Porque é que os casos de fraude de sequestro de conta estão a aumentar

Em poucas palavras

• A fraude de sequestro de conta (ATO) já roubou mais de $262 milhões em 2025.
• Os criminosos fazem-se passar por bancos através de mensagens de texto, chamadas, sites falsos e anúncios fraudulentos.
• Os primeiros sinais de aviso incluem a perda súbita do serviço móvel, alertas de início de sessão estranhos, novos beneficiários ou alterações de conta que não foram efectuadas por si.
• Proteja-se com MFA não SMS, palavras-passe únicas, marcadores e PINs de contas móveis.
• O ScamAdviser ajuda-o a verificar rapidamente ligações, números de telefone e detalhes suspeitos antes de cair numa burla.

Pare o que está a fazer. Respire fundo. Agora verifique o login da sua conta bancária. Quando o FBI emite um aviso de cinco alarmes sobre um único tipo de cibercrime, é porque algo enorme está a acontecer - e, neste momento, essa ameaça é a Fraude de aquisição de conta (ATO). De acordo com o Internet Crime Complaint Center (IC3) do FBI, os cibercriminosos já roubaram mais de 262 milhões de dólares desde janeiro de 2025, invadindo contas financeiras, portais de salários e até contas poupança de saúde. Mais de 5.100 vítimas relataram ter sido atingidas - e essas são apenas as que perceberam a tempo.

Isto não é alguém a adivinhar a sua palavra-passe. Trata-se de uma invasão digital coordenada, em que os criminosos se fazem passar por funcionários do seu banco, imitam os seus sítios Web, enganam-no para que entregue as suas credenciais e, em seguida, bloqueiam a sua própria vida financeira. Indivíduos, famílias e empresas de todas as dimensões têm sido visados. Nenhum sector está imune.

O que é o Account Takeover (ATO) e porque é que é tão perigoso?

Imagine a sua conta bancária como um cofre. Você tem a chave - a sua palavra-passe - e um alarme de segurança - a sua autenticação multifactor, MFA. A ATO acontece quando os criminosos conseguem roubar a sua chave, silenciar o alarme e sair com tudo o que está lá dentro. Depois de obterem acesso, avançam com uma velocidade assustadora: redefinem a sua palavra-passe, mudam o seu e-mail, alteram as suas informações de contacto e transferem o seu dinheiro para carteiras de criptomoedas ou contas controladas por criminosos. Quando o utilizador se apercebe de que algo está errado, os danos são muitas vezes irreversíveis.

O FBI sublinha que esta vaga de fraudes ATO não se deve apenas a fugas de palavras-passe, mas também a criminosos que se fazem passar por equipas de apoio a instituições financeiras. Eles não se limitam a roubar as suas informações - eles falam para entrar nelas.

Como é que os criminosos invadem as contas?

Embora o preenchimento de credenciais, o phishing e a troca de SIM continuem a ser as principais tácticas, o FBI avisa que os ataques baseados em falsificação de identidade estão a aumentar. Atualmente, os cibercriminosos fingem ser funcionários de bancos, serviços de apoio ao cliente, departamentos de fraude ou mesmo agentes da autoridade que o "ajudam" com um problema falso.

A engenharia social desempenha um papel fundamental. Os criminosos telefonam ou enviam mensagens de texto a fingir que o alertam para uma "compra fraudulenta" ou "início de sessão não autorizado". Podem até afirmar que a suposta compra envolve algo sério - como armas de fogo - para criar pânico. Depois, conduzem-no a um site falso ou convencem-no a ler o seu código de reposição da palavra-passe ou o código MFA/OTP. Depois de o terem, iniciam sessão no site real do banco, redefinem tudo e bloqueiam-no.

Os sítios Web de phishing estão a tornar-se quase impossíveis de distinguir dos verdadeiros. Alguns burlões utilizam mesmo o envenenamento por SEO, comprando anúncios nos motores de busca para que o seu sítio fraudulento apareça acima do sítio do banco legítimo. Se clicar na hiperligação errada, vai parar a uma réplica perfeita da página de início de sessão do seu banco, entrega as suas credenciais e, sem saber, dá aos criminosos acesso total.

Uma vez lá dentro, eles agem rapidamente. As palavras-passe são alteradas. Os endereços de correio eletrónico são trocados. Novas regras de conta são adicionadas. Os fundos são transferidos, muitas vezes diretamente para carteiras de criptomoedas, onde desaparecem instantaneamente. Em muitos destes casos, as vítimas perdem o acesso às suas próprias contas em poucos minutos.

Quais são os primeiros sinais de alerta de um ataque ATO?

A primeira pista é muitas vezes a mais silenciosa. Se o seu telemóvel perder subitamente o serviço sem motivo, isso pode significar que alguém trocou o seu SIM para assumir o controlo dos seus códigos MFA. As notificações inesperadas sobre alterações de palavra-passe, novos dispositivos, novos beneficiários ou tentativas de início de sessão que não efectuou são grandes sinais de alerta.

Alguns criminosos chegam mesmo a alterar os endereços de correio ou a desativar os e-mails de extractos para que não se aperceba da falta de depósitos ou de novos levantamentos. Pequenas transacções de teste - como alguns cêntimos - são frequentemente utilizadas para verificar as credenciais roubadas antes de esvaziar a sua conta horas mais tarde.

E se, de repente, receber chamadas de alguém que diz ser um "investigador de fraudes", "técnico do banco" ou "agente da polícia a ajudar com actividades suspeitas", presuma que se trata de uma fraude até prova em contrário. O FBI deixa claro: as instituições legítimas não pedirão o seu nome de utilizador, palavra-passe ou código MFA.

Como é que se protege realmente da fraude ATO?

Comece por atualizar os seus hábitos de segurança. Se a sua MFA ainda depende de códigos SMS, está vulnerável à troca e interceção de SIM. Mude para uma aplicação de autenticação ou, melhor ainda, para uma chave de hardware física.

As suas palavras-passe devem ser únicas e complexas para todas as contas, sem excepções. Um gestor de palavras-passe facilita este processo e fecha a porta a ataques de preenchimento de credenciais.

Ao iniciar sessão em sítios Web financeiros, nunca confie em resultados de pesquisa ou anúncios. Marque o site oficial como favorito ou digite-o manualmente. A autenticação multifator não o salvará se introduzir as suas credenciais num site falso.

Reduza também o que partilha online. Os criminosos adoram detalhes pessoais como nomes de animais de estimação, aniversários e escolas - são ingredientes perfeitos para adivinhar a sua palavra-passe ou perguntas de segurança.

E proteja o seu serviço móvel tal como a sua conta bancária: defina um PIN ou uma frase-chave com o seu operador para evitar trocas não autorizadas de SIM.

Monitorize regularmente as suas contas bancárias para detetar depósitos em falta, transferências inesperadas ou despesas invulgares. Quanto mais cedo detetar irregularidades, maiores serão as hipóteses de recuperar os fundos.

O que deve fazer se for vítima de ATO?

Se pensa que a sua conta foi comprometida, actue imediatamente. Contacte a sua instituição financeira e solicite a retirada ou o estorno de quaisquer transferências não autorizadas. Solicite uma carta de isenção de responsabilidade ou uma carta de indemnização - os bancos exigem frequentemente isto antes de tentarem efetuar recuperações.

Redefina todas as credenciais que possam ter sido expostas. Se utilizou a mesma palavra-passe em qualquer outro local, altere-a também nesse local.

Em seguida, apresente uma denúncia detalhada em IC3.gov, incluindo todos os detalhes relevantes: sites falsos que visitou, números de telefone utilizados pelos burlões, capturas de ecrã, IDs de transacções e a frase "Account Takeover" ou "SEO poisoning" na sua denúncia. Por fim, notifique a empresa que se fez passar por si para que possa avisar outras pessoas e solicitar a remoção da página de phishing.

FAQs: Respostas rápidas a grandes preocupações
Os burlões conseguem mesmo fazer-se passar por bancos de forma convincente?
Sim. O FBI confirma que os criminosos estão agora a fazer-se passar por funcionários de bancos, departamentos de fraude falsos e até mesmo agentes da autoridade para enganar as vítimas.

O envenenamento por SEO é realmente comum?
Cada vez mais. Os criminosos compram anúncios de pesquisa que redireccionam os utilizadores para páginas de início de sessão falsas que parecem idênticas a sites de bancos reais.

E se eu tiver clicado numa ligação mas não tiver introduzido os meus dados?
Pode ainda estar seguro, mas monitorize as suas contas. Alguns sítios de phishing também instalam malware.

A autenticação multifunções pode ser contornada?
Sim, se der aos criminosos o seu OTP ou se eles sequestrarem o seu número de telefone através da troca de SIM.

Devo ligar de volta para números que dizem ser do meu banco?
Não. Desligue, procure você mesmo o número oficial e ligue para esse número.

O meu banco reembolsa-me?
Por vezes. Uma denúncia rápida aumenta drasticamente as suas hipóteses.

Qual é o hábito mais importante a adotar hoje?
Marcar a página de início de sessão do seu banco e nunca mais iniciar sessão a partir de um e-mail, texto ou anúncio.

Impeça a burla antes de ela começar com o ScamAdviser

Nem sempre recebe um aviso antes de uma fraude ATO, mas pode dar a si próprio uma oportunidade de lutar. Antes de clicar numa hiperligação, responder a uma mensagem de texto de um "banco" ou enviar dinheiro, verifique primeiro.

A aplicação ScamAdviser ajuda-o a verificar rapidamente:

• Sites e URLs para malware e phishing
• Números de telefone com identificação de chamadas em tempo real
• Detalhes do IBAN para confirmar para quem está realmente a enviar dinheiro
• Hiperligações suspeitas de mensagens de texto e de correio eletrónico

Uma verificação rápida pode impedir a próxima burla de 262 milhões de dólares.

Descarregue hojea aplicação ScamAdviser e fique um passo à frente da fraude ATO.