Spoofing: A arte de ser o outro

No primeiro semestre de 2024, a Polícia de Segurança Pública recebeu mais de meia centena de queixas resultantes de burlas com recurso a técnicas de Spoofing. O que é Spoofing e no que difere do Phishing? Como pode ser identificado e evitado?

Neste artigo, procuramos responder a estas questões, com o objetivo de o ajudar a não se tornar vítima dos burlões.

Créditos: Adobe Stock

Já todos recebemos uma mensagem, chamada ou email proveniente de um remetente que nos parece legítimo – a instituição bancária onde temos conta, a empresa da eletricidade ou das telecomunicações, um amigo ou familiar – mas nem tudo é o que parece, e numa questão de minutos os nossos dados pessoais ou conta bancária foram roubados. Este fenómeno chama-se Spoofing.

Não se tratando de uma realidade efetivamente nova, a verdade é que o Spoofing está mais do que nunca na ordem do dia e tem provocado vítimas a nível nacional. Neste sentido, é imprescindível perceber-se o que é este tipo de ciberataque, de modo a garantir não só a segurança dos seus dados, como também que a sua conta bancária não fica a zeros.

1. O que é o Spoofing?

Mencionado na literatura técnica desde os anos 90 do século XX, o Spoofing era inicialmente um elemento dos ataques de Phishing, contudo, rapidamente se tornou ele próprio numa atividade criminosa. Assim, podemos defini-lo como um tipo de prática criminal em que um individuo ou entidade coletiva falsifica informações e finge ser uma fonte credível – um banco, um funcionário de um organismo legitimo, um contacto da sua confiança – com o objetivo de obter acesso a informações pessoais, subtrair quantias monetárias, espalhar malware ou roubar dados confidenciais.

• Spoofing vs Phishing: Qual a diferença?

Embora possam parecer termos semelhantes ou até complementares, os dois conceitos são distintos. Enquanto o Phishing é um tipo de ataque em que o ciberatacante usa o engano ou manipulação para persuadir a vítima a executar uma dada opção – clicar num link ou abrir um anexo, por exemplo – o Spoofing é um meio de tornar o ciberataque mais credível ou eficaz.

Em última instância, um invasor que conduz um ataque de Phishing pode utilizar como meio de criar credibilidade junto da sua vítima e consequentemente aumentar a probabilidade de ser bem-sucedido, um elemento de Spoofing, como uma chamada telefónica, um email, uma mensagem escrita, entre outros.

2. Que tipos de Spoofing existem?

Um ataque de Spoofing pode ter várias formas, com maior ou menor sofisticação, sem que, contudo, o modus operandi sofra grandes alterações. Os tipos mais comuns são:

• Falsificação na caixa de email

Neste, o atacante forja o cabeçalho do email de modo a garantir que a informação apresentada seja o mais semelhante possível com o endereço que se pretende falsificar. Como os destinatários julgam conhecer o remetente, não denotam as diferenças entre o email legitimo e o falso, pelo que, não desconfiam da sua veracidade.

Regra geral, as mensagens de email falsas solicitam transferências bancárias ou permissão para aceder a um sistema. Além disto, podem possuir hiperligações que conduzem para páginas web maliciosas ou anexos que quando abertos procedem à instalação de malware – como Cavalos de Troia (Trojan) ou ransomware – que podem ser projetados não só para infetar os equipamentos onde estão a ser instalados, como também toda a rede onde estes estejam.

Veja a imagem em anexo:

Fonte: Autoridade Tributária e Aduaneira

• Falsificação em mensagens de texto

Entidades legitimas enviam frequentemente SMS com campanhas de marketing ou avisos para pagamento, para facilitar a sua identificação estas substituem o seu número por um nome alfanumérico – como EDP, Vodafone, SNS24, entre outros. No entanto, este tipo de técnica também está disponível para pessoas mal-intencionadas como os ciberatacantes.

Assim, a falsificação de mensagens de texto – vulgarmente falsificação de SMS – ocorre sempre que o remetente de uma mensagem de texto utiliza um ID alfanumérico falso, geralmente usurpando a identidade de uma empresa ou organismo público. Habitualmente, estas SMS têm no seu texto hiperligações para websites externos que roubam dados pessoais ou anexos com malware.

É exemplo disto:

Fonte: CTT

• Falsificação em chamadas telefónicas

É comum recebermos chamadas telefónicas de empresas ou organismos públicos com os quais possuímos relações comerciais ou institucionais, aproveitando-se de tal facto, os atacantes mascaram o seu número real através do Voice over Internet Protocol (VoIP) – uma tecnologia que permite a realização de chamadas com base numa conexão de internet de banda larga comum. Se conseguirem que a vítima atenda o telefone, os atacantes tentam obter o maior número possível de informações confidenciais, tais como:

• Dados bancários;

• Códigos pessoais;

• Passwords

• Falsificação em websites ou domínios web

O Spoofing em websites ou domínios web surge quando o atacante cria um site muito semelhante ao da entidade da qual está a usurpar a identidade, para tal, o burlão altera ligeiramente o nome de domínio. Este tipo de Spoofing tem como objetivo levar a vítima a inserir os seus dados de acesso a determinada plataforma e, consequentemente fazer login, assim que este objetivo está cumprido, os dados são imediatamente remetidos ao atacante, que os irá utilizar para entrar no website fidedigno ou procederá à sua venda.

Ainda que possam acontecer de forma individual e isolada, os ataques de Spoofing de falsificação de website ou de nome de domínio, são geralmente acionados por um spoof de email. Ou seja, o burlão entra inicialmente em contacto por email, utilizando ferramentas de engenharia social e direciona a vítima para o website falso.

A imagem abaixo apresenta um exemplo de uma falsificação de website e de nome de domínio:

Fonte: Mailjet

3. Como identificar?

Em muitos casos, o Spoofing é relativamente fácil de identificar e prevenir através de comportamentos diligentes e conscientes de higiene digital. No entanto, existem detalhes que permitem aos mais distraídos identificar uma burla deste tipo:

• A ação foi solicitada? Se, por exemplo, não solicitou a redefinição da sua password e receber uma mensagem de email que solicite a reposição desta, pode ser uma tentativa de Spoofing;

• A mensagem solicita informação sensível? Empresas ou organismos governamentais nunca pedem aos clientes e contribuintes respetivamente, que partilhem dados sensíveis, como passwords, códigos de acesso, números ou documentos de identificação, quer por email ou telefone;

• A entidade ou organismo público está a utilizar um domínio diferente? Ao rececionar uma mensagem ou email que contenha hiperligações, não aceda instantemente, comece por copiar a hiperligação e colar num local offline de modo a verificar qual o destino da mesma. Organizações como bancos, escolas ou organismos públicos nunca entram em contacto através de urls distintos daqueles que utilizam nos seus websites;

• A mensagem ou email contém um anexo não solicitado? Regra geral, empresas ou organismos legítimos não remetem anexos não solicitados, ao invés disso, direcionam os utilizadores para os seus websites para que estes acedam e façam download de arquivos. Ainda que conheça a origem do email, não faça download de qualquer arquivo, sobretudo se não tiver um antivírus instalado nos seus equipamentos;

• A saudação na mensagem ou email é personalizada e profissional? Entidades credíveis quando interagem com os seus clientes ou contribuintes, fazem-no de modo personalizado e profissional. Assim, se receber uma comunicação que inicie com saudações genérica como “Prezado cliente,”, desconfie.

• O texto tem erros ortográficos ou gramaticais? As imagens estão desfocadas ou diferem do habitual? Esta é uma das formas mais simples de detetar uma tentativa de Spoofing. Deste modo, quando o texto estiver escrito de forma estranha, com erros ortográficos ou gramaticais, ou se as imagens presentes no email estiverem desfocadas ou diferirem do habitual, é possível que seja um conteúdo falso.

4. Como evitar?

Como já descrito acima, a melhor forma de evitar ser enganado é estar atento aos sinais e desconfiar sempre. Ainda assim, existem alguns conselhos que podem ser úteis e que aqui destacamos:

• Nunca clique em hiperligações nem faça download de anexos não solicitados;

• Não responda nem aceda a solicitações provenientes de emails, SMS ou chamadas telefónicas de entidades que desconheça;

• Sempre que possível, tenha configurada nos seus dispositivos a autenticação de dois fatores;

• Utilize passwords fortes, isto é, com pelo menos 10 carateres, compostas idealmente por uma combinação de letras maiúsculas e minúsculas, números e carateres especiais. Por outro lado, evite utilizar a mesma password em todas as suas contas e, se possível, faça a reciclagem das mesmas regularmente;

• Remeta sempre que possível às entidades que alegadamente foram vítimas de roubo de identidade o sucedido, no sentido de ajudar a prevenir novos ciberataques;

• Denuncie todas as burlas, incluindo meras tentativas, às autoridades competentes, isto é, à Polícia de Segurança Pública, à Guarda Nacional Republicana, à Polícia Judiciária e ao Centro Nacional de Cibersegurança.