O que são sites de burlas e como saber se uma página é falsa?

Sites de burlas ou sites de golpes (scam websites) são quaisquer domínios e páginas web ilegítimos criados para roubar o seu dinheiro, informações pessoais ou infetar o seu dispositivo com malware. Estes sites fraudulentos podem parecer muitas coisas diferentes – uma loja sem nome com produtos ridiculamente baratos ou uma empresa real com milhões de utilizadores reais.

Criar um site de burlas é uma forma de atividade fraudulenta e maliciosa praticada pela maioria dos hackers e burlões (scammers). É relativamente barato, e copiar o conteúdo de um site legítimo também não é difícil.

Normalmente, os scam websites não existem de forma independente – eles têm uma campanha de phishing, malvertising ou spam a acompanhá-los. Os scammers espalham links nos seus sites maliciosos para que estes apareçam em:

• e-mails ou mensagens de texto de phishing
• publicações em redes sociais e fóruns
• comentários em qualquer página online (geralmente distribuídos por bots)
• anúncios em motores de pesquisa.

Um burlão mais diligente pode até usar técnicas de pharming para redirecionar os sites legítimos para a versão falsa do burlão. Assim que você chega a uma página falsa, a forma como o site fraudulento funciona vai depender do tipo de burla.

Alguns sites falsos imitam a página de login ou pagamento de uma empresa ou marca conhecida, para que você acredite que é mesmo real e forneça as suas credenciais. Outros sites fraudulentos tentam assustá-lo mostrando-lhe avisos sobre vírus no seu dispositivo e depois oferecem-lhe software para resolver o problema, levando-o assim a descarregar malware.

Um site de burlas pode também parecer uma normal loja online, mas, neste caso, quando você faz uma compra, o burlão foge com o seu dinheiro e nenhuma encomenda chega até si.

Existem diferentes tipos de burlas online, e os scam sites também se apresentam em diferentes formatos. Cada tipo de site de burlas tem características próprias que podem servir como sinais de alerta para que seja possível identificá-los.

Sites de phishing

Os sites de phishing são um tipo de ataque de phishing. Os golpistas distribuem links para estes sites via e-mail e falsificam tudo, desde o remetente até todas as partes do site que eles fingem ser. Tudo, exceto um trivial detalhe no URL, faz com que o site pareça uma empresa real, geralmente uma com muitos clientes, como a Amazon ou o PayPal.

Lojas online e páginas de descontos falsas

As lojas online falsas parecem sites de e-commerce reais, porém não vendem nada. Elas prometem bens ou serviços com descontos ou vouchers que parecem bons demais para ser verdade.

Você adiciona itens ao carrinho de compras, vai para a página de pagamento e envia as suas informações de pagamento. Os burlões obtêm os detalhes do seu cartão de pagamento, como o código CVV, enquanto você fica a aguardar por produtos que nunca chegam e descobre compras suspeitas no seu próximo extrato bancário.

Vendedores de bilhetes falsos

Além das lojas online falsas, você pode encontrar páginas que fingem vender bilhetes, geralmente bem mais baratos que os do vendedor legítimo. No caso de uma fraude com um bilhete, você até pode mesmo receber um. Mas não lhe dará entrada em lugar nenhum porque esse bilhete será tão falso como o site.

Sites clones

Os sites clones imitam empresas legítimas. Eles apresentam-se como seguros de saúde, sites governamentais, bancos ou outras instituições prestigiadas.

Os sites clones solicitam que você pague multas ou prolongue o seu seguro, avisam-no sobre pagamentos suspeitos na sua conta ou apressam-no a confirmar as suas passwords, dados bancários ou outras informações. Se você se deixar levar por este tipo de burla, tudo o que submeter neste site imitador vai acabar nas mãos de criminosos.

Sites de scareware

Os sites de scareware são o tipo de site falso mais invulgar. Eles usam alertas de vírus falsos e botões enganadores para levá-lo a descarregar malware em vez de submeter informações confidenciais.

Você pode reconhecer estas páginas a partir dos pop-ups e mensagens clickbait (que induzem ao clique) que alegam existir vírus no seu dispositivo, e que apresentam um conveniente botão com link para um software antivírus que serviria para eliminar o software malicioso.

Quer lhe seja pedido para pagar por um antivírus ou o forneçam gratuitamente, o download é malware disfarçado. Ao invés de remover vírus que nem existem, ele infeta o seu dispositivo com verdadeiro malware. E então pode causar tantos danos como vários sites fraudulentos combinados – destruir o seu dispositivo, roubar-lhe as suas informações confidenciais, incluindo detalhes dos seus cartões de pagamentos, ou manter o seu dispositivo refém e exigir um resgate.

Sites de concursos ou sorteios fraudulentos

Os sites de sorteios falsos anunciam-no como vencedor de um iPhone grátis ou outro prémio fabuloso, mesmo que você nunca tenha sequer participado em nenhum concurso.

Os sites de sorteios podem até mostrar-lhe o seu endereço IP ou o nome do seu ISP para parecerem mais legítimos. Para reclamar o seu prémio, é-lhe pedido que forneça as suas informações pessoais ou que pague pela entrega, levando a que perca dados confidenciais e dinheiro.

Os scammers têm todos os tipos de ferramentas para criar sites de burlas; por isso, distinguir uma página falsa de uma real pode ser um grande desafio.

Se eles se fizerem passar por um site legítimo, podem manipular o URL, o favicon, o certificado de segurança e o conteúdo do mesmo. Você precisa de ser extremamente cuidadoso e prestar atenção aos mínimos detalhes.

Aqui estão algumas coisas que pode fazer para identificar um site falso.

A maioria dos links dos sites chegam-nos de algum lugar – resultados de pesquisa, sites de redes sociais, mensagens de amigos, etc. Os links dos sites falsos não são exceção. E a origem desses links pode ser o melhor indicador de que o website é uma fraude.

Verifique sempre a origem dos links que quer abrir. Se é um e-mail, olhe para o remetente, o conteúdo, a assinatura e procure outros sorteios de e-mail de phishing. Pergunte-se se estava à espera desse e-mail e se faz sentido estar a recebê-lo.

Faça o mesmo em relação a outras fontes.

Publicações e comentários em redes sociais têm autores que você pode verificar. Se alguém com quase nenhum amigo e uma imagem generalista como foto de perfil estiver a espalhar um link de uma forma quase robótica, a probabilidade é que esse link leve a algo malicioso.

DICA PRO: Nunca forneça informações confidenciais depois de clicar num link ou num pop-up. Em vez disso, use o seu motor de pesquisa ou marcadores para chegar ao site legítimo manualmente.

As redes sociais e os fóruns online estão cheios de posts e comentários falsos escritos por bots e trolls, por isso espalhar sites falsos por esses meios não é invulgar.

Outras fontes podem ser menos evidentes. Por exemplo, você não pode confiar sempre nos resultados do seu motor de pesquisa. Os burlões podem comprar anúncios e investir em SEO para que os seus sites apareçam nos primeiros lugares dos resultados devolvidos pelos motores de pesquisa.

E até mesmo mensagens dos seus amigos podem incluir links para sites falsos, caso eles tenham clicado no mesmo link e infetado os seus dispositivos anteriormente.

Antes de abrir o link, deve também analisar os URLs e os nomes dos domínios. É especialmente importante quando você o recebe vindo de uma fonte questionável, como um e-mail de spam ou um comentário nas redes sociais.

Alguns links são diferentes do que parecem. Por exemplo, veja o seguinte link:

www.google.com

Parece um link para o motor de pesquisa do Google, mas se verificar para onde direciona o link (URL), vai ver que abre na verdade o motor de pesquisa DuckDuckGo. Você pode fazer esta verificação passando o seu rato sobre a palavra que tem o link associado se estiver a aceder através do computador, ou pressionando e segurando no link até que o URL apareça caso esteja a aceder através do telemóvel.

Verificar para onde direciona o link deve ser a primeira coisa a fazer antes de abrir qualquer link. Mas não é a única.

No exemplo acima, fica claro que o verdadeiro link leva a outro site. Mas se esse URL fosse mais parecido com o do Google, seria mais fácil cair num erro. E os scammers têm muitas maneiras de fazer com que os links sejam semelhantes, especialmente quando estes são muito mais longos que o do nosso exemplo.

O site de burla pode:

• Usar um domínio de nível superior diferente. Por exemplo, .net em vez de .com.
• Ter pontuação extra no nome do domínio.
• Ter o nome original com um erro ortográfico (uma técnica conhecida como typosquatting).
• Usar um número em vez de uma letra no nome do domínio; por exemplo, um zero em vez da letra “o”, o que seria menos percetível quando o URL usa letras maiúsculas.
• Usar uma letra semelhante de um alfabeto diferente. Por exemplo, as letras “о” e “р” aqui são do alfabeto cirílico – elas podem ser usadas para criar um nome de domínio único que parece quase idêntico a alguns sites legítimos na maioria das fontes.
• Usar o nome do site legítimo como um subdomínio com o verdadeiro domínio a ser completamente diferente (por exemplo, legitimatesitename.com.thescamwebsite.com).

E existem ainda outras técnicas de URL spoofing (falsificação de URL). Portanto, sempre que um link lhe suscitar dúvidas, não clique diretamente nele. Abra o marcador guardado que tiver desse site ou procure-o no motor de pesquisa.

Outra coisa que deve verificar quando olha para o URL é se o site tem um certificado SSL/TLS. Este está indicado por um símbolo de cadeado antes do URL e o prefixo HTTPS na barra de endereço da web.

O SSL/TLS garante que as informações que troca com o site são encriptadas e, portanto, estão mais seguras que os dados que fornece em sites sem o certificado (aqueles que começam com HTTP, mas sem o “S” no final). Tal mantém as suas informações protegidas contra bisbilhoteiros, como ataques man-in-the-middle.

No entanto, se um site é seguro contra terceiros, isso não significa que seja seguro no geral. Quando se trata de sites falsos, você precisa preocupar-se com quem administra o site.

Os burlões podem obter um certificado para que o seu site falso pareça mais legítimo. Portanto, embora possa considerar os sites HTTP inseguros, não baixe a guarda depois de ver que o site corre em HTTPS. Verifique os detalhes do certificado no seu browser:

• Chrome: ícone do cadeado > A ligação é segura > O certificado é válido
• Firefox: ícone do cadeado > Conexão segura > Mais informações > Ver certificado
• Edge: ícone do cadeado > A ligação é segura > ícone do certificado
• Opera: ícone do cadeado > A ligação é segura > Certificado é válido
• Safari: ícone do cadeado > Mostrar certificado

Os detalhes que pode obter variam dependendo do tipo de certificado. Mas você poderá ver o domínio nos detalhes do certificado, que revela o domínio real do site, mesmo que os scammers tentassem enganá-lo ao sobrepor subdomínios.

Entretanto, também é revelado para quem o certificado é emitido. Se a empresa não é aquela que deveria ser responsável pelo site, isso é outro sinal de alerta.

Se pegar num site real e na sua cópia falsa, outra diferença clara pode ser a idade do domínio. Tomemos o PayPal como exemplo. O site legítimo do PayPal foi criado em 1999, enquanto as cópias falsas apenas existem durante algumas semanas ou meses. E não são apenas as cópias do PayPal – a maioria dos sites falsos são eliminados mais cedo ou mais tarde.

Portanto, é útil verificar a idade do domínio na página Whois Lookup. Também é fácil – cole o URL que quer verificar e veja as “Datas” nos detalhes do perfil do domínio. São mostrados exatamente quantos dias o domínio tem e quando foi registado.

Às vezes, basta olhar com atenção para o conteúdo do site para identificar um site falso. Se o site tem alguma das coisas seguintes, não é um bom sinal:

• Linguagem pobre. Se o texto no site tem vários e óbvios erros de digitação, de ortografia e de gramática, pode ser um sinal de que a cópia do site foi escrita por uma pessoa que não é nativa da língua (seja português, inglês ou outra) ou não tem conhecimentos de redação na web. Os sites legítimos, especialmente os maiores, têm redatores e editores na sua equipa para evitar linguagem inadequada.
• Urgência ou medo, apelando à ação imediata. Os sites falsos querem que você forneça as suas credenciais, faça download do seu malware ou envie as suas informações financeiras antes que lhe surja qualquer dúvida sobre a legitimidade deles. É por isso que usam técnicas de engenharia social e linguagem emocional para o convencer. Eles podem enfatizar a urgência de algo (a sua conta será encerrada se você não reagir imediatamente, você será multado se não enviar algo a tempo, ou algo semelhante) ou assustá-lo para que faça algo o mais rapidamente possível. Eles usam frequentemente títulos e botões clickbait para conseguirem os seus intentos.
• Problemas de design. Assim como a linguagem, práticas de design questionáveis podem também revelar que um site é falso e não é responsabilidade de um verdadeiro designer. Se o site é difícil de navegar, tem imagens de baixa qualidade e vários elementos, como logótipos, estão desfocados e distorcidos, pergunte-se se um site legítimo se permitiria ter esse aspeto.
• Pop-ups e anúncios intrusivos. A maioria dos sites na internet apresentam alguns anúncios, mas se os anúncios são tudo o que você vê, não deve ignorar essa realidade. Estes anúncios intrusivos podem ser quase impossíveis de retirar, pois ocultam os botões para serem fechados ou até não os têm. Os sites podem também solicitar-lhe que ative as notificações do browser; a página pode só ser carregada caso você aceda a esta solicitação.
• Falta de páginas importantes. Os sites legítimos terão uma página “Sobre Nós”, informações de contacto e política de privacidade, às quais se pode aceder a partir da homepage. Os sites de compras online também incluirão páginas onde é explicado como se processa o envio, quais são os métodos de pagamento e a política de devolução. Se o site não apresentar estas informações ou se ao abrir estas páginas é redirecionado para outro domínio, deve pensar duas vezes antes de fornecer qualquer informação.
• Falta de métodos de pagamento. Os verdadeiros sites de compras online permitem-lhe escolher entre várias opções de pagamento – desde cartões de crédito a serviços de pagamento como o PayPal. As e-shops falsas apenas terão opções de pagamento que são difíceis de rastrear pelas autoridades, como cartões-presente ou criptomoedas.

Os sites de burlas costumam reutilizar os seus textos e imagens em muitos domínios, pelo que você pode usar motores de pesquisa (Google e semelhantes) para pesquisar o conteúdo.

• Pesquise o conteúdo do site online. Copie e cole algumas frases do site no motor de pesquisa. Pode também usar aspas nas frases para obter resultados que correspondam exatamente a esse texto. Se você obtiver dezenas de sites com o texto idêntico ou páginas a sugerir que o texto está ligado a uma burla, não procure mais.
• Pesquise informações de contacto online. Copie qualquer informação da empresa, como o nome, e-mail ou número de telefone e pesquise a mesma na internet. Se outro conteúdo não permitir chegar a grandes conclusões, informações falsas da empresa, e-mails associados a burlas na internet ou números de telefone usados em ataques de vishing poderão fazê-lo.
• Verifique as avaliações dos clientes e a presença nas redes sociais. Se o site contém quaisquer avaliações, pesquise-as. As mesmas avaliações repetidas em vários produtos e serviços diferentes podem ser um bom indicador do trabalho de um bot. Você pode também pesquisar avaliações genuínas sobre a empresa e o site para obter sinais de alerta ou a confirmação que o site é fraudulento. Além disso, a maioria das marcas têm seguidores nas redes sociais, portanto uma página totalmente nova no Facebook com quase nenhuns seguidores pode indicar um site falso.
• Pesquise imagens idênticas online. Se um site contém ilustrações que deveriam ser exclusivas, como fotos de clientes, você também pode procurá-las online. Copie o link de uma imagem e pesquise imagens semelhantes online. A foto vem de um banco de imagens ou aparece repetida em toda a web? Não é um cliente real. E provavelmente não é a única coisa falsa nesse site.

Os golpes de phishing e os sites falsos são um grande problema, daí existirem muitas ferramentas disponíveis para combatê-los. Portanto, você pode sempre colar o URL de um site numa dessas ferramentas como, por exemplo, a Google’s Safe Browsing Site Status.

A funcionalidade Proteção Contra Ameaças da NordVPN também monitoriza sites falsos e ajuda a evitar que se aceda aos mesmos. O seu URL scanner verifica os sites na sua lista de bloqueio de sites para determinar se determinado site é seguro. Você pode ativar a Proteção Contra Ameaças na sua app NordVPN para estar mais tranquilo quando abre links desconhecidos.

Se for apanhado numa burla num site, arrisca-se a perder informações confidenciais e dinheiro ou a ter o seu dispositivo infetado com malware. E estes cenários não são mutuamente exclusivos.

Os burlões podem usar as suas informações para roubo de identidade, contactar e enganar os seus familiares e amigos, contrair empréstimos, abrir novas contas em seu nome… a lista continua e continua. Se essas informações incluírem quaisquer dados financeiros ou derem acesso indireto a informações financeiras, você também se arrisca a perder dinheiro.

Os perigos de uma infeção por malware dependem do tipo de malware. Se tiver sorte e os hackers se limitarem a instalar adware no seu dispositivo, você passará a ver muitos anúncios indesejados. Algo muito chato, mas não demasiado ameaçador. Outros tipos de malware são mais perigosos – os hackers podem manter o seu dispositivo ou documentos reféns e pedir um pagamento de resgate ou registar tudo o que você faz e aceder ao seu dispositivo para obter informações pessoais ou financeiras.

Independentemente dos riscos que um site falso traz, é fundamental agir imediatamente caso identifique um site de burlas ou, pior ainda, se for vítima de um.

Se caiu num esquema de um site falso, siga os seguintes passos imediatamente:

1. Cancele os seus cartões de pagamentos e contacte o seu banco. Se os scammers já iniciaram qualquer pagamento fraudulento, tente revertê-lo. Informe o seu banco ou empresa responsável pelo cartão de crédito sobre o que aconteceu e cancele os seus cartões, para que os burlões não consigam esvaziar a sua conta bancária ou abrir novas contas em seu nome.
2. Mude as suas passwords. Se pensou que estava a fazer login num site verdadeiro e usou as suas credenciais, mude a sua password imediatamente. Mude as senhas de todas as suas contas se reutilizar as mesmas em qualquer outro lugar (e evite repetir este mau hábito na internet no futuro).
3. Ative a autenticação de dois fatores (2FA) nas suas contas. Mesmo que os burlões tenham a sua password, eles não conseguirão aceder à sua conta se você tiver a 2FA configurada. A menos que o site falso tenha trazido malware para o seu dispositivo. Nesse caso…
4. Use um software antivírus para verificar se há malware no seu dispositivo. Um site falso pode ter iniciado o download de malware, pelo que executar uma verificação de vírus antes que ele cause qualquer dano é uma boa ideia. Você pode também iniciar o dispositivo no modo de segurança para remover qualquer software novo suspeito.
5. Denuncie o site de burlas. Você pode verificar as informações abaixo para conhecer as várias organizações que podem ajudá-lo a bloquear e deitar abaixo sites fraudulentos.

Denunciar scam websites é a chave para se livrar deles o mais rápido possível. Pode ainda ajudar a evitar que as pessoas se tornem vítimas destas burlas online.

1. Denuncie o site ao Google

Ame ou odeie o Google, o certo é que ele pode bloquear o acesso a sites falsos no seu motor de pesquisa e outros produtos, como o YouTube. Ele pode também impedir que o Chrome e outros browsers carreguem o site, e pode fazer com que os e-mails com links para o site sejam enviados diretamente para a sua pasta de spam no Gmail.

Você pode denunciar o site falso ao Google colocando o URL no seu detetor de sites falsos, a página Google Safe Browsing page.

2. Denuncie o site à Microsoft

Tal como o Google, a Microsoft também tem muito poder quando se trata de sites fraudulentos. A empresa pode impedir que o site falso apareça nos resultados de pesquisa do Bing e Yahoo, e que seja carregado nos navegadores Internet Explorer e Edge. Pode também bloquear e-mails do Outlook que contenham o link para o site de burla denunciado.

Você pode denunciar o site falso à Microsoft enviando o seu URL na página Microsoft Security Intelligence page.

3. Denuncie o site a empresas de cibersegurança

Assim como o Google e a Microsoft, as empresas de cibersegurança também trabalham na área da inteligência contra ameaças cibernéticas e podem ajudar a derrubar sites falsos. Por exemplo, a maioria das empresas antivírus aceitará denúncias de sites associados a burlas para incluir os mais recentes sites fraudulentos nas listas de bloqueio dos seus scanners de software.

4. Denuncie o site ao governo e às autoridades

Algumas instituições governamentais também podem ajudá-lo a derrubar sites falsos. Você pode denunciar os sites de burlas através dos seguintes meios:

• Fazendo uma queixa eletrónica no site do Ministério da Administração Interna;
• Reportando a situação através do e-mail especializado do Ministério Público.

Denuncie também o site à polícia e autoridades locais, especialmente se já foi vítima deste tipo de crime. Pode optar por se deslocar à esquadra da GNR ou PSP mais próxima, que encaminhará a sua queixa da melhor forma, ou contactar a Polícia Judiciária online através do formulário que esta disponibiliza para efetivar uma queixa eletrónica.

5. Denuncie o site à empresa pela qual ele se está a fazer passar

Como muitos sites falsos se fazem passar por uma empresa real e legítima, você pode também denunciar o site de burla a essa mesma empresa que ele está a “copiar”.

Por exemplo, se é um site falso que finge ser o PayPal ou a Amazon, pode enviar o link ou encaminhar o e-mail de phishing para phishing@paypal.com ou stop-spoofing@amazon.com respetivamente.

Se for um site falso da NordVPN, pode informar-nos entrando em contacto com o nosso apoio ao cliente.

Da mesma forma, pode alertar as empresas sobre os seus “imitadores” contactando-as diretamente ou encontrando páginas de denúncia próprias através de uma rápida pesquisa online.