São oito da noite, o telemóvel toca e no ecrã aparece o nome do teu banco. Do outro lado, uma voz serena e profissional: "Estamos a ligar do departamento de segurança, detetámos uma transferência de 1.800 euros a sair da sua conta neste momento. Foi o senhor?" O coração dispara, e é exatamente esse o objetivo. A partir daqui, tudo o que te disserem serve para te fazer mover dinheiro ou entregar códigos.
Como o esquema se desenrola
O guião é cuidado e quase sempre o mesmo. Primeiro, a falsa autoridade: a chamada parece vir do número oficial do banco e o "funcionário" sabe o teu nome, às vezes até os últimos dígitos do cartão. Depois, o medo: há uma fraude em curso, alguém entrou na tua conta, é urgente. Por fim, a solução envenenada: para "proteger" o dinheiro, tens de o transferir para uma "conta segura" criada em teu nome, ou de confirmar os códigos que vão chegar por SMS.
Nada disto é como um banco trabalha. Não existe nenhuma "conta segura" para onde mudes fundos a pedido de um telefonema. Os códigos que chegam por SMS não confirmam que és tu a falar -- autorizam operações que te tiram dinheiro. E a pressão para decidires nos próximos minutos não é zelo: é a tática central da burla, porque uma pessoa apressada não verifica nem desliga.
Há sinais que se repetem em quase todas estas chamadas:
- Insistem que não desligues nem fales com mais ninguém, "por segurança".
- Pedem para moveres dinheiro para uma conta nova ou para confirmares uma transferência que tu não fizeste.
- Querem que leias códigos recebidos por SMS ou que instales uma app de "acesso remoto" para te "ajudarem".
- Sabem alguns dados teus -- e usam-nos para parecer credíveis, não porque sejam mesmo do banco.
O número no ecrã não prova nada
A peça que torna esta burla tão convincente é o spoofing: a falsificação do número de origem, que faz aparecer no teu ecrã o número ou o nome reais do banco. É barato de fazer e funciona porque todos confiamos no identificador de chamadas. Mas esse identificador pode ser manipulado, e por isso nunca deve, por si só, dar-te confiança. Como isto é feito está explicado no artigo sobre spoofing do número de telefone.
A regra prática é simples e salva contas inteiras: o número que aparece no ecrã, mesmo que seja o do teu banco, nunca prova quem está do outro lado. Trata toda a chamada não solicitada como não verificada até seres tu a confirmar por um canal que escolheste.
Como o teu banco trabalha mesmo
Conhecer o comportamento real do banco é a melhor vacina, porque torna o guião do burlão imediatamente estranho. Um banco verdadeiro:
- Nunca te pede para transferires dinheiro para uma "conta segura". Esse conceito não existe.
- Nunca te pede códigos de confirmação, PIN ou password ao telefone -- são teus e só teus.
- Nunca te pressiona a decidir em segundos nem te proíbe de desligar e voltar a ligar.
- Não te pede para instalares apps de acesso remoto para "resolver" um problema.
Se há mesmo uma operação suspeita, o banco bloqueia-a ou pede-te confirmação pelos canais oficiais, a app e o homebanking, onde tu próprio vês e decides. O portal Cliente Bancário do Banco de Portugal reforça este ponto: as instituições nunca solicitam credenciais nem códigos de segurança por telefone, SMS ou email.
O que fazer quando recebes a chamada
No momento, com o coração acelerado, basta seguir uma sequência curta.
- Desliga. Não tens de ser educado com quem te mete pressão. Desligar não tem custo nenhum.
- Não partilhes nada. Nem códigos, nem PIN, nem password, nem confirmações de transferências.
- Liga tu para o número impresso no cartão ou no site oficial do banco -- nunca para o número que ligou nem para o que te derem.
- Confirma na app se existe mesmo alguma operação suspeita. Quase sempre não existe.
- Denuncia ao Gabinete de Cibercrime, sobretudo se chegaste a partilhar algum dado.
O elo mais frágil de toda a burla é exatamente este: ela só funciona enquanto não desligares. No instante em que cortas a chamada e ligas tu pelo número oficial, o castelo todo cai.
Já partilhei códigos ou movi dinheiro
Se chegaste a confirmar um código ou a fazer uma transferência, age sem demora. Liga imediatamente ao banco para travar e reverter operações, muda as tuas credenciais a partir de um dispositivo de confiança e guarda tudo o que tens da chamada e das mensagens. A razão para nunca dares esses códigos, mesmo a quem diz ser do banco, está detalhada no artigo sobre o código de confirmação por SMS. Para o procedimento completo a seguir, incluindo queixa e contacto com o banco, vê o que fazer depois de dar dados a um burlão.
FAQ
A chamada apareceu mesmo com o número do meu banco. Não devia confiar?
Não. O número de origem pode ser falsificado por spoofing, e mostrar o número real do banco é precisamente o que torna a burla credível. O identificador de chamadas nunca prova quem está do outro lado.
Existe alguma "conta segura" para onde mover o dinheiro em caso de fraude?
Não existe. É uma invenção da burla. Se houver um problema real, o banco bloqueia a operação ou pede confirmação pelos canais oficiais -- nunca te manda transferir para outra conta.
O funcionário sabia o meu nome e parte do cartão. Como?
Esses dados podem ter vindo de fugas anteriores ou de outras burlas e são usados só para parecer credível. Saber alguns dados teus não prova que a pessoa é do banco.
Pediram-me para instalar uma app para "resolverem" o problema. É seguro?
Não. Apps de acesso remoto dão ao burlão controlo do teu telemóvel ou computador, incluindo o homebanking. Nenhum banco te pede isto numa chamada. Recusa e desliga.
Em resumo
A burla do falso funcionário de segurança junta três ingredientes: um número falsificado que parece o do banco, o medo de uma fraude inventada e a pressão para agires já. Contra os três há uma só resposta -- desliga, não partilhes nada e liga tu para o número oficial. O banco nunca te pede para mover dinheiro nem para ler códigos ao telefone.