Maria Manuel ficou sem 700 euros no espaço de uma hora e meia porque, sem saber, tinha uma aplicação de póker instalada no Facebook. Esta empresária, de 45 anos, que vive em Lisboa, diz que não joga póker - nem sabe como jogar - e não faz ideia de como o jogo foi parar à sua conta do Facebook. Um clique sem querer ou uma autorização que não sabia que estava a dar podem ter estado na origem do problema.
Maria é sócia-gerente de uma empresa de roupa para bebé que tem, como tantas outras, uma página no Facebook. Por mês, Maria paga uma determinada verba ao Facebook para efeitos de publicidade, tendo para isso uma conta paypal associada à conta na rede social.
Mas no dia 30 de janeiro, qual não foi o seu espanto quando recebeu uma série de notificações no Facebook a dar conta do pagamento de seis tranches de 125 euros. Um valor que não correspondia ao pagamento pela publicidade.
No espaço de uma hora e meia saíram seis tranches”, contou à TVI24.
De imediato, foi ver se tinha algum débito relativo a publicidade, mas não, não tinha. Então de onde saía aquele dinheiro?
Ao verificar as aplicações que tinha na conta do Facebook, Maria estranhou logo a existência de um jogo de póker instalado, chamado “Texas HoldEm Poker”. Não sabia que jogo era aquele ou como tinha ido lá parar. Nunca usou a aplicação e nem sequer joga póker.
Eu não fiz esse download, nem jogo póker nem nada”, sublinhou à TVI24.
De imediato, apagou a aplicação e as notificações ficaram bloqueadas, como se tivessem deixado de existir.
Mas depois, os recibos do Facebook que lhe foram enviados por email confirmaram as suspeitas: o dinheiro tinha mesmo saído por via daquela aplicação.
Desesperada, Maria contactou o Facebook através da ferramenta de suporte ao utilizador. Expôs a situação e pediu ajuda. Mas só um mês depois, conseguiu obter uma resposta. A história teve um final feliz: Maria conseguiu recuperar o dinheiro perdido. Mas até hoje não sabe como é que a aplicação lá foi parar.
Afinal, o que é que pode ter acontecido? Rogério Resende, da empresa especialista em cibersegurança Integrity, diz que neste tipo de situações há várias hipóteses: alguém pode ter acedido à conta e instalado a aplicação - daí ser sempre necessário ter o cuidado de terminar as sessões -, as credenciais podem ter sido pirateadas através de outros sites ou pode ter sido instalada uma aplicação maliciosa que deu acesso ao jogo indevidamente.
Pode ter sido alguém com acesso ao telemóvel, ao tablet ou ao computador pessoal que tenha instalado a aplicação, que por acaso é maliciosa - daí ser sempre necessário ter o cuidado de terminar as sessões. No caso de utilizar a mesma password para vários serviços, podem ter encontrado as passwords e ter acedido indevidamente à conta. Ou então pode ter sido instalado uma aplicação maliciosa que, tendo a sessão aberta também, pode ter instalado o jogo sem o conhecimento do utilizador. Um simples clique basta para instalar uma aplicação e, tendo os métodos de pagamentos ativos, a aplicação sendo maliciosa vai debitar porque o utilizador lhe deu acesso à sua conta", explica.
Passwords, autenticações e outros cuidados que deve ter quando navega na Internet
A verdade é que, muitas vezes, quando navegamos na Internet, um simples clique pode significar uma autorização que não temos a perceção de que estamos a dar, como nos explica Vítor Oliveira, também da empresa especialista em cibersegurança Integrity.
Um clique pode significar o comprometimento do computador, do telemóvel, dos dados pessoais. Por isso é preciso ter muita atenção ao que fazemos na Internet, onde é que nós clicamos. Não clicar em tudo o que vemos, não confiar em tudo, ser sempre desconfiado é um passo importante para a segurança", sublinha.
Vítor Oliveira dá um exemplo concreto: "Às vezes instalamos uma aplicação que é uma lanterna e essa aplicação quer o acesso aos nossos contactos e mensagens. Ora, para que é que uma lanterna precisa de acesso a isso? Para nada não é? Portanto é preciso ter atenção ao que instalamos e onde clicamos".
Para navegar com maior segurança na Internet, os especialistas aconselham: a utilização de passwords fortes, isto é, passwords com pelo menos dez caracteres, que incluam maiúsculas e minúsculas e caracteres especiais; o recurso a password managers, que são programas que geram e armazenam passwords; a utilização de um sistema de dupla autenticação, isto é, exigir um segundo passo de autenticação, além da password, como por exemplo uma mensagem para o telemóvel - este sistema existe tanto no Facebook como no Paypal; ter o cuidado de terminar as sessões de todas as plataformas.
No caso de gerir um negócio nas redes sociais, deve evitar associar a sua conta pessoal à conta do negócio. E se tiver algum negócio no Facebook, opte pelos métodos de pagamento manuais, em detrimento dos pagamentos automáticos.
"Basta clicar num anúncio ou numa imagem e a pessoa está a subscrever o serviço"
O caso de Maria pode ser invulgar, até pelo valor envolvido, mas os casos de wap billing são cada vez muito frequentes e a premissa que lhes é inerente é a mesma: um clique sem querer pode dar uma autorização que não nos apercebemos que estamos a dar.
Basta clicar num anúncio ou numa imagem e a pessoa está a subscrever o serviço", constata Rogério Resende.
Wap billing é um mecanismo que permite a compra de conteúdos digitais, como jogos, toques ou imagens, que são cobrados diretamente na fatura ou no saldo do telemóvel. Estes sistemas identificam o número de telemóvel e cobram através da fatura da operadora, sem ser necessário dar os dados do cartão bancário.
As queixas contra estas subscrições aumentaram 635% no último ano, segundo os dados do Portal da Queixa, a maior rede social de consumidores do país. Os utilizadores afetados dizem que não se aperceberam que estavam a subscrever o serviço e sentem-se enganados pelas operadoras.
E o que é que se pode fazer quando se é afetado por estas práticas? "Ligar para as operadoras e pedir para impedir o nosso número de participar nesses serviços", sublinha Rogério Resende.
O especialista considera que, numa perspetiva de segurança, estes serviços deviam estar barrados por defeito e o utilizador devia solicitar a participação nestes conteúdos se assim o desejasse. Atualmente, o que se verifica é o contrário.
Numa perspetiva de segurança devia ser obrigatório as pessoas ligarem para participar nesses serviços e não o contrário, ou seja, todos os números deviam estar automaticamente impedidos de participar. Se as pessoas quisessem participar aí ligavam e optavam por participar. Isso seria o mais indicado em termos de segurança e era o que deveria estar assente", conclui.