O que é o roubo de identidade e quais as melhores formas de se proteger

O roubo de identidade é um crime, geralmente informático, que consiste na recolha de dados pessoais de outra pessoa, como o número de identificação pessoal ou fiscal, dados de identificação bancária, etc., que são depois usados pelo criminoso que os recolheu para cometer atos ilícitos.

Fazer compras com dinheiro da vítima, pedir empréstimos em nome da vítima (sem intenção de honrar o compromisso e deixando o ónus para a vítima) ou requerer um passaporte com os dados da vítima são exemplos do que é possível fazer com os dados pessoais de outra pessoa. O site Internet Segura, uma das melhores fontes de informação e autoridades sobre segurança na internet e roubo de identidade em Portugal, refere também que o criminoso pode cometer crimes em nome da vítima com vista a difamá-la.

Este crime não se limita ao roubo de identidade online; é possível empregar meios analógicos e tradicionais para obter informação pessoal de alguém e usá-la para cometer crimes. Porém, na era digital é muito mais fácil conseguir estes dados através da internet, e é aqui que a nossa atenção se foca mais.

Vejamos alguns dos mais habituais tipos de roubo de identidade que existem:

Financeiro

Os criminosos usam a sua identidade para desviar fundos das suas contas bancárias ou digitais (caso consigam acesso às suas contas em e-wallets ou carteiras eletrónicas, como o PayPal ou o Skrill) ou para fazer compras em seu nome. Os burlões poderão também abrir contas bancárias ou outras recorrendo aos seus dados pessoais, de modo a cometer crimes diversos que serão atribuídos a si (por exemplo: fraude fiscal e branqueamento de capitais).

Cadastro criminal

Um criminoso detido por ofensas menores (que não implicassem uma pena de prisão preventiva) poderia dar o seu nome e dados pessoais às autoridades. Em seguida, poderia “desaparecer”, levando as autoridades a procurá-lo a si (envio de notificações por um tribunal, investigações policiais que levem à sua detenção por erro, etc.).

Razões médicas

Um criminoso impedido de aceder a determinados serviços de saúde (por exemplo, medicamentos com receita médica) poderia usar uma identidade falsa para consegui-los. No limite, poderia aceder a uma instituição de saúde privada e beneficiar de tratamentos sem pagar (deixando a conta para si).

Roubo de identidade sintética

Esta situação caracteriza-se pela amálgama de dados de diferentes pessoas de modo a criar novas identidades e totalmente fictícias. Imagine que o Número de Identificação Fiscal de um menor é usado por um criminoso para associá-lo a um outro nome, real ou inventado, e usar tais combinações de dados para criar cartões de crédito.

O significado de roubo de identidade é o mesmo para toda a gente, mas o risco é diferente. Alguns grupos de pessoas são naturalmente mais vulneráveis a ataques com o fito de praticar este crime:

• Empresários, CEO e gestores. Pessoas com rendimentos médio-altos e/ou com responsabilidades sobre grandes organizações são vítimas preferenciais de ataques deste calibre.
• Idosos. São vítimas preferenciais de burlas cara a cara (criminosos que batem à porta, bem vestidos e bem falantes) e o mesmo acontece online.
• Crianças. Tal como os idosos, as crianças são facilmente manipuláveis. Um hacker pode introduzir-se numa plataforma de videojogos online e entabular conversa com uma criança, fazendo-se passar por criança e jogando o dito jogo, de modo a sacar-lhe informação pessoal. Ensine dicas de segurança na internet para crianças aos seus filhos.
• Estudantes universitários e jovens no primeiro emprego. A inexperiência em termos de gestão financeira e de obrigações em termos de dados pessoais pode levá-los a confiar demasiado em estranhos ou a não recear situações anómalas.
• Falecidos. Para grande desgosto dos familiares, este é o tipo preferido de vítima para alguns burlões; pode passar muito tempo até que a família se aperceba de que os dados de um parente falecido estão a ser irregularmente utilizados por alguém.

Os seus dados podem ser capturados por cibercriminosos por vários meios. É importante conhecê-los para saber como nos poderemos defender.

Vazamentos de dados

Um vazamento de dados acontece quando os dados pessoais de uma pessoa armazenados por uma empresa ou organização são acedidos por um terceiro não autorizado. Normalmente, quando isto acontece, não são os dados de uma pessoa, mas sim de milhares. E se se tratar de uma empresa como a Meta e de uma plataforma com a importância no Facebook, falamos de vazamentos capazes de afetar mais de 500 milhões de pessoas, incluindo “nomes completos, localizações, datas de nascimento, biografias” e “endereços de correio eletrónico”, como referiu o Diário de Notícias.

Browsing inseguro

Navegar na internet através de ligações não encriptadas aumenta o risco de interceção das comunicações por terceiros. Cibercriminosos serão capazes de captar informação pessoal que seja transmitida e guardar dados de identificação que sejam transmitidos. É fundamental evitar sites que não tenham o “s” de “https” no seu URL, que se tornou um padrão de segurança há já vários anos; só sites muito antigos ou sem manutenção não têm o “s”, que significa precisamente seguro (do inglês “secure”). Evite utilizar wi-fi público, normalmente também mais vulnerável. Para proteger as suas comunicações contra bisbilhoteiros, navegue utilizando uma Rede Privada Virtual ou VPN (“Virtual Private Network”).

Software malicioso

A instalação de software no seu computador ou telemóvel pode levar à interceção dos seus dados pessoais. Um keylogger regista os seus movimentos no teclado e estará alerta quando introduzir o seu NIF para aceder ao Portal das Finanças. Um ataque MITM também dá ao hacker acesso a algumas ou todas as comunicações eletrónicas efetuadas através do dispositivo infetado.

Golpes online

Sabe o que é phishing? É um golpe no qual a vítima é levada a fazer algo que a vai prejudicar e sem que se aperceba de que está a ser enganada, em benefício de um hacker. Um exemplo habitual é o link para uma notícia sensacionalista e capaz de indignar que leva a pessoa a clicar imediatamente, antes de se aperceber que o site não era exatamente o que parecia – mas nesse momento já tem o seu dispositivo infetado. Os cibercriminosos usam técnicas de engenharia social para levar as pessoas a clicar em links, a descarregar anexos executáveis e até a preencher formulários com os seus dados pessoais, que vão parar imediatamente ao computador do hacker.

Chamadas telefónicas falsas

Este golpe, também designado como falsificação do identificador de chamadas ou spoofing de chamadas (“ID caller spoofing”) consiste na realização de chamadas falsas em que o cibercriminoso se apresenta como sendo de uma organização da qual a vítima é cliente ou utilizadora. Indo além das burlas online mais habituais, este ataque implica que o criminoso se mostre perante a pessoa (ainda que apenas por voz e à distância).

O exemplo mais comum é o da chamada em que o hacker consegue uma lista de números de telefone de clientes bancários e contacta os clientes apresentando-se como sendo do banco. O número de telefone é falsificado para que a vítima pense que se trata mesmo do seu banco. O criminoso alega que há um problema e pede à vítima que lhe confirme os dados pessoais para o resolver; a vítima entrega assim os seus dados pessoais a um criminoso, de mão beijada. Na dúvida, desligue e tome a iniciativa de contactar o seu banco para confirmar se se passa alguma coisa.

Clonagem de cartões

Esta técnica, também conhecida como “card skimming”, consiste na criação de um clone do seu cartão multibanco. Os criminosos colocam um dispositivo numa caixa Multibanco, na ranhura onde se coloca o cartão; o dispositivo copia a informação da banda magnética do cartão e envia-a para os criminosos, que a utilizará para fazer compras ou levantamentos.

A clonagem de cartões não implica o roubo permanente dos seus dados pessoais, mas os danos podem fazer-se sentir muito rapidamente, e já tem acontecido em Portugal.

Roubo de correio

Atualmente é raro que informação financeira confidencial ou importante seja enviada por correio tradicional, ou físico. Ainda assim, mantém-se a possibilidade de o seu correio ser intercetado por terceiros, sendo fundamental não enviar extratos bancários, fotocópias de documentos de identificação ou outra informação sensível por esta via. Destrua documentos que deixaram de ser necessários e que contenham informação importante; espiar lixo ou papéis descartados é um meio fácil de tentar cometer roubo de identidade.

Combinámos as estatísticas de um relatório da Javelin Strategy & Research de 2019 com dados de queixas de roubo de identidade online apresentadas à Federal Trade Commission norte-americana para perceber quais são os perigos mais habituais para as vítimas de roubo de identidade nos Estados Unidos. Na ausência de dados atualizados para Portugal, é de crer que os perigos sejam semelhantes, pois trata-se de comportamentos online que tendem a assemelhar-se um pouco por todo o mundo. Vejamos:

Em Portugal, provavelmente, haverá mais fraudes com cartões de débito comuns que cartões de crédito, muito usados nos Estados Unidos. Mas a perspetiva geral (“big picture”, como dizem os americanos) dá-nos uma ideia muito aproximada dos perigos que se correm.

Agora que já compreendeu como é fácil – pois há tantas formas! – proceder à usurpação da identidade de alguém, vejamos como pode uma pessoa descobrir que afinal é vítima de um crime. Em geral, trata-se de alertas de que algo de errado já está a acontecer.

• Movimentos estranhos na sua conta bancária. Fala-se frequentemente na burla “Olá pai, olá mãe” do WhatsApp. Mas há outras formas mais sub-reptícias de usurpação de identidade. Há casos de vendedores de telecomunicações porta a porta que usam os dados de uma pessoa que já é cliente para forjar um contrato com serviços adicionais que depois são cobrados à pessoa, recebendo os vendedores a comissão da “suposta” venda efetuada. Como a vítima já paga habitualmente uma fatura daquela empresa de telecomunicações, pode não se aperceber do “extra” na fatura – principalmente se o pagamento for feito por débito direto.
• Recusa de concessão de crédito. Apesar de o seu historial e credenciais serem impecáveis, uma instituição financeira recusa-lhe um empréstimo. Se criminosos tiverem pedido empréstimos em seu nome, é provável que tal aconteça.
• Faturas em papel deixam de ser entregues. Pode acontecer que estejam a ser intercetadas por alguém, dentro ou fora do sistema dos Correios.
• Os seus dados vazaram (“leak” ou violação). Caso isso tenha acontecido, os seus dados de login ou de identificação pessoal podem estar a ser usados para cometer ilegalidades, sem o seu conhecimento. Ainda que nem todos os vazamentos tenham a mesma gravidade, é útil visitar o site Have I Been Pwned e verificar que dados seus possam ter sido comprometidos.
• Recebeu um e-mail a informar que a sua conta foi acedida. Se não se lembra de a ter usado, leve o aviso da empresa ou serviço online a sério. Mude os dados de login rapidamente.

Sendo o roubo de identidade online, como vimos, o mais provável de acontecer e mais fácil de executar, vejamos algumas medidas que o ajudarão a evitar o surgimento de inconvenientes.

• Use passwords complexas. Crie senhas diferentes para cada conta ou serviço e não tente memorizá-las; faça-as o mais difíceis e exclusivas possível e guarde-as num gestor de passwords encriptado (nunca no seu browser, que pode ser hackeado). Fixe uma dica simples: enquanto uma password de 10 caracteres pode ser adivinhada por um ataque de força bruta ao fim de alguns meses, uma password de 12 caracteres misturados (incluindo letras, números, caracteres especiais) demora mais de 100 anos a ser decifrada da mesma forma.
• Siga as boas práticas de proteção de dados pessoais e de privacidade online. Ative a autenticação multifator ou por dois fatores nos serviços que utiliza, reduza ao mínimo possível a interação com sites suspeitos, não instale apps que não sejam fidedignas, partilhe o mínimo de informação sobre si nas redes sociais, etc. Aprenda como navegar em segurança na internet e ponha essas dicas em prática.
• Descarregue a app do seu banco. Use-a para acompanhar deduções e transações em tempo real.
• Reaja a vazamentos. Se for informado de que os seus dados, guardados numa empresa (como foi o caso da TAP), vazaram, mude imediatamente a senha e, se possível, o nome de utilizador. Se usou os mesmos noutro serviço, mude-os também. Lembre-se que pode demorar algum tempo até que o cibercriminoso aceda a todos os milhares ou milhões de conjuntos de dados que roubou – ou até que os venda na dark web a outro criminoso interessado em fazer algo com eles. Esse compasso de espera dá-lhe tempo para se defender.
• Use uma VPN. A app da NordVPN encripta todo seu tráfego e navegação de internet, tornando-o praticamente invisível a estranhos. Também pode proteger uma conexão de Wi-Fi pública com a VPN se precisar de trabalhar no exterior, uma vez que as redes de wi-fi públicas são especialmente vulneráveis a hackers. A VPN tem a vantagem de proteger a sua privacidade na internet, em geral, não só contra roubo de identidade mas também contra outras ameaças.
• Use a Proteção Contra Ameaças, a funcionalidade da NordVPN que bloqueia a exibição de anúncios intrusivos (ads), faz “scan” a ficheiros que esteja a ponto de descarregar e impede-o de aceder a sites capazes de disseminar spyware e outros géneros de malware por quem os visita.
• Verifique o seu perfil de crédito. Consulte a Central de Responsabilidades de Crédito do Banco de Portugal e veja se a sua situação se mantém sem problemas. Atenção; esta medida não evita o roubo de identidade, mas ajuda-o a enfrentar o problema o mais rapidamente possível caso tenha sucedido algo.
• Faça compras em sites seguros e credíveis. Por exemplo, é seguro comprar no AliExpress, dado ser um portal com provas dadas, ainda que não esteja sujeito ao RGPD ou outra legislação europeia focada nos direitos do consumidor. Mas outros portais ou sites podem não ser merecedores da mesma confiança – deve por isso evitá-los até que provem ser seguros.

Logo que detete que alguém roubou a sua identidade, deverá contactar o seu banco de forma a cancelar os cartões bancários e o acesso ao seu homebanking. Em seguida, apresente queixa contra desconhecidos nas autoridades.

Caso o problema que tenha detetado se tenha revelado ao nível de outros serviços ou circunstâncias que não o seu banco, mude os dados de acesso (logins, nomes de utilizador, passwords, códigos PIN, etc.). Tal será especialmente urgente caso se trate de um serviço de e-wallet, pois os seus depósitos em dinheiro estarão em causa.

É importante reunir provas que venham a ser úteis em tribunal contra os agressores. É o caso dos registos de movimentações bancárias e outras operações feitas em seu nome e depois de ter detetado um roubo de identidade, mas também de comunicações (SMS, e-mails, etc., trocados com os bancos, por exemplo).

Informe a sua entidade empregadora, que poderá ser confrontada com factos sobre si que não correspondam à verdade (caso venha a ser vítima de difamação, como vimos acima). Se algo está errado com a sua conta bancária, impeça o empregador de pagar o seu salário para essa conta. Faça o mesmo com parceiros, clientes e fornecedores importantes.

Cancele o Cartão de Cidadão caso este tenha desaparecido. Pode ter sido roubado por outra pessoa – e pode dar-se o caso de, caso lhe tenham roubado a carteira, o terem feito precisamente para usar os dados do CC e não pelo dinheiro. De acordo com o Portal ePortugal, o CC deve ser cancelado em dez dias após o conhecimento da perda, destruição, furto ou roubo.