GNR regista cerca de 300 burlas e mais de 670 burlas informáticas no primeiro trimestre

Registos da GNR no primeiro trimestre

A GNR contabilizou, no primeiro trimestre do ano, perto de 300 burlas em que os autores se apresentaram como funcionários de várias entidades ou como agentes de autoridade. No mesmo período, foram ainda sinalizadas mais de 670 burlas informáticas com obtenção ilegítima de dados, tendo sido detidas duas pessoas.

Num comunicado, a Guarda refere que, nas mais de 670 ocorrências de burla informática, os suspeitos conseguiram aceder a informações das vítimas de forma ilícita.

Burlas por falso funcionário: bancos, autoridades e serviços essenciais

De acordo com a GNR, nas chamadas “burlas por falso funcionário” houve 44 situações em que os burlões se fizeram passar por colaboradores de entidades bancárias, tendo logrado enganar as vítimas em 75% dos casos. Em 36 situações, apresentaram-se como agentes das autoridades (GNR/PSP e Polícia Judiciária), com sucesso em 86% dos episódios.

Nos primeiros três meses do ano, foram igualmente registados 16 casos em que os contactos fraudulentos diziam respeito a supostos funcionários de serviços de energia e 20 em que os autores alegavam pertencer a serviços de saúde ou à Segurança Social.

Como funcionam a engenharia social e o “spoofing”

A GNR chama a atenção, no mesmo comunicado, para a “profissionalização crescente” destes criminosos, que combinam mecanismos de manipulação psicológica com uma técnica (“spoofing”) que falsifica a origem da comunicação para a fazer passar por uma fonte legítima e confiável.

A Guarda explica que, na burla por manipulação técnica, o burlão pode, por exemplo, levar a que no ecrã do telemóvel da vítima surja um nome ou um número que aparenta pertencer a uma instituição oficial.

A GNR indica que tem acompanhado com preocupação a evolução das burlas informáticas e nas comunicações e sublinha que a digitalização trouxe vantagens inegáveis, mas abriu também espaço a criminosos “altamente especializados”, capazes de explorar a manipulação das pessoas para as levar a comprometer a própria segurança.

Ao contrário de ataques informáticos mais tradicionais, que procuram explorar falhas de “software”, esta forma de manipulação (engenharia social) centra-se nas fragilidades do utilizador. Segundo a GNR, os burlões recorrem a narrativas estruturadas para induzir erros de segurança, assentes sobretudo em seis fatores de motivação: urgência, escassez - promovendo oportunidades limitadas no tempo -, falsos testemunhos, simpatia e interesse comum, intimidação e o fator autoridade.

No comunicado, a GNR descreve diferentes tipologias de “spoofing”, esclarecendo que podem incluir a manipulação do identificador de chamadas ou do remetente de mensagens curtas (Caller ID / SMS Spoofing), a falsificação do endereço de email para que pareça pertencer a um domínio oficial (ex: bancos ou serviços públicos) ou a adulteração do ID de um computador para contornar mecanismos de segurança.

A Guarda nota ainda que, num mesmo ataque, a vítima pode ser visada por “phishing” e por “spoofing”, conceitos diferentes: o primeiro usa a manipulação para levar o destinatário a executar uma ação pretendida pelo autor, como clicar num “link” ou abrir um anexo com vírus; o segundo é a técnica que torna ataques (como o “phishing”) mais credíveis e, por isso, mais eficazes.

Evolução recente e recomendações de segurança da GNR

No ano passado, a GNR registou 1.092 casos de burla em que a vítima acreditou estar a interagir com um funcionário bancário, de outras entidades ou até com um agente de autoridade (974 casos em 2024). Foram também contabilizados 2.528 casos de burlas informáticas com obtenção ilegítima de dados do utilizador (2.652 casos em 2024).

A GNR alerta para a importância de adotar comportamentos de segurança, nomeadamente confirmar a autenticidade dos contactos e não partilhar dados pessoais ou bancários sem validação prévia.

Recorda que nenhuma entidade oficial ou bancária pede, por telefone ou SMS, códigos de segurança, palavras-passe ou transferências imediatas, apelando a que nunca sejam fornecidos dados pessoais, bancários ou códigos de segurança, mesmo quando o contacto parece vir de um banco, de uma empresa conhecida ou de uma entidade pública.

A Guarda pede também que se mantenha desconfiança sempre que a abordagem tenha um tom urgente ou ameaçador, que nunca se clique em “links” recebidos por SMS ou email, que não se devolvam chamadas para números desconhecidos e que se bloqueiem e apaguem mensagens ou chamadas suspeitas.