remoto ao telemóvel àquilo que é apelidado em inglês de “social engineering” (levar alguém a fazer algo com o objetivo de a enganar). Tudo sem vírus escondidos ou outras táticas.

Como explica o Centro Nacional de Cibersegurança (CNCS), apesar de o volume de queixas às autoridades de SMS de encomendas falsas poder ser diminuto, “os ataques de phishing [tentativa de fraude digital através de email ou chats online] e de smishing [o mesmo, mas para SMS] são os tipos de incidentes mais registados pelo CERT.PT (equipa de resposta a incidentes nacional, integrada no CNCS)”. Para mitigar este problema, o CNCS “tem uma colaboração estreita com os operadores de comunicações eletrónicas no âmbito da rede nacional de CSIRT e da reação a incidentes de cibersegurança”.

O problema das SMS fraudulentas aumentou com a pandemia

Haverá sempre entraves neste combate, como explica Ricardo Henriques, sócio da Abreu Advogados especialista em telecomunicações, até porque as operadoras “não têm uma obrigação de denúncia do crime às autoridades”. Além disso, há a questão da proteção dos dados dos clientes, que impede estas empresas de poder evitar todas as tentativas e fraudes. Em suma, o caso não será de fácil resolução. Deixamos é o aviso: no caso de receber uma mensagem de que não tem a certeza o que é, não abra as hiperligações e, como avisa Ricardo Henriques, convém sempre “denunciar às autoridades competentes”.

O que dizem as operadoras? Problema endémico a nível internacional

O Observador enviou questões à NOS, à Vodafone e à Altice, tendo recebido resposta apenas das últimas duas empresas. Segundo a Altice, que diz estar a combater esta situação, “este é um problema que, infelizmente, se está a tornar endémico a nível internacional e que é impossível evitar a 100%”. No caso da Vodafone, que não abordou a extensão do problema, há, no entanto, um aviso sobre o quão este problema preocupa as operadoras: “A Vodafone tem em permanente monitorização todo o tráfego na sua rede, que inclui a identificação de SMS fraudulentas”.

Por outras palavras, se por acaso recebeu uma destas mensagens, isso significa que a mesma passou um destes filtros digitais — “as firewalls“, como exemplifica a Altice — que estão implementadas. Por vezes, e como em tudo o que é digital, há limitações e falhas. Como explica a Vodafone, não é possível identificar “o conteúdo da mensagem por razões de privacidade”. “Essa identificação baseia-se em critérios de analise de padrões de volumes de tráfego de SMS”, adianta a operadora britânica que, mesmo com as limitações referidas, faz a “verificação do remetente, período, dispersão ou cadência”.

Depois da verificação, o que é que acontece? Teoricamente, poderá haver um alerta às autoridades, mas, como explica Ricardo Henriques, esse passo não é obrigatório. Mesmo assim, o advogado diz que “obviamente, na medida em que saiba que a intenção é cometer um ilícito e fazer a obtenção desses elementos, devem bloqueá-lo e podem fazê-lo”.

Quanto à questão do alerta às autoridades, as duas operadoras de telecomunicações afirmam que têm agido em conformidade com a lei. A Vodafone diz que “a reação aos incidentes detetados prevê o alerta ao operador originador do tráfego para consequente bloqueio”. Já a concorrente dá uma explicação mais longa: “Logo que na Altice Portugal toma conhecimento de um qualquer incidente desta natureza, seja por via do seu Departamento de Fraude, seja por reclamação de clientes, ou de outra operadora são imediatamente tomadas as devidas medidas de mitigação”, diz a operadora. Estas ações podem passar “pelo bloqueio de serviços, recorrendo à sua SMS Firewall, ou pela gestão do incidente junto de parceiros (quando é este o canal explorado pelo fraudador)”.

Fundamentalmente, quando as operadoras são alertadas que um cliente poderá estar a ser vítima de uma destas fraudes, tentam bloquear o número. Se este contacto for gerido pela empresa, esse processo é automático. Adicionalmente, como explica a Altice, há também “colaboração” com as autoridades judiciais, no quadro legal em vigor, com o objetivo de cessar estas atividades fraudulentas”.

No caso da Altice, a empresa vai ainda mais longe e, nas respostas ao Observador, assume que estas situações até criam novos modelos de negócio e publicita o “Meo Net Segura”. Este serviço de subscrição custa cerca de um euro por mês e é dada garantia pela empresa que quem o subscreve é avisado caso tente aceder a “links não seguros como os tipicamente incluídos em SMS fraudulentos”. Na prática, funciona como um serviço de antívirus para smartphones como existe para computadores, não sendo uma subscrição necessária se o utilizador tiver cuidado na utilização dos dispositivos.

O que estão a fazer as autoridades? “A ANACOM tem conhecimento da prática em questão”

“Há vários órgãos de polícia criminal que podem fazer essa denúncia e tratá-la-ão, no fundo, para tentar verificar a dimensão do problema e desses potenciais criminosos”, explica Ricardo Henriques. Além do CNCS, o Observador questionou também a autoridade reguladora para as telecomunicações (Anacom) e a Polícia Judiciária (PJ). Tirando a PJ, que não respondeu às questões colocadas, as outras duas entidades afirmam que tem sido feito um esforço para acabar com este problema. Porém, a Anacom diz que “tem conhecimento da prática em questão” e fala de “autorregulação”. Já o CNCS, que não tem responsabilidade direta, aponta o trabalho que faz para a “colaboração com as operadoras”.

No caso da Anacom, a entidade justifica “que está em causa uma prática que não respeita à prestação de serviços de comunicações eletrónicas propriamente dita, antes usando estes serviços como suporte/veículo”. Por outras palavras, não é uma situação que esta entidade tenha de regular. “Dada a natureza do que está em causa, medidas de autorregulação, à semelhança das adotadas pelos operadores  a propósito do wap billing [compras online através de pagamento na fatura da operadora], poderão ser adequadas na presente situação”, diz.

Nos casos de wap billing, havendo erro não imputável ao cliente, as operadoras podem cessar pagamentos. “Em todo o caso, não é competência desta Autoridade a identificação dos autores deste tipo de fraude, reiterando-se que as comunicações eletrónicas são utilizadas como mero veículo para o envio das mensagens em causa”, relembra a reguladora.

Mesmo assim, a entidade assume que “tem conhecimento da prática em questão e tem vindo a acompanhar o seu impacto nos utilizadores de serviços de comunicações eletrónicas, designadamente através da análise de reclamações”. Sobre este ponto, a Anacom assume aquilo que já foi referido: “O número de reclamações recebidas sobre esta matéria é residual”, algo que, consequentemente, também acontece com outras entidades, ao que apurou o Observador.

CNCS tenta “destruir” hiperligações fraudulentas

O CNCS coordena a resposta a este problema com a ajuda do CERT.PT, um serviço integrante do Centro Nacional de Cibersegurança “que coordena a resposta a incidentes envolvendo entidades da Administração Pública, operadores de infraestruturas críticas, operadores de serviços essenciais e prestadores de serviços digitais além de todo o ciberespaço nacional, incluindo qualquer dispositivo pertencente a uma rede ou bloco de endereçamento atribuído a um operador de comunicações eletrónicas”. Ao Observador, como já foi referido, a entidade assume que o “smishing” está entre os casos mais reportados a esta entidade.

O que faz então o CERT.PT? “Análise dos casos, alerta ao cidadão e infraestruturas de ataque, bem como a destruição de links maliciosos partilhados pelos SMS em causa”. Desta forma, mesmo que a mensagem fraudulenta continue a ser enviada massivamente, quem carregar na hiperligação não será defraudado. Adicionalmente, o CNCS diz que “está atento ao evoluir deste fenómeno, ajudando diariamente na sua mitigação, através da identificação e notificação às operadoras e da desativação dos links maliciosos presentes nos incidentes deste tipo, partilhando informação com todas as partes interessadas”.

Mesmo assim, apesar deste esforço, “a imputação dos autores por trás destes incidentes de cibersegurança, que são simultaneamente de tipo criminal, é da responsabilidade dos órgãos de polícia criminal, nomeadamente da Polícia Judiciária”. O CERT.PT e o CNCS acabam apenas por “apoiar as vítimas na investigação dos efeitos e recuperação dos incidentes”. Esta entidade refere também: “O CNCS partilha toda a informação necessária com as autoridades, como a Polícia Judiciária ou o Gabinete Cibercrime da PGR, no sentido de facilitar a investigação criminal, possível em alguns casos”.

O que fazer para não ser enganado? “Pensar antes de clicar”

Não sendo possível acabar com este problema por completo, uma das principais táticas para o mitigar, tanto por parte da operadoras como das entidades públicas, é através de  “campanhas de sensibilização junto do público, incluindo conteúdos sobre esta matéria nos seus cursos”, diz o CNCS. No fundo, o objetivo passa por “alertar os cidadãos para a existência destas mensagens e para a necessidade de evitar clicar em links ou partilhar dados com qualquer entidade que os solicite de forma suspeita ou descontextualizada”.

“‘Pensar antes de clicar’ é algo que serve de conselho para este tipo de casos“, recomenda ainda o Centro Nacional de Cibersegurança. Até porque este casos não acontece só com encomendas. “No âmbito da banca, entidade frequentemente simulada como remetente do smishing“, também acontece muitas vezes.

Por isso, se recebeu uma mensagem destas e não está à espera de uma encomenda, não clique. Se estiver à espera, confirme bem os dados antes de carregar em hiperligações externas de remetentes que não conhece. Desta forma, não será defraudado.