São oito da noite, o telemóvel toca e no ecrã aparece o nome do teu banco. Do outro lado, uma voz serena e profissional: "Estamos a ligar do departamento de segurança, detetámos uma transferência de 1.800 euros a sair da sua conta neste momento. Foi o senhor?" O coração dispara, e é exatamente esse o objetivo. A partir daqui, tudo o que te disserem serve para te fazer mover dinheiro ou entregar códigos.

Como o esquema se desenrola

O guião é cuidado e quase sempre o mesmo. Primeiro, a falsa autoridade: a chamada parece vir do número oficial do banco e o "funcionário" sabe o teu nome, às vezes até os últimos dígitos do cartão. Depois, o medo: há uma fraude em curso, alguém entrou na tua conta, é urgente. Por fim, a solução envenenada: para "proteger" o dinheiro, tens de o transferir para uma "conta segura" criada em teu nome, ou de confirmar os códigos que vão chegar por SMS.

Nada disto é como um banco trabalha. Não existe nenhuma "conta segura" para onde mudes fundos a pedido de um telefonema. Os códigos que chegam por SMS não confirmam que és tu a falar -- autorizam operações que te tiram dinheiro. E a pressão para decidires nos próximos minutos não é zelo: é a tática central da burla, porque uma pessoa apressada não verifica nem desliga.

Há sinais que se repetem em quase todas estas chamadas:

  • Insistem que não desligues nem fales com mais ninguém, "por segurança".
  • Pedem para moveres dinheiro para uma conta nova ou para confirmares uma transferência que tu não fizeste.
  • Querem que leias códigos recebidos por SMS ou que instales uma app de "acesso remoto" para te "ajudarem".
  • Sabem alguns dados teus -- e usam-nos para parecer credíveis, não porque sejam mesmo do banco.

O número no ecrã não prova nada

A peça que torna esta burla tão convincente é o spoofing: a falsificação do número de origem, que faz aparecer no teu ecrã o número ou o nome reais do banco. É barato de fazer e funciona porque todos confiamos no identificador de chamadas. Mas esse identificador pode ser manipulado, e por isso nunca deve, por si só, dar-te confiança. Como isto é feito está explicado no artigo sobre spoofing do número de telefone.

A regra prática é simples e salva contas inteiras: o número que aparece no ecrã, mesmo que seja o do teu banco, nunca prova quem está do outro lado. Trata toda a chamada não solicitada como não verificada até seres tu a confirmar por um canal que escolheste.

Como o teu banco trabalha mesmo

Conhecer o comportamento real do banco é a melhor vacina, porque torna o guião do burlão imediatamente estranho. Um banco verdadeiro:

  • Nunca te pede para transferires dinheiro para uma "conta segura". Esse conceito não existe.
  • Nunca te pede códigos de confirmação, PIN ou password ao telefone -- são teus e só teus.
  • Nunca te pressiona a decidir em segundos nem te proíbe de desligar e voltar a ligar.
  • Não te pede para instalares apps de acesso remoto para "resolver" um problema.

Se há mesmo uma operação suspeita, o banco bloqueia-a ou pede-te confirmação pelos canais oficiais, a app e o homebanking, onde tu próprio vês e decides. O portal Cliente Bancário do Banco de Portugal reforça este ponto: as instituições nunca solicitam credenciais nem códigos de segurança por telefone, SMS ou email.

O que fazer quando recebes a chamada

No momento, com o coração acelerado, basta seguir uma sequência curta.

  1. Desliga. Não tens de ser educado com quem te mete pressão. Desligar não tem custo nenhum.
  2. Não partilhes nada. Nem códigos, nem PIN, nem password, nem confirmações de transferências.
  3. Liga tu para o número impresso no cartão ou no site oficial do banco -- nunca para o número que ligou nem para o que te derem.
  4. Confirma na app se existe mesmo alguma operação suspeita. Quase sempre não existe.
  5. Denuncia ao Gabinete de Cibercrime, sobretudo se chegaste a partilhar algum dado.

O elo mais frágil de toda a burla é exatamente este: ela só funciona enquanto não desligares. No instante em que cortas a chamada e ligas tu pelo número oficial, o castelo todo cai.

Já partilhei códigos ou movi dinheiro

Se chegaste a confirmar um código ou a fazer uma transferência, age sem demora. Liga imediatamente ao banco para travar e reverter operações, muda as tuas credenciais a partir de um dispositivo de confiança e guarda tudo o que tens da chamada e das mensagens. A razão para nunca dares esses códigos, mesmo a quem diz ser do banco, está detalhada no artigo sobre o código de confirmação por SMS. Para o procedimento completo a seguir, incluindo queixa e contacto com o banco, vê o que fazer depois de dar dados a um burlão.

FAQ

A chamada apareceu mesmo com o número do meu banco. Não devia confiar?

Não. O número de origem pode ser falsificado por spoofing, e mostrar o número real do banco é precisamente o que torna a burla credível. O identificador de chamadas nunca prova quem está do outro lado.

Existe alguma "conta segura" para onde mover o dinheiro em caso de fraude?

Não existe. É uma invenção da burla. Se houver um problema real, o banco bloqueia a operação ou pede confirmação pelos canais oficiais -- nunca te manda transferir para outra conta.

O funcionário sabia o meu nome e parte do cartão. Como?

Esses dados podem ter vindo de fugas anteriores ou de outras burlas e são usados só para parecer credível. Saber alguns dados teus não prova que a pessoa é do banco.

Pediram-me para instalar uma app para "resolverem" o problema. É seguro?

Não. Apps de acesso remoto dão ao burlão controlo do teu telemóvel ou computador, incluindo o homebanking. Nenhum banco te pede isto numa chamada. Recusa e desliga.

Em resumo

A burla do falso funcionário de segurança junta três ingredientes: um número falsificado que parece o do banco, o medo de uma fraude inventada e a pressão para agires já. Contra os três há uma só resposta -- desliga, não partilhes nada e liga tu para o número oficial. O banco nunca te pede para mover dinheiro nem para ler códigos ao telefone.