Confiar em um e-mail aparentemente genuíno que nos pede para clicar para confirmar os dados e códigos bancários? Agora, apenas alguns idiotas incuráveis caem nele. Mas a tecnologia do phishing (pesca de vítimas mais ou menos inocentes de trapaças na web) está avançando. A nova fronteira dos golpes telemáticos é chamada de "falsificação de identificação de chamadas". O trapaceiro nos envia um texto, mensagem de WhatsApp ou apenas liga para o telefone. No nosso display aparece o número do banco, da nossa instituição financeira, de uma instituição de solidariedade social ou de uma empresa que conhecemos muito bem e com a qual temos relações consolidadas. Nós respondemos, nós confiamos, nós executamos. Pode ser uma farsa. Realiza-se com um procedimento verdadeiramente refinado, que por vezes é combinado com outro truque tecnológico de última geração: a clonagem do nosso número de telemóvel (ou mais precisamente, a sua transferência, talvez momentânea e apenas pelo tempo necessário para enganar) num Sim nas mãos do fraudador, que assim poderá nos substituir até mesmo na aprovação final de uma transação bancária, simulando os já difundidos procedimentos de segurança que prevêem a geração de um alfinete descartável. Mas como funciona a nova técnica fraudulenta em detalhes? Como reconhecê-lo? Como se defender?
Spoofing e troca de sim
Para alterar o número de chamada que aparece em nosso display, fazendo-se passar por nosso banco que precisa de verificação, ou talvez por uma instituição de caridade que nos pede uma contribuição, os trapaceiros recorrem a procedimentos permitidos pelos sistemas de centrais IP-VoIP (aqueles que usam apenas a Internet e não os antigos sistemas telefônicos também para chamadas de voz) manipulado com aplicações normais acessível também a não profissionais: qualquer um pode verificar isso fazendo uma pesquisa normal nas lojas da Internet. O procedimento é relativamente fácil, tanto que até mesmo trapaceiros que não são particularmente mestres da tecnologia, e até um pouco bagunceiros, estão começando a usá-lo.
Um exemplo: uma empresa que vende eletrodomésticos para purificação de água tem se mascarado nas últimas semanas atrás do número de telefone de um restaurante-pizzaria na província de Nápoles. Que conexão havia entre os dois é desconhecida. Mais perturbadores são dois outros exemplos de golpes de "spoofing" implementados nos últimos meses. A primeira diz respeito a um roubo de credencial para se conectar aos sites dos correios italianos, em particular aqueles conectados ao PostePay (serviços bancários). Em um SMS, os trapaceiros de plantão informam os usuários sobre um problema com os dados pessoais de sua conta, convidando-os a repeti-los ou corrigi-los clicando em um link que mostra uma tela aparentemente provável. Para ter tempo de agir, os criminosos convidam você a não acessar a conta, que ficaria bloqueada por algumas horas até que o erro fosse corrigido. Muito semelhante em sua dinâmica à trapaça realizada sob o disfarce da Receita Federal por meio de indescritível "escritório de cobrança de dívidas", que convida (novamente mascarando-se por trás de um número de telefone mais do que provável que aparece no visor) para liquidar uma dívida fiscal em atraso de forma facilitada comunicando os nossos dados financeiros confidenciais ou clicando em um link específico que nos terá sido enviado no endereço postal eletrônico que tivermos inadvertidamente indicado ao nosso interlocutor.
Em todos esses casos existe também o segundo truque, o "sim swap", que é a substituição talvez temporária do nosso Sim, permitindo que o trapaceiro validar diretamente nossos pagamentos a seu favor. Uma prática que felizmente só é possível se o golpista estiver de posse do código serial do SIM a ser clonado, que teoricamente deveria ser zelosamente guardado por nossa operadora de telecomunicações. Teoricamente, porque nos últimos meses mais de um vazamento dessas listas ganhou as manchetes, que depois caíram nas mãos de criminosos. Em alguns casos, as operadoras de telefonia mais escrupulosas informaram imediatamente os clientes, regenerando remotamente o código serial do SIM ou substituindo-o fisicamente. Mas ninguém descarta que algumas listas ainda possam estar em circulação, disponíveis para trapaceiros.
Como descobrir o truque e o que fazer
Primeira regra: nunca forneça nossos dados pessoais respondendo diretamente a um pedido, seja um telefonema, um e-mail, uma mensagem de texto, uma mensagem de WhatsApp. Sabendo dos golpes que estão circulando, nenhum banco sério pediria a confirmação de dados pessoais por telefone. O contra-ataque nesse caso é trivial e eficaz: ligar de volta para o seu banco pedindo confirmações, explicações e indicações em caso de comprovada tentativa de fraude. Idêntico cuidado também é necessário para lidar com a enxurrada de telefonemas que cada um de nós recebe para nos convencer a mudar de fornecedor de serviços de telecomunicações ou energia.
Segunda regra: em qualquer caso, verificamos com certeza a identidade de quem nos contata, vasculhando o endereço de onde o e-mail nos é enviado, ou ainda mais o número de telefone que vemos aparecer no visor. Para verificar autenticidade do e-mail recebido, ou da mensagem de sms ou WhatsApp que contém um link suspeito, quem é especialista em informática tem muitas armas à sua disposição, a começar pela verificação dos certificados digitais que acompanham mensagens complexas. Os meros mortais a quem este tutorial é dedicado têm que se contentar com procedimentos menos sofisticados. Como?
Em primeiro lugar, eles podem realizar uma verificação grosseira definindo com o mouse o endereço de e-mail que aparece com o mouse e copiando-o para um arquivo de texto no modo "manter apenas o texto": se o endereço que aparece após a operação é diferente, dirá que é um e-mail disfarçado e, portanto, enganosa. Mas mesmo que pareça como é, não podemos ter certeza. Neste caso enviamos um e-mail para o mesmo endereço, que iremos preencher cuidadosamente por completo (sem "recortar e colar", principalmente neste caso) em nosso programa de e-mail, solicitando a confirmação do contato recebido.
Para verificar a autenticidade do número de telefone que aparece no visor, o procedimento é fácil e imediato: ligamos de volta para o mesmo número, possivelmente de um celular (para evitar qualquer manipulação muito remota de nossa linha fixa pela central de área). A resposta revelará imediatamente como são as coisas.
Caso nossa primeira linha de defesa não tenha revelado imediatamente um golpe, queremos examinar a proposta que eles querem nos dar? Ainda pedimos que você venha formulado por escrito por e-mail ou correio normal, sem no entanto fornecer qualquer referência: se nos ligaram, também devem ter o nosso endereço ou o nosso endereço de e-mail, caso contrário, é provável que sejam golpistas ou, em qualquer caso, a infinidade de revendedores que trabalham por comissão, recorrendo frequentemente a práticas desleais.
Uma boa regra imporia até atenção ao pronunciar alguns termos durante uma conversa com nosso interlocutor não identificado: o simples a palavra “sim” pode ser extrapolada (isso também acontece) para preparar um parecer favorável à proposta de contrato para o embarque de mercadorias ou para a mudança de gerente. E enquanto isso, considere seriamente se deve assinar o registro de oposições a qualquer chamada comercial, que em dias deve finalmente ser estendida também para celulares, conforme estabelecido por dispositivo legislativo aprovado em janeiro passado.
Última recomendação: se você tiver evidências suficientes de um golpe ou tentativa de golpe telemático, denuncie diretamente às autoridades policiais. Você pode também pela web.
