PplWare Mobile

Montepio vai ter de devolver dinheiro a clientes burlados online


Autor: Pedro Pinto


  1. soldier says:

    Numa geração em que grande parte do dinheiro é digital,todo o cuidado é pouco,cada vez há mais maneiras de ser burlado,como nos recentes casos do OLX e custo justo.Ainda bem que os clientes vão ser reembolsados,essa quantia não é brincadeira, são as poupanças equivalentes a muitos anos de trabalho. Os bancos como sempre,não querem assumir qualquer responsabilidade,daqui a pouco voltamos a guardar o dinheiro debaixo do colchão.

    • Tiago C says:

      Sabe que existem GRANDES diferenças entre o que é um ataque de Phishing e uma burla nos sites OLX e CustoJusto como refere?
      A primeira e maior diferença, é que numa das opções só cai quem quer e não tiver o devido cuidado, na outra não temos o devido controlo das operações.

  2. Bob says:

    No caso de um ataque de phishing, que são aos milhares por dia, a culpa será do atacante…
    A vitima, deixou-se cair no esquema e revelou dados cruciais para um acesso completo a uma conta bancária, dando carta branca ao atacante para movimentar o que fosse possível.
    O banco, apenas deixou aceder à conta quem tinha credenciais para tal.

    Se este Acórdão for o final, então pensem só no que alguns espertos podem fazer…. em “serem vitimas de phishing”, e um pirata qualquer movimentar dinheiro das contas.
    De depois, o banco tem de devolver o mesmo montante, mais extras!

    É um terreno muito complicado….
    Mas a culpa está no atacante, e não no prestador de serviços. Excepto se o ataque fosse directo ao Banco, e este sim, tivesse falhado para com o cliente, em manter os montantes em depósito a salvo.

    • balonposte says:

      A culpa será sempre dos bancos que não protegem nem informam devidamente os seus clientes! Quem é que no seu perfeito juízo se punha a inventar roubos pra sacar algum ao banco? E como é que provava isso?

    • Nuno Miguel Soares Santos says:

      Sou cliente da CGD e uma vez fiz uma transferencia online dum valor maior do que normalmente faço e eles automaticamente meteram a transferencia em espera e ligaram para confirmar se era eu ou não, portanto se o montepio deixou movimentar 30.000€ da conta dum cliente sem o avisar obviamente que têm culpa do sucedido….

      • Bob says:

        A culpa do cliente dar os dados a ladrões, por um ataque via pishing, não é do Banco.
        Quem comete o crime é o ladrão, com a ajuda do cliente. É o exemplo mais básico de um ataque de phishing.
        Isto é um caso de fraude, pois o ladrão ao usar as credenciais de acesso, para todos os efeitos, é apenas mais um cliente a usar os serviços do Banco.

        Já era cliente Montepio antes de terem o acesso online. Tenho desde o inicio, e nunca sofri qualquer tipo de ataque. Não é por não tentarem, mas porque sou cauteloso com este tipo de acesso sensível. Tenho 3 camadas de segurança na conta, por isso será preciso um ataque muito diferente para conseguirem movimentar dinheiro para fora das minhas contas.

        Podiam sim, pensar em aderir ao tipo de fundo que recompensa casos de fraude, em que a culpa nem é do Banco, nem do cliente. Mas pensem só como não seria simples cometer mais uma fraude e abusar deste tipo de situações.
        Pensem bastante…. em 30 minutos, consigo simular que sou vitima de um ataque de phishing, e movimento o dinheiro para uma conta no Dubai… e depois peço a recompensa do banco, pois este deixou usar a plataforma online com todas as minhas credenciais e efectuar uma transferência internacional.

      • NMT says:

        Obviamente? Se foram utilizadas as credenciais de acesso que eram só do conhecimento do seu utilizador? Foram efetuadas três transferências de 2 contas diferentes. A estrada da Beira não é a mesma coisa que a beira da estrada.

  3. Joao Ptt says:

    O banco deveria ter um meio de comunicar de forma segura com o cliente (aplicativo ou aparelho dedicado por exemplo) para informar da actividade na conta e confirmar operações de transferências.
    Se a pessoa autoriza-se então aí eles podiam dizer que a pessoa tinha conhecimento e autorizou explicitamente.

    • NMT says:

      O Banco tem um sistema de acesso seguro, com vários níveis de acesso. À data dos factos, para aceder ao sistema homebanking, o utilizador tinha um username e uma password que era só do seu conhecimento. Para os débitos acontecerem, era necessário inserir duas coordenadas de um cartão matriz com 270 coordenadas, que só era do conhecimento do utilizador. Quantos mais níveis são necessários. Hoje em dia está em funcionamento o SMS token, e mesmo assim continuam a dar esse código aos piratas…

  4. David Guerreiro says:

    Isso só sucede porque o Montepio era (não sei se ainda fazem isso) um dos poucos a usar chaves matriz para confirmar operações. Basicamente os larápios criavam uma página a imitar o Montepio, a pessoa introduzia os dados de login, e logo aí já entravam na conta. Depois começavam a pedir as coordenadas, dando sempre erro, e a pessoa ia introduzindo diferentes porque eles iam trocando as coordenadas. Assim, na posse de todas as coordenadas e as credenciais de entrada, os larápios já podiam movimentar valores, e foi o que fizeram. Se a confirmação fosse por SMS, não teriam feito este esquema.

    • Pedro Pinto says:

      CGD também faz isso (ainda)

      • Nuno Miguel Soares Santos says:

        Pedro Pinto, a CGD faz em valores baixos, quando ultrapassa certo valor ou se forem algumas transacções seguidas de baixo valor eles mandam sms para confirmar. Eu sou cliente da CGD e uma vez fiz uma única transferencia dum valor elevado e eles meteram a transferencia em espera e ligaram-me para confirmar a veracidade da mesma….

    • Diogo Nunes says:

      Nota que, todas as operações que são realizadas pelo HomeBanking, seja Montepio ou outro qualquer, é necessário confirmar por SMS.

    • Woot! says:

      O erro está precisamente aí. Nenhum banco decente vai trocando as coordenadas quando as mesmas dão erro. As coordenadas pedidas são sempre as mesmas a partir do momento em que há erro de coordenadas.

    • NMT says:

      Hoje em dia já existe SMS token e mesmo assim, continuam a dar esse código…. Não é esse o problema… O problema está no utilizador que quando acede, não toma as precauções devidas. Por mais níveis de segurança que sejam criados, se os utilizadores não tomarem as devidas precauções, não há nada a fazer

      • Woot! says:

        Lembra-te que isto não foi ontem mas sim há 3 anos onde 90% dos bancos tinham coordenadas.

        Claro que o problema é do banco a partir do momento em que vão circulando as coordenadas. É uma falha de segurança enorme, só não vê quem não quer.

        Não descarto a culpa do utilizador mas já vi um caso de phishing no BPINet há uns anos que era impossível de distinguir, o site era igualzinho ao original (porque era o original) olhavas para o link e era correto mas por cima dos campos do utilizador e passe tinhas um overlay com outros campos do atacante e um campo extra que pedia o contacto telefónico.
        Portanto mesmo estando muito atento dependendo dos ataques é possível ser-se enganado e os bancos têm de assumir a despesa quando têm pouca segurança.

  5. Ricardo says:

    Só mesmo em Portugal culpabilizar uma entidade bancária pela ingenuidade e estupidez do ser humano. Como é que possivel que no Séc XXI existe ainda quem caia nestes esquemas.

Deixe uma resposta

O seu endereço de email não será publicado.

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.