Abr 272010
 

…e não, nenhum e-mail que recebeu! Encontrei na net, contado na primeira pessoa.

Como tive oportunidade de ver uma reportagem sobre o assunto e sei que é mesmo assim que funciona, decidi partilhar convosco para que não haja para aí alguém mais distraído ;) LEIAM porque é verdade!

CGD – Caixa Geral de Depósitos, um banco seguro?

Venho relatar um caso que se passou comigo e publicar este post para alertar toda a gente das graves falhas de segurança do sistema de homebanking da Caixa Geral de Depósitos. Agradecia também que quem ler este post e tenha tido algum problema semelhante com este ou me escreva uma MP para me explicar como conseguiu resolver o caso:

Eu e o meu marido temos as nossas contas ordenado num banco e tinhamos uma conta à ordem na Caixa Geral de Depósitos onde iamos colocando as nossas parcas poupanças e que utilizávamos em caso de algum imprevisto ou urgência. Como tal, eram poucas as vezes que consulltava os movimentos da mesma.

Durante o mês de Maio de 2009, como estava à espera de receber o reembolso do IRS, entrava no site da CGD (Caixa directa online), digitando o endereço normal do mesmo www.cgd.pt (sem recorrer a favoritos ou links) fazia a autenticação através do nº de contrato e código de acesso, via teclado virtual, e entrava no site. Assim que o fazia, surgia um pop-up com uma cópia do cartão matriz em branco com uma mensagem a dizer “Por questões de segurança deve proceder ao recadastramento do cartão matriz”, não me permitindo acesso a nenhum item do menu.

Entrei várias vezes durante o mês de Maio e sempre me aconteceu isto. No dia 19 resolvi tirar o cartão matriz que tinha em casa no cofre e trazê-lo para o meu local de trabalho (onde passo cerca de 9 a 10h/dia) para fazer o recadastramento e aceder aos movimentos da conta. Confesso que foi uma estupidez não ter percebido que era uma armadilha e que não era a CGD a pedir-me as coordenadas mas sim um pessoa mal intencionada. Nunca recebi nenhum e-mail da CGD a avisar para este tipo de fraudes nem reparei nos avisos constantes do site para isso. Apenas sabia que não devia responder a mensagens por e-mail da CGD com links a pedir dados.

Para mim, estava no site do Banco e era a CGD que me estava a pedir isto.

Ingenuamente, assim o fiz: após a autenticação, preenchi todas as coordenadas do cartão matriz e tive acesso imediato ao menu da conta, tendo constatado até, que havia recebido o reembolso nesse dia (20/05/2009). É isto que me deixa na dúvida, como posso estar num site pirata e de imediato aceder à minha conta?

Nunca mais acedi ao Caixa Directa online até este Domingo às 23h em que resolvemos tirar um extracto para ver as nossas contas. Entrei através do meu computador de casa (que até tinha estado em reparação durante uma semana e havia voltado a casa na semana anterior) e qual não foi o meu espanto quando constato que tenho 66,48€ na conta da CGD quando deveria ter quase 2.400€!

Imprimi uma consulta de movimentos e vejo uma transferência de 2.300€ no dia 26/05/09 para um número de conta que não reconheço.

Percebi logo que haviamos sido roubados e lembrei-me que havia feito o recadastramento do cartão matriz. Ainda tive esperança de que fosse algum engano da CGD ou que fosse alguma coisa explicável e liguei via telefone para o Caixa Directa.

A operadora informa-me que foi uma transferência feita para uma conta da CGD e se não havia sido eu a dar a ordem via homebanking. Digo que não, pergunto quem é o titular da conta, ao que ela me informa que não pode dizer e me pergunta se alguma vez me foi pedido para colocar as coordenadas do cartão matriz. Prova que a CGD sabe que este tipo de fraude existe!

A senhora disse que ia registar a queixa, desactivar o meu acesso online e que o Departamento de Fraudes iria entrar em contacto comigo brevemente. Perguntámos-lhe (eu e o meu marido) se deveriamos ir à agência onde a conta está sediada ao que me foi respondido que apenas para entrarem com contacto com o Departamento de Fraudes e saberem o que se está a passar. Quando perguntámos se deviamos ir à Polícia, disse-nos que estavamos no direito de fazermos o que quisessemos.

Após esta conversa entrei em contacto com o meu outro banco a cancelar os acessos online para não correr mais riscos porque eu nem percebi bem o que se estava a passar: apenas sabia que me tinham roubado!

Em seguida andei a consultar na net se existiam mais casos como o meu e existem às centenas só que em moldes diferentes: todos os outros receberam mails com links a pedir actualização de dados, o que não se passou comigo.

Depois de uma noite sem dormir e de estarmos nos nossos empregos, resolvemos ir à agência solicitar o nome do titular da conta para onde o meu dinheiro havia sido transferido e em seguida ir à Polícia Judiciária participar o roubo.

Quando me dirijo ao Gerente de Balcão e lhe explico a situação, deparo-me com um encolher de ombros e a constatação de que era mais uma burlada e que podia dizer adeus ao meu dinheiro!

Ao pedido do nome de titular e congelamento da conta do mesmo (pois também é da CGD) é nos dito que nos devemos diirigir à PJ e apresentar queixa e só após isto poderiam agir. Como insistimos que a CGD tinha uma grave falha de segurança e que queriamos o nome do titular para poder dar na PJ, ligaram para o Departamento de Fraudes e colocaram um inspector a falar comigo.

Não podem imaginar como me tratou (passei a sentir-me eu a criminosa e não a vítima): se não tinha sido eu a dar os códigos, se não tinha visto os avisos no site, se não tinha visto que recadastramento é uma palavra abrasileirada, etc. Por fim, lá me deram o nome da titular (que tem 17 anos de idade) e me explicaram como era feita a burla / fraude: o “pirata/hacker” faz uma cópia da página e eu penso que estou no site da CGD, após obter o que quer e quando surge a oportunidade, transfere um montante para a conta de um(a) menor com conta na CGD que aceita que o dinheiro passe nessa conta a troco de uma comissão, de seguida transfere para outra conta qualquer, levanta fichas no Casino Estoril ou no Casino de Lisboa com o Cartão Multibanco, passeia as fichas durante um tempo e depois dirige-se à Caixa trocando as fichas por dinheiro. E está a lavagem feita!

Já fiz uma queixa-crime na Polícia Judiciária contra a titular da conta e para a semana quando conseguir obter uma certidão desta queixa enviarei para o Departamento de Fraudes da CGD para poder investigar.

Amanhã irei novamente à agência da CGD apresentar queixa no livro de reclamação para o Banco de Portugal ter conheicmento desta situação e irei até onde for preciso. Se o sistema de homebanking não é fiável e seguro, não o proponham ao cliente. E como me explicam que 95% das queixas de fraude, de phishing e de pharming (novo método mais eficaz) sejam com clientes da Caixa Geral de Depósitos?

UMA COISA É CERTA: NÃO VOU RECEBER O MEU DINHEIRO DE VOLTA MAS NÃO ME VOU CALAR!

Quem diz a CGD, diz outro banco qualquer, portanto, cuidado! ;)