Banco obrigado a repor saldo de cliente que foi burlada ao telefone
As burlas informáticas são cada vez mais frequentes no nosso país. As histórias de quem foi enganado multiplicam-se e só com mais literacia digital talvez se consiga evitar algumas situações. Uma das burlas mais frequentes é o vishing, onde os burlões ligam à vítima. Em Portugal um banco foi obrigado a repor o saldo de uma cliente que foi burlada ao telefone.
Banco tem de devolver cerca de 40 mil euros à vítima...
A técnica de phishing continua a ser uma as mais usadas para fazer vítimas na área da cibersegurança. Mas dentro do phishing há várias variantes, como é o caso do smishing e do vishing. O CERT.PT tem vindo a alertar para as campanhas de vishing que estão a acontecer em Portugal.
De acordo com o JN, a Caixa de Crédito Agrícola do Guadiana Interior vai ter de pagar 44 mil euros a uma cliente enganada, ao telefone, por uma burlona. Esta apresentou-se como funcionária do banco e, mostrando conhecer o saldo e outros dados da cliente, convenceu-a a passar-lhe códigos pessoais, a pretexto de a salvar de um... crime.
No telefonema, a vítima foi informada que estava na iminência de perder quase 40 mil euros que tinha na sua conta. A interlocutora (burlona), ligou no sentido de evitar a transferência desse dinheiro, tendo a vítima passado os seus códigos por SMS. Após alguns minutos ficou com a conta a zeros.
Segundo o tribunal, houve uma falha do banco que permitiu que alguém se fizesse passar por funcionária, expondo assim a falta de mecanismos de segurança eficazes no seu sistema de "homebanking". Revela o jornal que o banco também não conseguiu provar que a cliente tinha dado consentimento explícito para a execução da transferência em questão.
O tribunal ordenou que o banco deveria "reembolsar imediatamente" a vítima. Os juízes referiram ainda que se a Caixa de Crédito Agrícola do Guadiana oferece um serviço de “homebanking”, então é da sua responsabilidade implementar sistemas de segurança que impeçam terceiros de acederem aos dados pessoais dos clientes.
Este artigo tem mais de um ano
Já aqui alertei algum tempo atrás da alteração que o Credito Agrícola fez a nivel de segurança na nova aplicação!
Basicamente agora para realizar qualquer operação apenas preciso de saber o PIN de autenticação da aplicação.
A cliente que se diz burlada é que deu o golpe …pediu a alguém que lhe telefonasse e a seguir essa pessoa transferiu o dinheiro . Depois foi a tribunal pedir de volta o dinheiro e duplicou o saldo . Grande golpe
Não deixes de fumar dessas coisas que fazem rir não…
Urtencio, não digas disparates e vai dormir.
Banco permitiu que alguém se fizesse passar por funcionária… Eu amanhã ligo para alguém e digo que sou o papa, lá tem o papa que pagar uma indeminização por ter permitido que me fizesse passar pelo papa. Mais, quando ligaram para a senhora os larápios já tinham as credenciais da mesma, e sabiam dados (nome, NIF, etc). Só precisavam de um código, código esse que nunca se fornece. E certamente no SMS dizia que era para confirmar uma transferência. Eu acho é que deveria existir uma prova de acesso a homebanking, quem reprovasse não tinha acesso. É que há pessoas que não têm noções mínimas.
Só que o homebanking continua a ser largamente compensatório para os bancos, imaginem o numero de postos de trabalho que foram suprimidos por causa do homebanking.
Esta “estória” está uma “beca” mal contada…
A grande questão: “Esta apresentou-se como funcionária do banco e, mostrando conhecer o saldo e outros dados da cliente”, como é que conseguiu isso?!
Será (ainda) possível fazer o rastreio do contacto telefónico envolvido…?
Sim, não está muito claro, mas no último parágrafo o que se depreende é que havia uma falha de segurança no acesso ao homebanking de forma a que um terceiro tivesse acesso aos dados da cliente (incuindo o saldo)
Nada disso. A burlada inseriu as credenciais numa página de phishing, e deu aos vigaristas o acesso à conta. Um vez lá dentro conseguem ver nome, morada, NIF, telefone. Depois foi só ligar e convencer ser do banco e pedir o SMS de confirmação de transferência.
Normalmente estas operações são feitas em 2 momentos:
Primeira chamada, já com o nome da pessoa, obtido de redes sociais ou sites hackeados (atenção quando vão fazer queixas para serviços online, ao darem os vossos dados estão a fornecer balas aos hackers e não só). Nas perguntas pedem que a pessoa aceda à conta e confirme o saldo. A pessoa diz o valor. Dão como desculpa que o banco viu acessos indevidos e quer confirmar se a pessoa deu acesso a alguém.
Pouco depois, nova chamada, a dizer que confirmam que estão a tentar roubar dinheiro da conta e que devem usar a app, usando um novo código. Claro que dá erro. Aproveitando o medo, pedem à pessoa que confirme o código. Já podem duplicar o acesso (foi por isto que o CA foi condenado, existiam 2 apps a aceder à mesma conta de sítios distintos). Depois de deixarem a pessoa à espera, surge uma sms, que a pessoa ao telefone diz ser engano e pede que apaguem, que vão enviar outra para validar o cancelamento do roubo. E a pessoa dá os validadores, sem ler.
Infelizmente a banca ganha milhões de milhões, com a passagem para digital, só que 90% da população são alvos fáceis para estas burlas.
Não consigo perceber muito bem é como é que alguém fornece códigos de acesso a um terceiro, ainda por cima via telefone.
Na sms diz para não dar os códigos a ninguém e indica tb o destino da operação, neste caso seria uma transferência.
Se não sabe ler, não use homebanking.
Outra coisa que tb não percebo é porque razão as autoridades não vão atrás do dono da conta que recebe a transferência…
Ah já sei, só fazem isso se for Ministra ou Juíz…
Os esquemas estão cada vez mais bem montados.
Já recebi um email com informação acerca de tentativa de entrar na conta, e para ligar para um número para ativar a autenticação de 2 fatores.
Este email, bem que até poderia ser fidedigno, pois os bancos podem enviar emails deste género.
Acontece que esse número não é o que está nos contactos no site, por isso, levou a que tenha suspeitado.
Para dar credibilidade, esse número tinha um atendedor muito parecido ao original, incluindo o tom de voz.
Se escolhessemos algumas opções, até dizia para ir ao site verdadeiro, e depois quando me atenderam, devem ter desconfiado que os estava a testar, e até me deram o número verdadeiro, pois disseram que não conseguiam passar a chamada.
Assim, até os mais atentos podem cair.
Nunca digas que estás livre
MR, nunca trato de assuntos bancários ( abertura contas, transferências, etc) por via telefónica ou email.
Ou faço por mim mesmo na APP ou desloco me ao balcão.
Motivo simples, eu não vejo quem está do outro lado e se é quem diz ser.
Desconfio de tudo e de todos.
Em sede de recurso, o banco é ilibado.
Já houve recurso.
Realmente está mal explicado.
Foi a aplicação do banco que a mulher autorizou?
Foi o MBWay que autorizou a associar ao smartphone da outra pessoa?
Obtiveram os dados do cartão de débito/ crédito e a pessoa recebeu um sms para autorizar uma operação feita online para transferir o dinheiro todo para algum lado?
É que nem as aplicações do banco nem o MBWay parecem ter a forma mais segura possível de associar-se à conta bancária da pessoa. E autorizar a transferência de dinheiro usando os dados do cartão de débito/ crédito também é sempre uma possibilidade se o banco enviar um sms com algum código a ser introduzido algures.
Neste caso a alegada pessoa nem se apoderou do número de telefone, mas isso é uma possibilidade bem real, pelo que utilizar números de telefone (telefonema/ sms) para fins de autenticação deveria ser ilegal.
Tudo o que se sabe sem ler o acórdão do Tribunal da Relação de Évora (será de 23/09/2023, mas não o encontrei):
https://zap.aeiou.pt/banco-condenado-repor-dinheiro-burlada-561146
É muito simples – a burlona, fazendo-se passar por funcionária do banco, entrou em contacto telefónico com a titular da conta (uma idosa) e convenceu-a a enviar os códigos da conta por SMS. Só isto.
O tribunal de primeira instância e o Tribunal de Relação de Évora consideraram que o houve falha de mecanismos eficazes do banco no seu sistema de “homebanking”.
Dada a simplicidade e limpeza da burla sou levado a concordar. O banco tem que prevenir que isto possa acontecer – por exemplo , digo eu, o titular da conta receber no seu telemóvel uma mensagem do banco para confirmar ao banco que ordenou a transferência. Este foi o aspeto principal – o banco não conseguiu provar que a titular da conta autorizou a transferência.
Ao que parece, outros bancos vão ter que por as barbas de molho e não se fiar apenas de que o titular da conta não é burlado e fornece os códigos da conta.
Com WebAuthn e Chaves de segurança física FIDO2 estes ataques remotos passavam à história, desde que as pessoas não instalem aplicações malignas e leiam as mensagens de segurança relativamente à operação em si que é exibida pelo sistema operativo.
O banco pode personalizar as mensagens para indicar o que a pessoa está realmente a autorizar cada vez que utiliza a chave de segurança, e a pessoa prova ao banco que leu e autorizou a operação já que assina a mensagem que lhe foi enviada com a chave de segurança FIDO2.
Um atacante não pode falsificar a mensagem exibida nem escondê-la, se o sistema operativo não tiver uma vulnerabilidade de segurança, pelo que a pessoa aí tem a oportunidade de ver o que está realmente a autorizar.
Outra vantagem é que a pessoa tem de estar na posse física da chave de segurança, não pode simplesmente autorizar a operação de alguém que está ao telefone com ela, a não ser que a própria pessoa faça as acções todas no seu dispositivo incluindo a dita transferência bancária… mas aí o banco pode eximir-se de responsabilidades.
Idealmente o banco deveria dizer que não contacta os seus clientes e ponto final (seja telefonema, sms, e-mail, rede social, etc). Poderia parar operações e informar o que está a acontecer via web site, aplicação do próprio banco, e/ ou aplicação de mensagens seguras (ex.: Threema).
Assim quando alguém alegar que recebeu um telefonema, sms, email, mensagem na rede social, carta, etc. para fazer algo o banco dizia logo que não contacta os clientes, e que informou os clientes disso, só no web site, aplicação do próprio banco, e ou na dita aplicação de mensagens seguras (autenticada e cifrada ponto-a-ponto).
O que o meu banco faz é enviar-me um código por SMS para introduzir na página online para autorizar a transferência. Mas se a burlona conseguiu que lhe enviassem as credenciais de acesso à conta, depois de preencher os dados para a transferência, também era capaz de convencer a idosa: “Agora vai receber um código no telemóvel, diga-me qual é”. E estava feita a burla na mesma.
A questão é que maior facilidade de utilização cria maior insegurança. Mas se o processo for muito complicado as pessoas nem percebem o que estão a fazer e fazem à mesma o que lhes dizem.
Existem muitos “se” nesta mensagem.
Já vi uma notícia que o burlado até foi com o cartão ao multibanco.
Disseram-lhe que tinha de inserir um código para receber o dinheiro que a EDP tinha sido cobrado por estimativa, quando na realidade estava a colocar uma entidade, referencia e valor.
Nisto a imaginação tende para o infinito…
É melhor não falarmos da falta de segurança do MBWAY, a falta de segurança é equivalente à sua versatilidade na movimentação de dinheiro e pagamentos!
Admira-me que uma pessoa que dá códigos pessoais e privados de acesso a contas a uma pessoa que lhe liga sem saber de facto quem é não seja culpada!
Agora se o tribunal alega que o banco não seleciona corretamente os usuários do seu homebanking, pondo nas suas mãos destes instrumentos perigosos, indiscriminadamente, não tendo estes capacidades mentais de discernimento e vivendo eternamente na ingenuidade, isso é outra coisa…!
No meu banco, ActivoBank, sempre que faço uma transferência aparece sempre um SMS bem explícito a perguntar se autorizo a transferência de valor X para a conta X e depois diz o código para aceitar a operação.
Ou seja, mesmo que esteja a ser burlado, a SMS informa me do que vai acontecer e lógico já não sigo para o passo seguinte.
Se há SMS assim nos outros bancos, isso não sei, mas no activo é assim.
Há. Mas como digo acima, neste caso, se a burlona conseguiu que a idosa lhe enviasse as credenciais de acesso à conta, depois de usar essas credenciais para preencher os dados para a transferência, também era capaz de a convencer: “Agora vai receber um código no telemóvel, diga-me qual é”.
O banco fica é salvaguardado, o que não aconteceu neste caso, em que bastaram as credenciais da conta – pode “comprovar” que o titular da conta autorizou a transferência.
Isto é muito complicado, e nem o mais “pintado” pode dizer que não é burlado. Os que têm muito confiança de que “A mim ninguém me engana!” são os primeiros a cair. Os desconfiados, que não se acham muito inteligentes, sobrevivem (O “seguro” morreu de velho e o “desconfiado” ainda vive).
Aves, essa lengalenga serve para justificar actos de pessoas que não sabem o que estão a fazer ou então não sabem ler.
Se a burlona enrolou a senhora e depois aparece uma SMS a dizer assim ” transferência de 50 000 euros para a conta 123446789.
Aceita?.Código 123456″
Se depois disto ainda aceita, mais vale ir ter com a burlona pessoalmente e dar lhe o dinheiro em mãos…
O banco não pode ser responsabilizado pela ingenuidade dos utilizadores.
Mas pode haver por aqui detalhes que não sabemos e que podem alterar isto tudo.
Só falo pelo que sei.
Se aparece um SMS a dizer se aceita transferir 50000 euros para a conta X e alguém mesmo assim aceita, não sei bem o que se pode fazer para parar estas burlas porque a burrice é infinita.
Há truques elaborados em que qualquer um pode cair mas agora este, ainda por cima com mensagem a avisar, isto é dinheiro dado.
Então a burlona está ao telefone com a idosa diz-lhe: “Dª Rosa, vai aparecer um código no seu telemóvel, diga-me qual é”. A Dª Rosa não lê mais nada da mensagem, diz o código.
E nem é preciso ser velho – no caso da burla do MB Way, a vendedores pela internet, convenciam-no a ir a uma caixa multibanco para associar o número de telefone do burlão à sua conta MB Way e a vítima fazia, apesar dos avisos que da máquina para não associar números de telefone de desconhecidos (e com isto o burlão ganhava o acesso à conta).
Desde que o burlão ganhe a confiança da vítima e esta não desconfie está feita.
Sobre a burla MB Way e como se processa, avisa a CGD.
https://www.cgd.pt/Site/Saldo-Positivo/protecao/Pages/Fuja-das-burlas.aspx
Só não consigo perceber o seguinte, após estes casos, porque não vão as autoridades atrás do detentor da conta que recebeu o dinheiro e perguntar como obteve aquele montante?
Sei lá, será difícil o banco revelar o nome e morada da pessoa?
Mistério…
Já sei, não se pode dizer porque aquilo da privacidade dos dados e não sei o quê mais.
Isso só deixa de ser válido se o burlado for ministro ou juiz…
A conta para o dinheiro foi transferido há de ser um IBAN num paraíso fiscal que não colabore com as autoridades (já são poucos mas ainda há). O dinheiro já foi levantado ou serviu para pagar uma coisa qualquer que o vendedor nem quer saber quem é o comprador. Foi-se, digo eu.
Aves, boa parte desses casos não são transferidas para offshore,mas sim para contas nacionais.
Aqui há uns tempos houve um problema no banco CTT e as transferências fraudulentas eram para um IBAN desse banco.
Portanto, não é bem como diz.
Isso foi no fim do ano passado. Os burlões criaram páginas falsas na internet com um endereço parecido com o do banco – e pagaram à Google para aparecer em primeiro lugar quando se fizesse a pesquisa pelo nome do banco.
As pessoas acediam às páginas falsas e introduziam as suas credenciais da conta do banco. Do que li agora o banco não se responsabilizava por as pessoas acederem a páginas falsas na internet e os lesados não tinham recuperado o dinheiro.
É ir à base de dado e fazer um Update com SET balance = balance + 40000. Não percebo qual é a dificuldade.