Podes postar a notícia? Só consigo perceber que alguém foi apanhado num esquema de phishing / hacking em que o Novo Banco é perfeitamente irrelevante.
14 movimentos ilícitos
O ataque informático dá-se, a 8 de Outubro, no preciso momento em que Rosana Rodrigues fazia os seus pagamentos periódicos dentro do site do Novo Banco, através de computador protegido por sistema antivírus. Seis dias depois, o dinheiro começou a sair da sua conta, em movimentos sucessivos e diários, de montantes idênticos, para entrar noutras duas contas do Novo Banco, mas estas de dois beneficiários diferentes, que assim que o dinheiro foi libertado o levantaram.
“Tudo isto se passou sem que os mecanismos antifraude do Novo Banco tenham funcionado e os responsáveis da agência onde tenho conta há 32 anos tenham sinalizado as 14 transferências ilícitas, apesar de estas não se enquadrarem no meu historial de cliente — uma única conta de onde não há saídas de dinheiro para terceiros, pois destina-se apenas a alimentar uma subconta com dinheiro à ordem sempre que esta tem falta de provisionamento”, explica Rosana Rodrigues.
O modus operandi não é estranho aos departamentos de investigação que se dedicam ao combate às práticas de cibercrime. Contactado pelo PÚBLICO, o Centro Nacional de Cibersegurança sublinhou que, considerando apenas os seus dados, se registou, em 2020, “um aumento de 79% no volume total de incidentes de cibersegurança”, representando “a banca, instituições e clientes, 13% desse total, quando em 2019 representava 8%”.
Tudo isto se passou sem que os mecanismos antifraude do Novo Banco tenham funcionado e os responsáveis da agência onde tenho conta há 32 anos tenham sinalizado as 14 transferências ilícitas
Os passos do crime
A 8 de Outubro, a directora da empresa MCS-Madeira Corporate Services, Rosana Rodrigues, entrou no site oficial do Novo Banco, através de um computador ligado ao servidor da empresa com sede no Funchal protegido com sonic wall (barreira de protecção) e antivírus.
Com toda a confiança, e depois de aceder à sua conta pessoal, liquidou a contribuição mensal à Caixa de Previdência de Advogados e Solicitadores no valor de 251,38 euros, tendo recebido a comprovativo de que o pagamento foi efectuado “com sucesso”. Habitualmente cautelosa na sua relação com o banco, Rosana Rodrigues verificou pelo extracto bancário a liquidação da contribuição.
Até aqui tudo normal. Só que nesse preciso momento, e quando ainda se encontrava dentro do site oficial do Novo Banco, no meio da publicidade que a instituição faz circular às suas novas funcionalidades, abriu-se no ecrã do computador uma janela com a seguinte comunicação, feita “mais ou menos” nestes termos: “A fim de agilizar os seus pagamentos, o Novo Banco disponibiliza a funcionalidade de integração da sua chave móvel digital no sistema. Aponte a câmara para o seu cartão matriz/chave móvel.”
O ataque à conta pessoal da advogada, directora da MCS, começou aqui, neste trecho que simula um pedido do banco. Daqui em diante, encadearam-se episódios familiares à generalidade dos clientes bancários que usam canais digitais para fazer movimentos financeiros. E daí não ter estranhado a mensagem, dado que “o próprio banco faz publicidade, em todos os suportes, da sua nova imagem, das suas apps e das novas funcionalidades que oferece”. A cliente tirou a fotografia do seu cartão, com recurso ao seu telemóvel, mas sem fazer download.
Nesse preciso momento, e sem nada mais fazer, a imagem do cartão apareceu no ecrã do computador, na página ainda aberta do site oficial do banco, tendo-se “sobreposto um tick verde, em tudo igual aos ticks produzidos pelo site do Novo Banco quando completada qualquer operação com sucesso”. Nada do que se passara a levava a suspeitar poder estar na mira de um ataque informático.
Dali a cinco dias, a 13 de Outubro, Rosana Rodrigues foi abordada por telefone por uma voz masculina que, num português sem qualquer sotaque, se apresentou como colaborador do Novo Banco.
Passava do meio-dia e naquele momento estava a almoçar em Lisboa com o amigo Alexandre Brandão da Veiga, que assistiu à conversa e cujo nome é referenciado na reclamação ao BdP. Num tom “absolutamente profissional e em tudo igual a qualquer contacto telefónico que recebi no passado deste banco”, o interlocutor pediu desculpa por a estar “a incomodar” àquela hora, mas queria avisá-la de que “os alarmes do sistema do Novo Banco tinham sido accionados num pedido de pagamento a partir da minha conta, via canais digitais de um valor significativo”.
E era essa a razão por detrás do contacto, pois pretendia confirmar se “eu estava a tentar realizar um pagamento de aproximadamente 5000 euros”, ao que Rosana Rodrigues lhe respondeu que “não estava”. E ao ser informada de que fora vítima de tentativa de fraude, a advogada manifestou surpresa e preocupação.
Com a naturalidade de quem trata de matérias semelhantes com os clientes, o alegado colaborador do banco transmitiu que podia ficar “descansada porque, entretanto, o banco iria bloquear a saída dos fundos e iria proceder ao cancelamento imediato do meu acesso aos canais digitais”. Perante o esclarecimento, a advogada concordou imediatamente, até porque “hoje em dia os contactos com o Novo Banco são feitos sempre através do telefone ou canais digitais”.
E o que se seguiu foram as formalidades usadas em movimentos bancários, as que qualquer cliente conhece. O interlocutor participou-lhe que iria “receber, de imediato, um código no meu telemóvel” solicitando que lho facultasse para poder dar andamento ao processo.
No mesmo instante, Rosana Rodrigues recebeu, por SMS, o código, que apareceu “exactamente abaixo do último SMS que recebi do Novo Banco com o código de validação do pagamento”, de 251,38 euros, à Caixa de Previdência de Advogados e Solicitadores, movimento que sabia ter sido efectuado. E nada lhe parecendo fora da prática habitual do banco, forneceu o código de autorização.
Já com a senha em seu poder, o alegado colaborador do Novo Banco declarou que “a partir daquele momento todos os canais [digitais] estavam bloqueados” e que Rosana Rodrigues “iria receber em casa, dentro de uma semana a nova chave digital, acrescentando que, como o endereço para a entrega era no Funchal, poderia levar mais algum tempo”.
Assim que o telefonema terminou, Rosana Rodrigues acedeu imediatamente, através do seu telemóvel, ao site do Novo Banco, e verificou que “os canais estavam realmente bloqueados”. Presumindo que o sistema de segurança do Novo Banco a “salvara” de um esquema montado para a defraudar, sem nada suspeitar, ficou descansada.
Tem de se juntar ao grupo ‘Lesados do NB’ quando esta instituição for dividida em ‘Banco Desagradável’ e ‘Recente Banco’.
> Aponte a câmara para o seu cartão matriz/chave móvel.
pois…
>Ao PÚBLICO, Rosana Rodrigues lamenta “que o Novo Banco esteja a passar a mensagem de que é estranho aos acontecimentos, sustentando que fui eu que facultei dados que não devia”, mas a burla deu-se quando eu fazia transacções dentro do site do banco, como é fácil de provar pelos documentos que entreguei às autoridades”. E “se os bancos disponibilizam e publicitam os serviços por canais digitais, têm que assumir, no mínimo, o risco dos seus clientes poderem vir a ser burlados”.
Minha Senhora… lá por *pensar* que está no site oficial não quer dizer que esteja mesmo no site oficial. Assim como se alguém vestido de policia vier ter consigo não quer dizer que seja mesmo polícia.
Dito isto… não deveriam ser precisas 14 transferências de valores máximos diários (ou perto disso) para disparar alarmes no banco.
>E na reclamação elenca razões: “Se o banco disponibiliza canais digitais para consulta e movimentação de fundos e bem assim para outras funcionalidades, o banco é responsável pelo segurança desses canais e a utilização destes canais não pode beliscar os valores que lhe foram confiados em depósito”. E dado que “é a segurança do Novo Banco e de todos os clientes que está em causa, e esse é um problema do banco”, então “o Novo Banco tem de ser, no mínimo, parcialmente responsável”.
Como advogada devia saber ler melhor os contratos que assina. Dúvido muito que o acordo de utilização do homebanking diga o que ela diz.
Mas quem é que ainda confia no Novo Banco?! Já não deram provas suficientes que não são de confiança?!
Sempre que nesses sites for pedido um novo passo que o cliente nunca tenha feito/recebido antes, desconfiar, parar o processo e ligar logo para as linhas oficiais do banco.
E acho que associar uma conta de valores tão altos a homebanking e cenas online é algo arriscado (se alguém puder falar melhor disto, agradeço). Não o faria
Epah, “tirar foto ao cartão matriz” e “fornecer codigos de validação por telefone” duas coisas que aparecem escarrapachados na aplicação e acesso online para nao o fazer…
Faz lembrar o rapaz que a uns tempos aqui veio dizer que tambem lhe limparam a conta, porque forneceu um codigo por telefone.
Duvido muito que consiga que o novo banco seja responsavel pelo erro dela.
É por isso eu adoro a função de cofre na Revolut. É dinheiro que está na tua conta mas não acessível para movimentos.
9 comments
Podes postar a notícia? Só consigo perceber que alguém foi apanhado num esquema de phishing / hacking em que o Novo Banco é perfeitamente irrelevante.
14 movimentos ilícitos
O ataque informático dá-se, a 8 de Outubro, no preciso momento em que Rosana Rodrigues fazia os seus pagamentos periódicos dentro do site do Novo Banco, através de computador protegido por sistema antivírus. Seis dias depois, o dinheiro começou a sair da sua conta, em movimentos sucessivos e diários, de montantes idênticos, para entrar noutras duas contas do Novo Banco, mas estas de dois beneficiários diferentes, que assim que o dinheiro foi libertado o levantaram.
“Tudo isto se passou sem que os mecanismos antifraude do Novo Banco tenham funcionado e os responsáveis da agência onde tenho conta há 32 anos tenham sinalizado as 14 transferências ilícitas, apesar de estas não se enquadrarem no meu historial de cliente — uma única conta de onde não há saídas de dinheiro para terceiros, pois destina-se apenas a alimentar uma subconta com dinheiro à ordem sempre que esta tem falta de provisionamento”, explica Rosana Rodrigues.
O modus operandi não é estranho aos departamentos de investigação que se dedicam ao combate às práticas de cibercrime. Contactado pelo PÚBLICO, o Centro Nacional de Cibersegurança sublinhou que, considerando apenas os seus dados, se registou, em 2020, “um aumento de 79% no volume total de incidentes de cibersegurança”, representando “a banca, instituições e clientes, 13% desse total, quando em 2019 representava 8%”.
Tudo isto se passou sem que os mecanismos antifraude do Novo Banco tenham funcionado e os responsáveis da agência onde tenho conta há 32 anos tenham sinalizado as 14 transferências ilícitas
Os passos do crime
A 8 de Outubro, a directora da empresa MCS-Madeira Corporate Services, Rosana Rodrigues, entrou no site oficial do Novo Banco, através de um computador ligado ao servidor da empresa com sede no Funchal protegido com sonic wall (barreira de protecção) e antivírus.
Com toda a confiança, e depois de aceder à sua conta pessoal, liquidou a contribuição mensal à Caixa de Previdência de Advogados e Solicitadores no valor de 251,38 euros, tendo recebido a comprovativo de que o pagamento foi efectuado “com sucesso”. Habitualmente cautelosa na sua relação com o banco, Rosana Rodrigues verificou pelo extracto bancário a liquidação da contribuição.
Até aqui tudo normal. Só que nesse preciso momento, e quando ainda se encontrava dentro do site oficial do Novo Banco, no meio da publicidade que a instituição faz circular às suas novas funcionalidades, abriu-se no ecrã do computador uma janela com a seguinte comunicação, feita “mais ou menos” nestes termos: “A fim de agilizar os seus pagamentos, o Novo Banco disponibiliza a funcionalidade de integração da sua chave móvel digital no sistema. Aponte a câmara para o seu cartão matriz/chave móvel.”
O ataque à conta pessoal da advogada, directora da MCS, começou aqui, neste trecho que simula um pedido do banco. Daqui em diante, encadearam-se episódios familiares à generalidade dos clientes bancários que usam canais digitais para fazer movimentos financeiros. E daí não ter estranhado a mensagem, dado que “o próprio banco faz publicidade, em todos os suportes, da sua nova imagem, das suas apps e das novas funcionalidades que oferece”. A cliente tirou a fotografia do seu cartão, com recurso ao seu telemóvel, mas sem fazer download.
Nesse preciso momento, e sem nada mais fazer, a imagem do cartão apareceu no ecrã do computador, na página ainda aberta do site oficial do banco, tendo-se “sobreposto um tick verde, em tudo igual aos ticks produzidos pelo site do Novo Banco quando completada qualquer operação com sucesso”. Nada do que se passara a levava a suspeitar poder estar na mira de um ataque informático.
Dali a cinco dias, a 13 de Outubro, Rosana Rodrigues foi abordada por telefone por uma voz masculina que, num português sem qualquer sotaque, se apresentou como colaborador do Novo Banco.
Passava do meio-dia e naquele momento estava a almoçar em Lisboa com o amigo Alexandre Brandão da Veiga, que assistiu à conversa e cujo nome é referenciado na reclamação ao BdP. Num tom “absolutamente profissional e em tudo igual a qualquer contacto telefónico que recebi no passado deste banco”, o interlocutor pediu desculpa por a estar “a incomodar” àquela hora, mas queria avisá-la de que “os alarmes do sistema do Novo Banco tinham sido accionados num pedido de pagamento a partir da minha conta, via canais digitais de um valor significativo”.
E era essa a razão por detrás do contacto, pois pretendia confirmar se “eu estava a tentar realizar um pagamento de aproximadamente 5000 euros”, ao que Rosana Rodrigues lhe respondeu que “não estava”. E ao ser informada de que fora vítima de tentativa de fraude, a advogada manifestou surpresa e preocupação.
Com a naturalidade de quem trata de matérias semelhantes com os clientes, o alegado colaborador do banco transmitiu que podia ficar “descansada porque, entretanto, o banco iria bloquear a saída dos fundos e iria proceder ao cancelamento imediato do meu acesso aos canais digitais”. Perante o esclarecimento, a advogada concordou imediatamente, até porque “hoje em dia os contactos com o Novo Banco são feitos sempre através do telefone ou canais digitais”.
E o que se seguiu foram as formalidades usadas em movimentos bancários, as que qualquer cliente conhece. O interlocutor participou-lhe que iria “receber, de imediato, um código no meu telemóvel” solicitando que lho facultasse para poder dar andamento ao processo.
No mesmo instante, Rosana Rodrigues recebeu, por SMS, o código, que apareceu “exactamente abaixo do último SMS que recebi do Novo Banco com o código de validação do pagamento”, de 251,38 euros, à Caixa de Previdência de Advogados e Solicitadores, movimento que sabia ter sido efectuado. E nada lhe parecendo fora da prática habitual do banco, forneceu o código de autorização.
Já com a senha em seu poder, o alegado colaborador do Novo Banco declarou que “a partir daquele momento todos os canais [digitais] estavam bloqueados” e que Rosana Rodrigues “iria receber em casa, dentro de uma semana a nova chave digital, acrescentando que, como o endereço para a entrega era no Funchal, poderia levar mais algum tempo”.
Assim que o telefonema terminou, Rosana Rodrigues acedeu imediatamente, através do seu telemóvel, ao site do Novo Banco, e verificou que “os canais estavam realmente bloqueados”. Presumindo que o sistema de segurança do Novo Banco a “salvara” de um esquema montado para a defraudar, sem nada suspeitar, ficou descansada.
Tem de se juntar ao grupo ‘Lesados do NB’ quando esta instituição for dividida em ‘Banco Desagradável’ e ‘Recente Banco’.
> Aponte a câmara para o seu cartão matriz/chave móvel.
pois…
>Ao PÚBLICO, Rosana Rodrigues lamenta “que o Novo Banco esteja a passar a mensagem de que é estranho aos acontecimentos, sustentando que fui eu que facultei dados que não devia”, mas a burla deu-se quando eu fazia transacções dentro do site do banco, como é fácil de provar pelos documentos que entreguei às autoridades”. E “se os bancos disponibilizam e publicitam os serviços por canais digitais, têm que assumir, no mínimo, o risco dos seus clientes poderem vir a ser burlados”.
Minha Senhora… lá por *pensar* que está no site oficial não quer dizer que esteja mesmo no site oficial. Assim como se alguém vestido de policia vier ter consigo não quer dizer que seja mesmo polícia.
Dito isto… não deveriam ser precisas 14 transferências de valores máximos diários (ou perto disso) para disparar alarmes no banco.
>E na reclamação elenca razões: “Se o banco disponibiliza canais digitais para consulta e movimentação de fundos e bem assim para outras funcionalidades, o banco é responsável pelo segurança desses canais e a utilização destes canais não pode beliscar os valores que lhe foram confiados em depósito”. E dado que “é a segurança do Novo Banco e de todos os clientes que está em causa, e esse é um problema do banco”, então “o Novo Banco tem de ser, no mínimo, parcialmente responsável”.
Como advogada devia saber ler melhor os contratos que assina. Dúvido muito que o acordo de utilização do homebanking diga o que ela diz.
Mas quem é que ainda confia no Novo Banco?! Já não deram provas suficientes que não são de confiança?!
Sempre que nesses sites for pedido um novo passo que o cliente nunca tenha feito/recebido antes, desconfiar, parar o processo e ligar logo para as linhas oficiais do banco.
E acho que associar uma conta de valores tão altos a homebanking e cenas online é algo arriscado (se alguém puder falar melhor disto, agradeço). Não o faria
Epah, “tirar foto ao cartão matriz” e “fornecer codigos de validação por telefone” duas coisas que aparecem escarrapachados na aplicação e acesso online para nao o fazer…
Faz lembrar o rapaz que a uns tempos aqui veio dizer que tambem lhe limparam a conta, porque forneceu um codigo por telefone.
Duvido muito que consiga que o novo banco seja responsavel pelo erro dela.
É por isso eu adoro a função de cofre na Revolut. É dinheiro que está na tua conta mas não acessível para movimentos.