…e não, nenhum e-mail que recebeu! Encontrei na net, contado na primeira pessoa.
Como tive oportunidade de ver uma reportagem sobre o assunto e sei que é mesmo assim que funciona, decidi partilhar convosco para que não haja para aí alguém mais distraído 
LEIAM porque é verdade!
…
CGD – Caixa Geral de Depósitos, um banco seguro?
Venho relatar um caso que se passou comigo e publicar este post para alertar toda a gente das graves falhas de segurança do sistema de homebanking da Caixa Geral de Depósitos. Agradecia também que quem ler este post e tenha tido algum problema semelhante com este ou me escreva uma MP para me explicar como conseguiu resolver o caso:
Eu e o meu marido temos as nossas contas ordenado num banco e tinhamos uma conta à ordem na Caixa Geral de Depósitos onde iamos colocando as nossas parcas poupanças e que utilizávamos em caso de algum imprevisto ou urgência. Como tal, eram poucas as vezes que consulltava os movimentos da mesma.
Durante o mês de Maio de 2009, como estava à espera de receber o reembolso do IRS, entrava no site da CGD (Caixa directa online), digitando o endereço normal do mesmo www.cgd.pt (sem recorrer a favoritos ou links) fazia a autenticação através do nº de contrato e código de acesso, via teclado virtual, e entrava no site. Assim que o fazia, surgia um pop-up com uma cópia do cartão matriz em branco com uma mensagem a dizer “Por questões de segurança deve proceder ao recadastramento do cartão matriz”, não me permitindo acesso a nenhum item do menu.
Entrei várias vezes durante o mês de Maio e sempre me aconteceu isto. No dia 19 resolvi tirar o cartão matriz que tinha em casa no cofre e trazê-lo para o meu local de trabalho (onde passo cerca de 9 a 10h/dia) para fazer o recadastramento e aceder aos movimentos da conta. Confesso que foi uma estupidez não ter percebido que era uma armadilha e que não era a CGD a pedir-me as coordenadas mas sim um pessoa mal intencionada. Nunca recebi nenhum e-mail da CGD a avisar para este tipo de fraudes nem reparei nos avisos constantes do site para isso. Apenas sabia que não devia responder a mensagens por e-mail da CGD com links a pedir dados.
Para mim, estava no site do Banco e era a CGD que me estava a pedir isto.
Ingenuamente, assim o fiz: após a autenticação, preenchi todas as coordenadas do cartão matriz e tive acesso imediato ao menu da conta, tendo constatado até, que havia recebido o reembolso nesse dia (20/05/2009). É isto que me deixa na dúvida, como posso estar num site pirata e de imediato aceder à minha conta?
Nunca mais acedi ao Caixa Directa online até este Domingo às 23h em que resolvemos tirar um extracto para ver as nossas contas. Entrei através do meu computador de casa (que até tinha estado em reparação durante uma semana e havia voltado a casa na semana anterior) e qual não foi o meu espanto quando constato que tenho 66,48€ na conta da CGD quando deveria ter quase 2.400€!
Imprimi uma consulta de movimentos e vejo uma transferência de 2.300€ no dia 26/05/09 para um número de conta que não reconheço.
Percebi logo que haviamos sido roubados e lembrei-me que havia feito o recadastramento do cartão matriz. Ainda tive esperança de que fosse algum engano da CGD ou que fosse alguma coisa explicável e liguei via telefone para o Caixa Directa.
A operadora informa-me que foi uma transferência feita para uma conta da CGD e se não havia sido eu a dar a ordem via homebanking. Digo que não, pergunto quem é o titular da conta, ao que ela me informa que não pode dizer e me pergunta se alguma vez me foi pedido para colocar as coordenadas do cartão matriz. Prova que a CGD sabe que este tipo de fraude existe!
A senhora disse que ia registar a queixa, desactivar o meu acesso online e que o Departamento de Fraudes iria entrar em contacto comigo brevemente. Perguntámos-lhe (eu e o meu marido) se deveriamos ir à agência onde a conta está sediada ao que me foi respondido que apenas para entrarem com contacto com o Departamento de Fraudes e saberem o que se está a passar. Quando perguntámos se deviamos ir à Polícia, disse-nos que estavamos no direito de fazermos o que quisessemos.
Após esta conversa entrei em contacto com o meu outro banco a cancelar os acessos online para não correr mais riscos porque eu nem percebi bem o que se estava a passar: apenas sabia que me tinham roubado!
Em seguida andei a consultar na net se existiam mais casos como o meu e existem às centenas só que em moldes diferentes: todos os outros receberam mails com links a pedir actualização de dados, o que não se passou comigo.
Depois de uma noite sem dormir e de estarmos nos nossos empregos, resolvemos ir à agência solicitar o nome do titular da conta para onde o meu dinheiro havia sido transferido e em seguida ir à Polícia Judiciária participar o roubo.
Quando me dirijo ao Gerente de Balcão e lhe explico a situação, deparo-me com um encolher de ombros e a constatação de que era mais uma burlada e que podia dizer adeus ao meu dinheiro!
Ao pedido do nome de titular e congelamento da conta do mesmo (pois também é da CGD) é nos dito que nos devemos diirigir à PJ e apresentar queixa e só após isto poderiam agir. Como insistimos que a CGD tinha uma grave falha de segurança e que queriamos o nome do titular para poder dar na PJ, ligaram para o Departamento de Fraudes e colocaram um inspector a falar comigo.
Não podem imaginar como me tratou (passei a sentir-me eu a criminosa e não a vítima): se não tinha sido eu a dar os códigos, se não tinha visto os avisos no site, se não tinha visto que recadastramento é uma palavra abrasileirada, etc. Por fim, lá me deram o nome da titular (que tem 17 anos de idade) e me explicaram como era feita a burla / fraude: o “pirata/hacker” faz uma cópia da página e eu penso que estou no site da CGD, após obter o que quer e quando surge a oportunidade, transfere um montante para a conta de um(a) menor com conta na CGD que aceita que o dinheiro passe nessa conta a troco de uma comissão, de seguida transfere para outra conta qualquer, levanta fichas no Casino Estoril ou no Casino de Lisboa com o Cartão Multibanco, passeia as fichas durante um tempo e depois dirige-se à Caixa trocando as fichas por dinheiro. E está a lavagem feita!
Já fiz uma queixa-crime na Polícia Judiciária contra a titular da conta e para a semana quando conseguir obter uma certidão desta queixa enviarei para o Departamento de Fraudes da CGD para poder investigar.
Amanhã irei novamente à agência da CGD apresentar queixa no livro de reclamação para o Banco de Portugal ter conheicmento desta situação e irei até onde for preciso. Se o sistema de homebanking não é fiável e seguro, não o proponham ao cliente. E como me explicam que 95% das queixas de fraude, de phishing e de pharming (novo método mais eficaz) sejam com clientes da Caixa Geral de Depósitos?
UMA COISA É CERTA: NÃO VOU RECEBER O MEU DINHEIRO DE VOLTA MAS NÃO ME VOU CALAR!
…
Quem diz a CGD, diz outro banco qualquer, portanto, cuidado!
Talvez essa senhora deva ter mais atençao ao que instala no computador e porque páginas anda a passear quando navega na internet e talvez essas coisas nao aconteçam…
Foi apenas mais uma vítima de um ataque conhecido por web injection, em que ao contrário do que o senhor especialista da CGD disse á senhora, ela nao estava em nenhuma cópia da página, mas sim na página da CGD verdadeira onde o software malicioso introduziu o formulário para a pessoa introduzir os dados.
Os softwares maliciosos que estao por trás de 99% desse tipo de ataques sao o ZeuS e o Spy Eye, que se podem comprar livremente na internet por valores entre os $5000 e os $15000 e até fazer download grátis de versões mais antigas se se souber onde procurar.
Poderia deixar aqui uns links para sites onde explicam o modo de operação dos hackers e dos ditos banking trojans mas todas as páginas que encontrei estão em inglês e são mais informações técnicas que provavelmente seriam inúteis para a maioria dos leitores.
A dita senhora diz para terem cuidado com os sistemas de home banking… eu digo que os sistemas de home banking é que deveriam ter cuidado com a maioria das pessoas que usa a internet por hábito e pensa que é um meio seguro… pois, mas não é… porque no fundo no fundo, se o computador da senhora estava comprometido, existem 99% de probabilidades de ter sido a própria a dar autorizaçao ao dito software malicioso para ser instalado.
Portanto amigos, abram os olhos, cuidado com os links que seguem no MSN e com as páginas que visitam!
Teórico…on fire!
Este comentário foi submetido a copy-past para a home page!
TO-MA!
Ola. Passou se o mesmo comigo a 3 dias atras, acedi ao site da CGD como faço todos os dias e tentei fazer um pagamento online, como muitos, e nao consegui, e fui ver as mensagens que tinha para ler dentro da minha conta.Era para confirmar os meus dados da matriz para poder continuar a fazer os pagamentos online. Na primeira transferencia tiraram 990 euros e no dia a seguir mais 990 euros, foi quando fui a conta e deparei me que me tinham tirado 1980 euros sem a minha autorizaçao. Liguei para o serviço online da CGD para me explicarem e cancelarem a conta online. E pedi como a transferencia tinha sito no proprio dia para cancelarem ou mesmo bloquearem a conta da pessoa que recebeu o dinheiro indevido. Dizeram que todos os mecanismo de segurança tinham sido tomados e que vou ser contactado pelo departamentos interno de fraudes.
Acho piada é coo estas situaçoes acontecem tantas vezes que a propia entidade bancaria nao toma medidas para apanharem quem faz e para contratar mais pessoas competitivas para o trabalho.
Como é que ficou com a situaçao, chegou a receber o dinheiro? Ou ja processou a entidade banacaria? Pois eles tem que ter segurança no proprio site.
Despeço me com os meus melhores cumprimentos;
Olá Ricardo e benvindo ao tasco da Dama!
…sentirmo-nos roubados é uma situação muito frustrante :S
Lamento a situação :S …também acho que a CGD já devia ter tomado as providências necessárias à garantia dos direitos dos seus depositantes (quanto mais não seja, depositantes de confiança!).
Na verdade (e como referi no post sobre o assunto), esta situação não se passou comigo, apenas encontrei este depoimento na internet e fiz questão de partilhá-lo para alertar “os mais distraídos”…
Nem sei o que lhe dizer
Espero que tudo se resolva pelo melhor e, quem sabe, que consiga reaver o seu dinheiro de uma forma qualquer
Cumprimentos da Dama para o Ricardo!
Volte sempre que será bem recebido!
Boas!
Aconteceu com uma empresa! Fizeram-se algumas (muito poucas) operações com o cartão matriz. Nunca, repito, NUNCA foi recebido nenhum email de phishing, e nunca, NUNCA foram dados os dados do cartão matriz nem o mesmo estava acessível ao comum dos mortais. Mesmo assim, um belo dia, fizeram 4 transferências de cerca de 44.000 Euros para contas diversas. 2 eram clientes da CGD, mas apenas um deles foi bloqueado a tempo. A CGD demorou a rsponder e disse qualquer coisa como “A utilização do cartão matriz é da v/ responsabilidade e as trasnferências foram por vós autorizadas, pelo que não é da nossa responsabilidade…”!!! O casa foi comunicado à Judiciária e intreposta acção contra os titulares das contas para as quais foi transferido o dinheiro e a própria CGD. O caso não é único, mas os bancos enviam isso para “canto” e, se o cliente não for muito importante, fica a ver navios!!!