É muitas vezes de madrugada quando o telefone toca. O número de quem chama nunca é o mesmo, nem sequer o indicativo internacional. Nas últimas semanas têm aumentado as queixas sobre a receção de chamadas desconhecidas de números estrangeiros, frequentemente com indicativos de países europeus. Ou, em casos mais pontuais, sem qualquer identificação de número. Os inconvenientes horários e a insistência das chamadas, que por vezes surgem em catadupa, têm chamado à atenção das empresas de cibersegurança. 

A tática não é sempre a mesma. Há casos, relatados ao Observador, em que quem atende ouve uma gravação automática, normalmente em inglês, que alega que “o cartão de identificação nacional foi roubado” e que é necessário confirmar alguns dados. Mas há outras versões, como alguém que diz ser do apoio técnico de uma multinacional ou até de uma corretora de criptomoedas, que só quer ajudar a reativar a conta. Por vezes, rejeitar a chamada leva a que, em segundos, se receba automaticamente uma ou mais chamadas do mesmo número.

Independentemente da versão, o objetivo final do que já é considerado um esquema é praticamente comum a todas as chamadas: tentar obter ainda mais dados sobre quem recebe o telefonema para que, eventualmente, possa ter acesso a outros serviços, com proveitos financeiros. Não é um fenómeno novo, em Portugal ou no estrangeiro, mas tem sido cada vez mais frequente.

O CERT.PT, que integra o Centro Nacional de Cibersegurança (CNCS), reconhece “um aumento no número de chamadas realizadas com recurso a técnicas de spoofing do número de telefone”, mas sem especificar quando é que este padrão começou a ser detetado. O spoofing, em linhas gerais, existe quando alguém tenta fazer-se passar por outra pessoa ou entidade, tentando usar o mesmo domínio, endereço de email ou, em muitas destas chamadas, fingindo ser alguém que vai ajudar a resolver um suposto problema, como acontece com a versão do roubo do documento de identificação.

No entanto, continua fonte do CERT.PT, embora as chamadas não tenham “qualquer padrão geográfico associado, têm como origem, na sua maioria, países da Europa, mas também dos continentes asiático e africano”. Os utilizadores que já receberam os telefonemas mencionam indicativos do Luxemburgo (+352), Países Baixos (+31), Bélgica (+32) ou França (+33), e situações que se tornaram mais intensas desde o início de janeiro. Mas o indicativo que surge no ecrã não é necessariamente sinónimo de que a chamada esteja a ser feita do país ao qual pertence o código. David Russo, da CyberS3c, fala em casos em que é possível “escolher” o indicativo, através de números virtuais, por exemplo, ou recorrer a um servidor voice over IP (VoIP) para poder fazer chamadas em massa, através da internet.

Embora o CERT.PT reconheça que “há diversos tipos de fraudes e burlas associadas a estas chamadas”, o “simples facto de atender o telefone não representa um dano em si”. A entidade do CNCS faz questão de lembrar que uma situação de burla acontece sempre que há uma “ação solicitada ao visado, nomeadamente que prima determinada tecla, introduza um código ou faça qualquer outro tipo de ação no seu telefone”.

As empresas de cibersegurança notam que, em certos casos, quem liga até já tem alguns dados pessoais do destinatário para enumerar, com o objetivo de simular uma suposta confirmação de segurança. Segundo os especialistas, muitos dos dados que agora estão a ser usados provavelmente têm origem noutras situações de crime informático. A mensagem de precaução é comum: há que tentar perceber que migalhas de dados vamos deixando na internet e a adotar sempre uma postura de desconfiança, por mais credível que pareça a conversa – ou gravação – do outro lado da linha.

Chamadas padronizadas e suspeitas de “scam call centers”. Como é que os números ficam acessíveis?

Os peritos das empresas de cibersegurança S21sec, da Check Point Portugal e da CyberS3c confirmam a deteção do aumento de chamadas internacionais suspeitas. Há mais do que uma hipótese para tentar explicar a situação, em que está “sempre subjacente uma tentativa de obtenção de vantagens financeiras” por parte de quem faz o telefonema, contextualiza Hugo Nunes, da S21sec.

A empresa detetou que “fazer-se passar pelo apoio técnico de uma empresa multinacional, por um operacional da Interpol ou de uma corretora de criptomoedas são, atualmente, os principais métodos usados”. O facto de “a grande maioria dos telefonemas ser efetuada em inglês e seguindo linhas de persuasão bastante padronizadas” leva os especialistas da S21sec a suspeitar de que as chamadas possam estar a ser feitas por “scam call center”. À medida em que o crime informático se foi profissionalizando, foram crescendo as instalações deste género, em que à semelhança de um callcenter típico, há “agentes” a seguir um guião, só que têm objetivos diferentes a atingir.

Hugo Nunes nota que há vários destes centros de contacto de burla informática “na Índia ou nas Filipinas”, que funcionam num “regime de 24 horas, sete dias por semana, o que permite a realização de contactos em massa”. Em vários casos até estão “organizados por hierarquia e especialização dos operadores”. As investigações internacionais a este fenómeno mencionam que até existem supervisores que monitorizam o desenvolvimento dos trabalhos e que os trabalhadores têm mesmo metas diárias a atingir.

A hora a que são feitas as chamadas não se deve apenas à diferença horária em relação ao país de origem do telefonema. Na verdade, até pode ser uma estratégia de negócio. “O facto de as chamadas de vishing [obter dados através de chamadas de voz] serem realizadas durante a madrugada não é aleatório, mas sim uma tática utilizada pelos ciberatacantes”, explica David Russo, diretor tecnológico da empresa de cibersegurança CyberS3c.

Durante as chamadas, é relatado um problema e é criada uma sensação de urgência. “As pessoas ficam geralmente mais vulneráveis quando são acordadas abruptamente. Este estado de sonolência e confusão pode diminuir as capacidades de julgamento crítico e aumentar a probabilidade de revelarem informações pessoais sem a devida cautela”, elabora.

Há várias maneiras de as organizações que desenvolvem este tipo de atividade acederem a números de telefone que podem estar do outro lado do mundo. “Tem existido um aumento do número de ‘data leaks’, resultantes de vários ataques no ciberespaço”, assegura David Russo. “Contêm muitas vezes números de telefone, moradas ou outras informações pessoais, o que se torna problemático”, especialmente nas mãos erradas.

Com o aumento dos acessos indevidos, o “‘scrapping’ [extração] desta informação é essencial para levar a cabo vários ataques”, dando como exemplo o “phishing” e as suas variações – smishing, quando se tenta obter dados através de SMS, ou o vishing, através de chamadas de voz. Dando como exemplos os incidentes informáticos na TAP ou mesmo na rede social Facebook, nota que é um problema que “afeta toda a gente que, de alguma forma, se tenha registado numa plataforma e colocado os seus dados reais”.

O Observador fez um teste com um especialista de cibersegurança, que tem acesso aos dados roubados. Com um número que tem recebido várias chamadas deste género, foi feita uma pesquisa nos blocos de dados que vieram a público com o ataque informático à TAP ou o “leak” ao Facebook. O ataque à TAP, em agosto de 2022, comprometeu os dados de milhares de clientes da companhia e custou 5,7 milhões de euros à empresa, foi mais tarde revelado. Já o “leak” da rede social, em abril de 2021, expôs as informações pessoais de 533 milhões de utilizadores.

Ataque informático custou 5,7 milhões de euros à TAP

Em alguns segundos, foi possível perceber que o número em questão estava em ambas as bases de dados que circulam online. No entanto, com algumas diferenças: havia mais dados pessoais no leak da TAP – nome, telefone, localização e data de nascimento. No caso do Facebook, era possível encontrar a foto de perfil da rede social, além de dados como o email ou nome.

“Quando ocorrem fugas de informação, os dados expostos são extremamente completos, revelando o nome, morada, telefone e email das vítimas, o que permite que os atacantes se tornem mais credíveis e que os ataques sejam cada vez mais indecifráveis”, explica Rui Duro, country manager da Check Point Software para Portugal. Porém, em muitos casos, quem faz os ataques “nem são as pessoas que roubaram diretamente a informação às empresas, são outros agentes que compram estas bases de dados para utilizar posteriormente”, transmite o responsável da empresa de cibersegurança.

As medidas a adotar para tentar reforçar a segurança

Há muito que a indústria percebeu que não há soluções mágicas para se estar imune a ataques informáticos. No entanto, há algumas estratégias que podem ser adotadas.

Concretamente em relação às chamadas indevidas, o CNCS aconselha que “o cidadão confirme, sempre, a autenticidade do chamador, preferencialmente por outro canal de comunicação”, por mais credível que seja a conversa. “Não partilhe os seus dados pessoais, nem siga instruções solicitadas por quem fez a chamada, envolvendo operações com as suas contas bancárias ou dados pessoais, ainda que lhe pareçam simpáticas.” Acima de tudo, “sempre que tiver dúvidas fale com alguém conhecido e de confiança para validar essas instruções”, aconselha o CNCS.

No próprio telefone, pode também alterar algumas definições para evitar receber tantas chamadas do género – pode ativar a identificação de chamadas e de spam e ainda filtrar os telefonemas, para que nem sequer surjam no ecrã. E, se já foi incomodado por estas chamadas durante a madrugada, pode explorar a opção “não incomodar” do telefone, que silencia as notificações e chamadas, exceto alarmes, temporizadores e eventos de calendário. Se precisa mesmo de estar contactável nas horas de descanso, é possível especificar que os seus contactos podem “contornar” este modo do telefone.

Mas, de acordo com os especialistas em cibersegurança, não há muito que a maioria dos utilizadores possam fazer para impedir um “data leak”, nota David Russo, da CyberS3c. “Pode é adotar medidas que dificultem um ataque contra si”, explica, dando como exemplos a “utilização do duplo fator de autenticação, de um gestor de passwords e a não reutilização de passwords”.

Para ter uma palavra-passe forte, devem ser usadas “letras maiúsculas, minúsculas, números”, continua o especialista, e é de evitar que sejam simples ou relacionadas com o utilizador – por exemplo, o clube de futebol ou outra informação que seja facilmente obtida através das redes sociais.