O SMS de «alerta de fraude bancária» é uma burla?

Como parece

Exemplos reais, anonimizados.

      Millennium BCP Alerta: Autorizou uma compra de 493,27 € na Worten, Lisboa? Responda SIM para confirmar ou NÃO para bloquear. Para falar com o serviço antifraude ligue: 800-XXX-XXXX.
    

      Caixa Geral de Depósitos: A sua conta foi temporariamente restringida por actividade suspeita. Verifique a sua identidade para restaurar o acesso: cgd-secure-id[.]com
    

O mesmo modelo é usado contra Millennium BCP, Caixa Geral de Depósitos, Santander, Novo Banco, BPI, Montepio, Activobank, Revolut, N26, e qualquer outro banco grande. A burla funciona da mesma forma em todos os países.

Como a burla decorre

É uma armadilha em dois passos.

Esta é a parte que apanha mesmo as pessoas cautelosas. O SMS em si não rouba nada. O verdadeiro ataque é a chamada que se segue.

Recebe o SMS: «Autorizou esta cobrança de 499 €? Responda NÃO.»
Responde NÃO, porque não fez essa compra.
Em poucos minutos uma pessoa de tom profissional liga. O identificador mostra o número real do seu banco (falsificado). Diz: «Vimos a sua resposta NÃO, deixe-me ajudá-lo a proteger a conta.»
Pedem-lhe para ler em voz alta um código OTP acabado de receber por SMS, «para verificar a sua identidade». O código vem do seu banco real, accionado pelo burlão a fazer login na sua conta.
Lê-o. Esvaziam a conta, muitas vezes criando um novo beneficiário ou transferindo para uma «conta segura» que o burlão alega ser sua.

Sinais de alerta

Como detectá-lo.

Pedem-lhe para ler um código em voz alta. Nenhum banco real lhe pedirá jamais para partilhar um código OTP por telefone, SMS ou email. O código serve para si digitá-lo na app do banco, nunca para ler a uma pessoa.
Pedem-lhe para «mover o seu dinheiro para uma conta segura». Nenhum banco real faz isso. Se a sua conta está em risco, o banco bloqueia-a e diz-lhe para ir a uma agência ou usar a app, não transferir para uma nova conta.
O link não é o domínio real do seu banco. O verdadeiro Millennium é millenniumbcp.pt. A verdadeira CGD é cgd.pt. Os links de burla parecem bcp-secure-login.com, cgd-id.help, ou usam um redirect.
Urgência e ameaças. «A sua conta será fechada permanentemente», «as autoridades estão envolvidas», «aja nos próximos 30 minutos». Os bancos reais dão-lhe dias ou semanas.
Sabem o suficiente para parecer reais. O seu nome, os 4 últimos dígitos do cartão, talvez um comerciante recente. Estes dados vêm de fugas. Não significa que já têm acesso à conta.
Desencorajam-no de desligar. «Mantenha-se em linha pela sua segurança.» Um banco real quer que desligue e ligue de volta para o número nas costas do seu cartão. Um burlão não sobrevive a uma rechamada.

O que fazer

Faça isto em vez disso.

Desligue. Ligue para o número nas costas do seu cartão físico. Ou abra a app oficial do banco e use o chat na app. Esta única regra derrota esta burla inteira.
Verifique a sua conta na app oficial você mesmo. Se realmente há uma cobrança fraudulenta, vai vê-la. Se não há, o alerta era falso.
Encaminhe o SMS para o seu operador móvel a fim de reportar spam. Apague depois o SMS.
Se já respondeu ou ligou mas não partilhou código nem palavra-passe, provavelmente está bem. Ligue mesmo assim ao banco real para reportar a tentativa.
Se partilhou um código ou transferiu dinheiro, ligue agora à linha antifraude do seu banco. O tempo conta. As primeiras 24 horas são aquelas em que o dinheiro pode por vezes ser recuperado. Apresente queixa à PSP ou GNR e à CNCS.

O que não fazer

Nunca faça isto.

Nunca leia um código OTP em voz alta. Nem a um «representante do banco», nem à polícia, a ninguém. O código é para si digitá-lo na app do seu banco.
Nunca ligue para o número de telefone dentro do SMS. Mesmo que pareça legítimo. Use o número nas costas do seu cartão.
Nunca transfira dinheiro para uma «conta segura». Nenhum banco real pede isto alguma vez. Se o disserem, é uma burla, com 100 % de certeza.
Nunca clique no link. Nem mesmo para «ver o que é». A página de login falsa é todo o objectivo.

Perguntas rápidas

FAQ.

E se o autor da chamada sabia o meu nome e os últimos 4 do cartão?

Esses dados estão em todo o lado depois de anos de fugas. Saber o seu nome, morada, últimos 4 do cartão e até o seu banco não significa que esteja a ligar um representante real. Os burlões compram estas listas a baixo preço. O teste não é o que sabem mas o que lhe pedem. Um banco real nunca pede código, palavra-passe, número completo do cartão ou para transferir dinheiro.

O identificador mostrava o número real do meu banco. Como?

O identificador é trivial de falsificar. Qualquer serviço VoIP barato pode pôr qualquer número no seu ecrã. O número que vê quando alguém lhe liga não vale nada como prova. O único número em que pode confiar é o que marcou você mesmo, das costas do cartão ou da app oficial do banco.

Já lhes dei um código. O que faço?

Ligue agora à linha antifraude do seu banco usando o número nas costas do cartão. Faça bloquear a conta e reverter qualquer transferência pendente. Mude a palavra-passe do home banking e active um autenticador por app (não SMS) se o seu banco suportar. Apresente queixa à Polícia Judiciária e à CNCS.

Recebeu outra mensagem?

Verifique o seu texto exacto. Demora 5 segundos.

Gratuito, sem registo, nada é guardado. Funciona para SMS, email, WhatsApp, links e capturas de ecrã em 10 idiomas.

Verificar a minha mensagem →

Mais guias de burlas

O SMS de alerta de fraude bancária é uma burla?