Artigo do blog: Segurança online
Olá e bem-vindo ao Fraude Ou Fiável!
Artigo do blog: Segurança online
Um link fraudulento nem sempre se reconhece à primeira vista. Os fraudadores utilizam hoje endereços que imitam marcas conhecidas, serviços de entrega, bancos, administrações públicas ou plataformas de pagamento.
Ainda assim, certos sinais visíveis permitem muitas vezes detetar uma anomalia antes de clicar.
Aprender a ler uma URL, mesmo rapidamente, continua a ser um dos reflexos mais eficazes para evitar o phishing, o roubo de dados ou os pagamentos armadilhados.
Um link não é apenas um endereço técnico. É também o caminho que o leva até uma página, um formulário, um espaço de pagamento ou um pedido de ligação. Quando é fraudulento, pode servir para roubar os seus dados de acesso, recolher os seus dados bancários, instalar um programa indesejado ou empurrá-lo para um falso procedimento urgente.
As tentativas de phishing utilizam frequentemente a confiança. Uma mensagem pode parecer vir de um banco, de uma transportadora, de um serviço público, de uma plataforma de venda ou até de uma pessoa próxima. O objetivo é geralmente fazê-lo agir depressa, sem ter tempo para verificar o endereço real.
Antes de clicar, é preciso abrandar. Uma URL duvidosa nem sempre é uma prova de fraude, mas pode bastar para justificar uma verificação adicional. Em caso de dúvida, organismos oficiais como o CNCS/CERT.PT em Portugal ou o CERT.br no Brasil recordam a importância de não seguir cegamente os links recebidos por mensagem.
O nome de domínio é o elemento central de um link. É ele que indica o site real para o qual está a ser direcionado. Num endereço como exemplo.com/servico, o domínio principal é exemplo.com, não as palavras colocadas antes ou depois.
Os fraudadores jogam frequentemente com esta confusão. Podem integrar o nome de uma marca num subdomínio, num caminho ou num endereço muito mais longo. Por exemplo, um endereço que contém uma marca conhecida não significa necessariamente que pertence a essa marca.
É, portanto, necessário identificar o domínio principal antes de confiar no link. Se o nome esperado não aparecer claramente no lugar certo, a prudência é necessária. Um banco, uma administração pública ou uma grande plataforma utiliza geralmente um domínio oficial estável e reconhecível.
Um subdomínio é a parte colocada antes do domínio principal. Em login.exemplo.com, “login” é o subdomínio e exemplo.com continua a ser o domínio real. Os fraudadores podem usar esta lógica para criar endereços que parecem oficiais.
Um endereço como banco.secure-verification.example.com pode dar a impressão de pertencer a um banco, quando o domínio real é example.com. A palavra colocada no início atrai o olhar, mas não é ela que determina o proprietário do site. Esta técnica é frequente nos links de phishing.
Para verificar, é preciso ler o endereço da direita para a esquerda até à extensão principal. Os dois elementos mais importantes são geralmente o nome imediatamente antes da extensão e a própria extensão. Se esse conjunto não corresponder ao site esperado, é melhor não clicar.
Os links fraudulentos utilizam por vezes erros muito ligeiros. Uma letra pode ser substituída, suprimida ou acrescentada. O resultado permanece visualmente próximo do nome oficial, sobretudo num ecrã de smartphone.
Estas variantes são concebidas para serem lidas depressa demais. Um “rn” pode parecer um “m”, um “0” pode substituir um “o”, e uma extensão invulgar pode passar despercebida. Este tipo de imitação procura explorar a leitura automática do cérebro.
É preciso estar particularmente atento quando a mensagem anuncia uma urgência. Quanto mais a mensagem empurra para agir depressa, mais é necessário dedicar tempo a ler lentamente o link. Uma única letra estranha pode bastar para revelar uma tentativa de usurpação.
Os encurtadores de URL podem ser utilizados legitimamente, mas escondem o destino final. Num contexto sensível, esta opacidade torna-se um problema. Um link curto recebido por SMS, mensagem ou rede social deve ser tratado com prudência.
Um link encurtado pode redirecionar para uma página fiável, mas também para uma falsa página de ligação, uma falsa entrega ou uma falsa oferta. O leitor não vê imediatamente para onde vai ser enviado. Esta falta de transparência é frequentemente utilizada em campanhas fraudulentas.
É preferível evitar links encurtados quando dizem respeito a um pagamento, uma conta, uma entrega, uma multa, um apoio financeiro ou um procedimento administrativo. Para verificar uma informação importante, é melhor abrir diretamente o site oficial a partir do seu navegador ou da aplicação habitual.
Certas palavras não provam uma fraude, mas devem chamar a atenção. Os links e mensagens fraudulentas utilizam frequentemente termos como verificação, segurança, bloqueio, reembolso, entrega, pagamento, confirmação, processo urgente ou conta suspensa. Estas palavras servem para desencadear uma reação rápida.
A armadilha assenta no medo de perder o acesso a um serviço, de pagar custos, de perder uma encomenda ou de ver uma conta bloqueada. O link torna-se então uma porta de entrada para uma falsa solução imediata. Quanto mais a promessa ou a ameaça parecer urgente, mais é preciso abrandar.
Um organismo sério não pede geralmente que se transmitam informações sensíveis sob pressão através de um link recebido de forma inesperada. Se a mensagem disser respeito a um banco, a um serviço público ou a uma plataforma importante, aceda por meios próprios. Não parta do link fornecido na mensagem.
Uma URL pode ser longa por razões técnicas, mas um endereço excessivamente complexo deve ser observado com prudência. Os fraudadores podem acrescentar muitas palavras, números, parâmetros ou fragmentos para afogar a informação importante. O objetivo é tornar a leitura difícil.
Um endereço confuso também pode conter vários nomes de marcas, palavras tranquilizadoras e sequências de caracteres incompreensíveis. Esta acumulação serve muitas vezes para criar uma impressão de tecnicidade ou legitimidade. Na realidade, impede sobretudo o utilizador de compreender para onde vai.
Se não conseguir identificar claramente o domínio principal, o destino ou o contexto do link, não clique. Um link fiável nem sempre é curto, mas deve permanecer coerente com a ação solicitada. A confusão raramente é um bom sinal quando estão em causa dados pessoais.
Um site pode tecnicamente estar acessível através de um endereço IP, mas esta não é uma apresentação normal para um serviço destinado ao grande público. Um banco, uma administração pública, uma transportadora ou uma grande plataforma normalmente não enviará um link principal sob a forma de números. Esta forma deve, portanto, desencadear uma verificação.
Os endereços compostos por números são difíceis de memorizar e de associar a uma organização identificável. Podem ser utilizados para esconder a origem real de uma página. Numa mensagem inesperada, este tipo de link é particularmente suspeito.
É melhor não utilizar esse link e procurar diretamente o serviço em causa a partir de uma fonte fiável. Em caso de dúvida, consulte os seus favoritos, a aplicação oficial ou um motor de pesquisa, verificando cuidadosamente o resultado escolhido.
Os links fraudulentos não assentam apenas no medo. Utilizam também a promessa de um reembolso, de um presente, de uma indemnização, de um vale de compra, de uma entrega gratuita ou de um acesso prioritário. O link torna-se então a passagem obrigatória para uma vantagem apresentada como simples e rápida.
Este tipo de mensagem procura reduzir a sua vigilância. Se o benefício parecer importante para uma ação mínima, é preciso verificar a origem. Os fraudadores sabem que a curiosidade e a atração pelo ganho podem funcionar tão bem como a urgência.
Uma vantagem real pode existir, mas deve poder ser confirmada a partir do site oficial do organismo ou da empresa. Se a oferta não aparecer em mais nenhum lugar além da mensagem recebida, o risco aumenta fortemente.
Um link torna-se muito mais sensível quando leva a uma página de ligação, a um formulário de identidade, a um pedido de cartão bancário ou a um pagamento. Mesmo que o endereço pareça credível, a ação solicitada deve ser coerente. Uma simples verificação não deveria exigir sempre informações sensíveis.
As fraudes mais eficazes imitam as interfaces habituais. Uma página falsa pode reproduzir cores, formulários e uma apresentação próximos de um serviço conhecido. O perigo não está, portanto, apenas na aparência, mas na combinação entre o link, o contexto e o pedido.
Antes de introduzir uma palavra-passe, um código recebido por SMS, um número de cartão ou um documento de identidade, saia do link. Aceda ao serviço a partir do seu navegador, da aplicação oficial ou dos seus favoritos. É muitas vezes a forma mais simples de contornar um redirecionamento fraudulento.
Um link deve ser sempre lido com o seu contexto. Se receber uma mensagem sobre uma encomenda quando não espera nada, sobre um reembolso que não pediu ou sobre uma conta que não possui, o link torna-se suspeito. A incoerência é um sinal tão importante como o próprio endereço.
As campanhas fraudulentas são frequentemente enviadas em massa. Apostam no facto de uma parte dos destinatários se sentir envolvida. Mesmo uma mensagem que parece personalizada pode ser gerada automaticamente a partir de informações públicas ou já comprometidas.
É preciso, portanto, fazer uma pergunta simples: por que motivo estou a receber este link agora? Se a resposta não for clara, não clique. Procure uma confirmação por outro canal, sobretudo se a mensagem envolver dinheiro, uma conta, uma identidade ou uma urgência.
Se um link lhe parecer duvidoso, a primeira regra é não clicar. Se já abriu a página mas não introduziu nada, feche-a simplesmente e evite qualquer interação. Se transmitiu informações, a situação torna-se mais urgente e é preciso agir de acordo com o tipo de dados comunicados.
Também pode denunciar certas mensagens ou links suspeitos às plataformas oficiais adequadas. Em Portugal, o CNCS/CERT.PT permite reportar incidentes, e o Livro de Reclamações Eletrónico pode orientar os consumidores em caso de problema com um profissional. No Brasil, o CERT.br disponibiliza recursos sobre phishing, o Comunica PF pode ser usado nos casos de competência da Polícia Federal, e o Consumidor.gov.br permite tratar problemas de consumo com empresas participantes.
Um link suspeito nem sempre se deteta graças a um único indício. É muitas vezes a associação de vários sinais que deve alertar: domínio estranho, urgência, promessa excessiva, endereço demasiado longo, subdomínio enganador ou pedido de dados sensíveis. O método correto consiste em abrandar, ler o endereço real e verificar por um canal independente.
Para reforçar os seus reflexos, pode consultar o nosso guia sobre os bons reflexos para evitar as fraudes comuns. Se já clicou ou transmitiu informações, utilize antes a nossa ferramenta de orientação para reagir depois de uma fraude. E para treinar-se a reconhecer as armadilhas antes que o atinjam, o teste interativo de vigilância antifraude pode ajudá-lo a adotar os automatismos certos.
