A intensificação das compras de Natal coincide com um aumento expressivo das fraudes online, potenciadas por engenharia social e novas ferramentas de IA.
Com a corrida às compras de Natal a intensificar-se na Internet, cresce também a atividade dos grupos que exploram este período para enganar consumidores menos atentos. A Stratesys, multinacional tecnológica que atua como ponte digital entre a Europa e a América Latina, tem vindo a alertar para o aumento das fraudes online, para a forma como estas tiram partido da inteligência artificial e para os cuidados essenciais a adotar antes de finalizar qualquer compra.
A manipulação emocional mantém-se como a técnica preferida dos burlões, que recorrem a mensagens alarmistas, como avisos de contas bloqueadas ou suposta atividade suspeita, para desencadear decisões apressadas. Perante comunicações deste tipo, torna-se decisivo olhar com atenção para elementos que possam denunciar uma tentativa de fraude, desde discrepâncias entre o nome exibido e o endereço real do remetente até hiperligações que conduzam a domínios estranhos ou subdomínios enganadores. Mesmo com ataques cada vez mais sofisticados, muitos continuam a trair-se pela fraca qualidade da escrita, pela utilização de logótipos degradados ou pela aparência pouco profissional das páginas. Também pedidos de credenciais completas, palavras-passe ou códigos PIN constituem sinais claros de que está em marcha uma tentativa de phishing.
Entre as táticas em crescimento destaca-se o smishing, em que uma mensagem SMS leva a vítima a ligar para um número supostamente associado a assistência técnica. A elevada taxa de sucesso deve-se à perceção do SMS como um canal mais pessoal e fiável, normalmente usado para notificações bancárias ou códigos de autenticação, levando quem recebe a iniciar o contacto para resolver um problema que, na realidade, não existe.
Os atacantes aproveitam ainda vários comportamentos instalados. A rotina digital leva muitos a clicar de forma automática em hiperligações ou notificações, o que facilita a instalação de cargas maliciosas disfarçadas de avisos de entrega ou outros processos quotidianos. A reutilização de palavras-passe multiplica os danos: um incidente num serviço de baixo risco pode abrir caminho a acessos indevidos a plataformas de maior valor, através de ataques de “credential stuffing”. A exposição excessiva nas redes sociais fornece mais matéria-prima para esquemas personalizados, já que informações aparentemente inofensivas – aniversários, nomes de familiares, locais de trabalho ou hábitos – permitem construir mensagens difíceis de distinguir das legítimas. A resistência em aplicar atualizações de software mantém os dispositivos vulneráveis a falhas já corrigidas pelos fabricantes, mas que continuam ativas para quem não atualiza.
Nas compras feitas através do telemóvel, o nível de segurança depende tanto das medidas tecnológicas como do comportamento de quem utiliza o dispositivo. As plataformas móveis recorrem a ambientes isolados que limitam a ação de aplicações maliciosas e “e são sujeitas a controlo das próprias lojas digitais, que atuam como primeira barreira contra aplicações maliciosas. No entanto, a dimensão reduzida dos ecrãs dificulta a verificação rigorosa de URLs ou certificados, abrindo espaço a sites falsos que parecem legítimos. O recurso frequente a redes Wi-Fi públicas aumenta o risco de interceção de tráfego e ataques “Man in the Middle”. Técnicas como o smishing e o vishing revelam-se ainda mais eficazes nos telemóveis, já que se misturam com as funções normais de chamadas e mensagens.
Se alguém for vítima de fraude, a rapidez é determinante. O cancelamento imediato do cartão utilizado e o contacto com o banco podem impedir novos débitos e iniciar processos formais de disputa. A recolha de todas as provas – e-mails, capturas de ecrã, registos de conversas e comprovativos de pagamento – torna-se essencial para documentar o sucedido, tal como a denúncia às autoridades. Caso tenha sido introduzida uma palavra-passe num site falso, importa alterá-la sem demora, bem como qualquer outra que dependa das mesmas credenciais. A possibilidade de recuperar dinheiro varia consoante o método usado: cartões de crédito ou serviços como o PayPal oferecem proteções superiores, enquanto transferências ou operações com criptomoedas deixam margem reduzida para recuperar valores.
A proliferação de modelos de inteligência artificial generativa ampliou significativamente o alcance dos ataques. A criação de campanhas de phishing personalizadas, a utilização de deepfakes de áudio e vídeo, o desenvolvimento de malware que se adapta para contornar defesas tradicionais e a automação da cadeia de ataque criaram um cenário onde operações antes complexas estão hoje ao alcance de atores com conhecimentos mínimos. Estes sistemas conseguem identificar vulnerabilidades, explorá-las, escalar privilégios e extrair dados com uma eficiência inédita.
As empresas não escapam a este contexto. A pressão sazonal aumenta a probabilidade de incidentes que não se limitam a prejuízos imediatos. Ataques de negação de serviço podem derrubar websites em períodos de maior tráfego, enquanto operações de ransomware têm capacidade para paralisar sistemas de stock, logística ou pontos de venda. Vulnerabilidades em componentes de e-commerce podem permitir o roubo de dados de cartões sem que a organização se aperceba, e qualquer incidente que exponha informação de clientes pode deixar marcas reputacionais prolongadas.
Dito tudo isto, manter atenção redobrada e adotar práticas básicas de verificação pode ser determinante para evitar problemas num dos períodos mais movimentados do ano.
