Saber detectar uma fraude é uma competência fundamental de sobrevivência digital hoje em dia. Com a inteligência artificial, as fraudes tornaram-se quase impercetíveis, exigindo que aprendamos a identificar comportamentos suspeitos de forma proativa.
Na Veridas, defendemos a biometria moderna como a defesa mais eficaz neste cenário. Ao validar a identidade real em vez de simples palavras-passe, eliminamos as vulnerabilidades que os fraudadores exploram diariamente, detetando em milissegundos se a pessoa que interage é um humano real ou um algoritmo malicioso. Para se manter protegido, é vital reconhecer sinais de alerta imediatamente e adotar tecnologias que protejam o seu ambiente digital de forma permanente.
Sinais de que pode estar a ser alvo de uma fraude
Identificar a tempo uma tentativa de fraude é fundamental para evitar consequências económicas graves. Os burlões costumam utilizar a urgência ou o medo para toldar o julgamento da vítima, forçando decisões rápidas sem a devida verificação da fonte original.
Um sinal claro é a receção de comunicações não solicitadas que exigem uma ação imediata. Estas mensagens costumam provir de entidades aparentemente legítimas, mas contêm erros subtis no remetente ou links que redirecionam para sites cuja estrutura não é oficial.
A inconsistência na informação facultada é outro indício claro de engano. Se uma oferta parece demasiado atrativa ou se os termos de um serviço mudam repentinamente sob pretextos vagos, o mais provável é que se trate de uma manobra de engenharia social desenhada para enganar.
O uso de métodos de pagamento pouco convencionais também deve despertar suspeitas imediatas. As empresas legítimas raramente solicitam transferências através de cartões de oferta, criptomoedas ou serviços de envio de dinheiro instantâneo para resolver problemas técnicos ou dívidas pendentes de pagamento.
Comportamentos suspeitos em e-mails e mensagens
Os e-mails fraudulentos costumam apresentar uma linguagem excessivamente formal ou, pelo contrário, repleta de erros ortográficos. Estas mensagens tentam imitar a identidade visual de bancos ou instituições públicas, mas falham em detalhes técnicos que um olhar treinado pode detetar.
É comum observar que o nome mostrado no remetente não coincide com o endereço de e-mail real. Ao passar o cursor sobre o link antes de clicar, pode verificar se o URL de destino corresponde realmente ao domínio oficial da organização mencionada.
Muitos ataques de vishing utilizam agora vozes sintéticas ou clonadas para ganhar confiança. Estas chamadas costumam criar uma falsa sensação de crise, como um débito não autorizado na conta, para que o utilizador revele códigos de segurança ou autorize transações de forma impulsiva.
A deteção de prova de vida (liveness) é a tecnologia que permite distinguir entre uma interação humana real e um meio pré-gravado ou sintético. Na Veridas, as nossas soluções detetam estes ataques de apresentação para assegurar que apenas a pessoa legítima possa aceder aos seus serviços ou ativos financeiros.
Ofertas ou solicitações pouco claras
As fraudes muitas vezes disfarçam-se de oportunidades de investimento únicas com retornos garantidos. Qualquer solicitação de capital inicial que prometa benefícios extraordinários sem risco deve ser tratada como uma fraude potencial, uma vez que os mercados financeiros operam sob critérios de transparência.
As solicitações de ajuda técnica não pedidas são outra tática recorrente. Supostos agentes de suporte ligam informando sobre vírus inexistentes no computador para obter acesso remoto ao dispositivo, permitindo assim o roubo de credenciais bancárias e o acesso a informações pessoais sensíveis.
A fraude de lotarias ou prémios inesperados requer sempre um pagamento prévio a título de taxas ou impostos. Lembre-se que nenhuma entidade legítima condiciona a entrega de um prémio legítimo ao pagamento prévio de quantias de dinheiro por parte do beneficiário para contas desconhecidas.
Para mitigar estes riscos, as organizações devem implementar processos robustos de verificação de identidade. O uso de biometria facial e de voz permite assegurar que a pessoa na interação é quem diz ser, eliminando o risco derivado de palavras-passe roubadas.
Dados que os burlões costumam pedir
O objetivo principal de qualquer cibercriminoso é obter informação que lhe permita monetizar o engano. Entender como saber se está a ser enganado pela internet implica conhecer que dados são críticos e por que razão uma entidade de confiança nunca os solicitaria por canais abertos.
Os atacantes procuram principalmente credenciais que lhes deem acesso direto a fundos económicos. Isto inclui números de cartões, datas de validade e, o mais importante, o código CVV, que é a chave final para realizar transações não autorizadas em qualquer comércio eletrónico.
Também existe um grande interesse pelos dados de identidade que permitem realizar uma usurpação de identidade completa. Os números de identificação nacional, como o documento de identidade ou a carta de condução, são utilizados para abrir contas fraudulentas ou solicitar créditos em nome da vítima indefesa.
A nossa solução Veridas CORE permite validar automaticamente a autenticidade destes documentos em segundos. Isto evita que os burlões utilizem documentos manipulados ou falsificados para contornar os controlos de segurança em processos de registo de novos clientes ou serviços financeiros.
| Tipo de Dado | Solicitação Legítima | Solicitação Fraudulenta |
|---|---|---|
| Palavras-passe | Nunca solicitada por funcionários | Pedida por telefone ou e-mail |
| Código SMS/OTP | Introduzido apenas no site oficial | Solicitado para “anular” um erro |
| PIN de Cartão | Uso exclusivo em terminais físicos | Requerido para verificar identidade |
| Documento ID | Processado via captura guiada/NFC | Foto enviada por chat ou e-mail |
Informação pessoal e financeira
Os dados financeiros são o ativo mais cobiçado na dark web. Os burlões utilizam páginas de pagamento falsas que parecem idênticas às plataformas bancárias reais, capturando em tempo real cada dígito que a vítima introduz sob a falsa crença de estar a comprar.
A informação pessoal, como a morada ou o nome de familiares, é utilizada para personalizar futuros ataques. Esta tática, conhecida como spear phishing, aumenta consideravelmente a eficácia do engano ao fazer com que a mensagem pareça muito mais credível e dirigida especificamente ao utilizador.
O roubo de identidades sintéticas é uma ameaça crescente que já representa 85% dos casos de fraude financeira segundo os nossos relatórios. Os criminosos misturam dados reais com informações fabricadas para criar perfis novos que são difíceis de detetar com métodos de verificação tradicionais.
A tecnologia da Veridas combate esta industrialização da fraude através da deteção avançada de ataques de injeção. Verificamos a integridade do dispositivo para assegurar que não estão a ser utilizados emuladores ou câmaras virtuais para injetar dados falsos no sistema de validação.
Palavras-passe e códigos de segurança
Nenhum funcionário de um banco ou serviço técnico oficial pedirá jamais uma palavra-passe por telefone. As palavras-passe são fatores de conhecimento de uso pessoal e intransferível, e a sua solicitação é sempre um indicador irrefutável de que se encontra perante uma tentativa de fraude.
Os códigos enviados por SMS (OTP) são frequentemente interceptados através de engenharia social. O burlão convence a vítima de que o código recebido serve para bloquear um suposto ataque, quando na realidade é a chave necessária para autorizar uma transferência de saída já iniciada.
A autenticação multifator (MFA) baseada em biometria elimina a dependência destes segredos partilhados que são tão fáceis de roubar. Ao exigir “algo que é”, como o seu rosto ou a sua voz, estabelece-se uma camada de segurança que é praticamente impossível de comprometer.
Na Veridas, oferecemos uma visão de um futuro sem palavras-passe nem chaves. A nossa tecnologia permite que as pessoas sejam reconhecidas de forma privada e voluntária por quem são, garantindo o seu direito a usar a sua identidade real em qualquer ambiente físico ou digital do mundo.
Tipos de fraudes mais comuns
O panorama das ameaças digitais é diverso e adapta-se rapidamente aos novos hábitos de consumo. Conhecer os métodos mais frequentes permite estar alerta e aplicar as medidas de proteção adequadas antes que o dano económico seja irreversível para o utilizador.
O phishing continua a ser a técnica rainha pelo seu baixo custo e alta escalabilidade. No entanto, estamos a ver uma transição para ataques mais sofisticados que utilizam inteligência artificial generativa para criar conteúdos hiper-realistas que enganam até os sistemas de segurança mais antigos e obsoletos.
As fraudes no comércio eletrónico aumentaram proporcionalmente ao crescimento das compras digitais. As lojas falsas e os enganos em plataformas de segunda mão exploram a confiança do comprador para obter dados bancários ou pagamentos por produtos que nunca serão enviados.
As organizações devem adotar uma abordagem de confiança zero ou Zero Trust. Este modelo assume que qualquer solicitação de acesso pode ser maliciosa e requer uma verificação contínua da identidade e do dispositivo, independentemente de o utilizador se encontrar dentro da rede corporativa.
- Verificar sempre o domínio oficial do URL antes de introduzir dados.
- Não partilhar códigos de verificação recebidos por SMS com terceiros.
- Utilizar gateways de pagamento reconhecidos e evitar transferências diretas.
- Desconfiar de mensagens com erros ortográficos ou tom de urgência.
- Ativar o duplo fator de autenticação biométrico sempre que estiver disponível.
Estafas por e-mail e phishing
O phishing tradicional deu lugar ao smishing (via SMS) e ao vishing (via voz). Todos partilham o mesmo objetivo: redirecionar o utilizador para uma página fraudulenta para capturar os seus dados ou convencê-lo a realizar uma ação que comprometa a sua segurança financeira imediata.
Os e-mails de phishing atuais utilizam certificados SSL para mostrar o cadeado de segurança no navegador. Esta técnica procura enganar o utilizador fazendo-o crer que o site é seguro, quando na realidade apenas significa que a comunicação é cifrada, não que o destino seja legítimo.
Os ataques de comprometimento de e-mail corporativo (BEC) dirigem-se a funcionários com capacidade para realizar pagamentos. Através da usurpação da identidade de um executivo, os criminosos solicitam transferências urgentes para contas controladas por eles, causando perdas milionárias em minutos às empresas.
A nossa Autenticação Biométrica de Voz analisa a voz em milissegundos para detetar se se trata de um deepfake ou de uma gravação. Esta tecnologia permite aos contact centers assegurar cada interação, bloqueando vozes sintéticas antes que possam consumar uma fraude por usurpação de identidade.
Fraudes em compras e vendas online
As lojas online fraudulentas costumam utilizar preços excessivamente baixos para atrair vítimas. Após realizar o pagamento, o site desaparece e o utilizador descobre que os seus dados de cartão foram roubados para realizar débitos adicionais não autorizados noutras plataformas de venda global.
Nas plataformas de compra e venda entre particulares, o burlão costuma solicitar a continuação da conversa fora da aplicação oficial. Isto permite-lhe enviar links de pagamento falsos que imitam a estética da plataforma, mas que na realidade capturam a informação bancária do vendedor.
A fraude de devolução é outra tática que afeta os vendedores legítimos. O comprador reclama que o produto não chegou ou envia uma caixa vazia de volta, abusando das políticas de proteção ao consumidor para ficar com o artigo e o dinheiro da transação.
Para prevenir estas fraudes, é essencial verificar a identidade real dos utilizadores no momento do registo. A integração da Veridas nos fluxos de adesão permite assegurar que por trás de cada perfil existe uma pessoa real, reduzindo drasticamente a criação de contas falsas.
Usurpação de identidade
A usurpação de identidade ocorre quando alguém utiliza os seus dados pessoais sem permissão para cometer fraude. Isto pode ter consequências a longo prazo, como a inclusão em listas de devedores ou problemas legais por atividades criminosas realizadas sob o nome da vítima indefesa.
Os deepfakes de vídeo são a última fronteira na usurpação de identidade. Utilizando IA, os atacantes criam rostos que imitam perfeitamente os movimentos e expressões de uma pessoa real, tentando contornar os sistemas de reconhecimento facial convencionais durante os processos de verificação de identidade.
A nossa tecnologia de deteção de ataques de apresentação (PAD) é certificada nos níveis 1 e 2 da iBeta. Isto garante que as nossas soluções podem detetar desde fotos mostradas num ecrã até máscaras 3D de alta qualidade, assegurando que apenas os utilizadores reais obtenham acesso.
Além disso, o uso de Referências Biométricas Renováveis (RBRs) protege a privacidade do utilizador. Ao transformar o rosto num vetor matemático irreversível e não interoperável, asseguramos que, mesmo no caso improvável de um roubo da base de dados, a informação seja inútil para o atacante.
O que fazer se suspeitar de uma fraude
Se você acredita que aprendeu a detectar golpes tarde demais e já interagiu com um criminoso, agir com rapidez é vital. O tempo é o fator determinante para mitigar danos e permitir que as autoridades e instituições financeiras intervenham com sucesso.
A primeira ação deve ser sempre contactar a sua entidade bancária para bloquear cartões e contas comprometidas. A maioria dos bancos dispõe de serviços de atendimento de emergência 24/7 desenhados especificamente para gerir situações de possível fraude ou roubo de credenciais de acesso.
Alterar todas as palavras-passe dos seus serviços digitais é o passo seguinte necessário. Se utiliza a mesma chave em várias plataformas, o atacante poderá estar a tentar aceder às suas redes sociais ou e-mail através de ataques de preenchimento de credenciais (credential stuffing) após obter o acesso inicial.
As organizações que utilizam a nossa tecnologia Veridas NEXUS permitem aos seus utilizadores gerir a sua identidade de forma soberana. Esta wallet digital armazena as credenciais de forma cifrada no dispositivo do utilizador, permitindo revogar acessos de forma instantânea em caso de perda ou suspeita de comprometimento.
Medidas imediatas de proteção
Reveja os seus últimos movimentos bancários em busca de transações pequenas ou desconhecidas. Os burlões costumam realizar débitos de baixo valor para verificar se o cartão continua ativo antes de procederem a uma extração massiva de fundos que esvazie o saldo disponível.
Desative qualquer acesso remoto que possa ter concedido a terceiros. Se permitiu que alguém entrasse no seu computador sob um falso pretexto de suporte técnico, é fundamental desligar o dispositivo da internet e realizar uma limpeza profunda do sistema para eliminar possíveis programas espiões.
Informe os seus contactos próximos sobre a situação para evitar que sejam as próximas vítimas. Os atacantes costumam utilizar as contas roubadas de e-mail ou aplicações de mensagens para pedir dinheiro a familiares, explorando o vínculo de confiança já estabelecido com o titular.
Ativar a autenticação biométrica em todas as aplicações que o permitam oferece uma proteção superior. Ao contrário de um código SMS, o seu rosto ou a sua voz não podem ser interceptados durante a transmissão, garantindo que você seja o único capaz de autorizar operações críticas.
Como denunciar a fraude
Apresentar uma queixa perante as forças de segurança é um requisito indispensável para qualquer reclamação posterior. O auto policial serve como prova oficial perante o banco e as companhias de seguros para iniciar o processo de recuperação dos fundos roubados pelo criminoso.
Reúna todas as evidências possíveis, incluindo capturas de ecrã, e-mails e números de telefone através dos quais foi contactado. Esta informação é crucial para que as unidades de crimes telemáticos possam rastrear a origem do ataque e desmantelar redes organizadas de fraude.
Notifique o incidente aos organismos de proteção ao consumidor e cibersegurança nacionais. Estas entidades utilizam os relatórios dos utilizadores para gerar alertas precoces que protegem toda a comunidade e melhoram os guias de boas práticas para prevenir futuros enganos massivos.
Na Veridas, colaboramos estreitamente com reguladores e governos para definir os padrões da identidade digital do futuro. O nosso compromisso é desenvolver tecnologia responsável feita na Europa que proteja os direitos fundamentais das pessoas face às crescentes ameaças do mundo digital.
Casos de uso por indústria
- Banca e Seguros: Implementação de onboarding digital com Verificação de Identidade (IDV) para reduzir a fraude na abertura de contas e contratação de apólices de forma remota.
- Telecomunicações: Ativação instantânea de cartões SIM e assinatura de contratos através de biometria de voz, melhorando a experiência do cliente e eliminando o risco de identidades falsas.
- Mobilidade: Registo de condutores para aluguer de veículos em menos de um minuto através da validação automática de cartas de condução e comparação biométrica facial.
- Eventos e Desportos: Controlo de acesso biométrico “Hands-Free” em estádios que elimina o uso de bilhetes físicos e evita a revenda, assegurando que apenas pessoas autorizadas acedam ao recinto.
