Blogue complementar ao Direito na Sociedade da Informação LEFIS
"Milhares de portugueses foram alvo, nas últimas semanas, de uma tentativa de fraude pela Internet, conhecida por phishing. O fenómeno consiste em aliciar as vítimas a transmitir dados pessoais e bancários via e-mail, fazendo-as pensar que estão a comunicar com o seu banco ou outra empresa com quem se relacionem.
A
Polícia Judiciária está a investigar este esquema, confirmando a sua expansão em Portugal, no último mês.
Através de e-mails enviados aleatoriamente em grande escala, os prevaricadores, apresentando-se como membros de uma empresa bancária ou outra, alegam uma falha no sistema para requerer aos utentes que insiram a sua identificação e os seus códigos bancários.
A mensagem-tipo mais difundida em Portugal foi escrita em inglês. Nos dois casos analisados pelo PÚBLICO, um referente ao Deutsche Bank, o outro ao Millennium BCP, os burlões justificam a diligência com a detecção de erros nos correios electrónicos dos clientes que precisam ser solucionados.
Em ambos os e-mails, é indicado um link que, ou remete para o verdadeiro site do banco, fazendo abrir uma outra janela onde deverão ser introduzidos os dados, ou reencaminha para um site forjado da empresa.
BCP limita transferências
Uma vez na posse dos elementos cedidos pelos alvos da fraude, os burlões podem fazer várias operações bancárias ou mesmo criar contas sem que os lesados se apercebam. Em algumas situações registadas internacionalmente, as pessoas só souberam dos danos sofridos quando os credores se dirigiram a elas.
Contactado pelo PÚBLICO, Gonçalo Moreira, do gabinete de imprensa do Millennium BCP, afirmou que esta prática 'não é nova e se tem verificado de quando em quando dirigida a todo o sistema bancário'. O mesmo responsável adiantou que, 'até hoje, nenhum cliente foi lesado'. Em todo o caso, a banco decidiu, por questões de segurança que incluem o phishing, baixar o valor máximo de transferências a partir do seu site na Internet de 12.500 euros para 2500 euros.
Gonçalo Moreira acrescentou que o BCP 'monitoriza 24 horas por dia o comportamento do seu portal na Internet, estando apetrechado com os melhores padrões de fiabilidade e segurança'.
Ideia diferente tem, contudo, Rogério Bravo, inspector-chefe do Departamento Central de Investigação e Combate à Criminalidade Económica e Financeira (
DCICCEF), para quem a banca 'investe pouco em tecnologia para proteger os seus sistemas informáticos', deixando a prevenção e combate ao crime nas mãos da polícia.
Cada vez mais ataques
O fenómeno do phishing surgiu nos Estados Unidos em 2003, mas só nos últimos dias começou a aparecer nas caixas de correio electrónico dos portugueses. A origem do termo decorre de uma analogia com o verbo to fish, que significa pescar, e foi usado por hackers, pela primeira vez, em 1996, relativamente ou extravio de contas da America On-Line.
A substituição do "f" por "ph" é comum entre os hackers, tendo sido usada, em 1970, pelo primeiro hacker conhecido, John Draper (Captain Crunch).
De acordo com o Grupo de Trabalho Anti-Phishing (
APWG), financiado pelas mais poderosas empresas financeiras do mundo e por marcas do comércio on-line, os ataques vulgarizaram-se nos últimos anos, atingindo utilizadores de contas bancárias on-line, serviços de pagamento pela Internet, como o PayPal, e
sites de comércio
on-line.
Desde Agosto de 2003 todos os maiores bancos dos EUA, da Grã-Bretanha e da Austrália sofreram o fenómeno phishing. Segundo o último relatório do AFWG, de Fevereiro de 2005, foram identificados 2625 sites de phishing activos, o que significa um crescimento de 26 por cento relativamente a Julho de 2004.
Quantos ao número de marcas registadas pela AFWG como tendo sido alvo deste tipo de pirataria, ele já alcançou a centena e meia.
Em termos geográficos, os EUA lideram a tabela dos países que alojam mais sites de
phishing, com 37 por cento. Seguem-se a China (28 por cento), a Coreia do Norte e o Brasil" (As hiperligações foram acrescentadas /
Público, 8 de Junho de 2005, Ricardo Dias Felner c/ Maria Lopes)