Cibersegurança: nova fraude escondida em imagens

Em Portugal, há uma nova fraude que usa imagens e ficheiros SVG (Scalable Vector Graphics) para roubar dados pessoais e bancários. Estes ficheiros, aparentemente inofensivos, podem conter código malicioso que instala programas espiões ou redireciona para sites falsos, sem que o utilizador perceba.

Saiba como identificar este tipo de ataque e proteger os seus dispositivos.

Como funciona a fraude com ficheiros SVG

Os cibercriminosos usam ficheiros SVG em mensagens de e-mail, WhatsApp e sites falsos que imitam entidades credíveis. À primeira vista, parecem imagens normais, mas podem esconder pequenos programas (scripts) que executam código malicioso, quando abertos num navegador ou aplicação vulnerável.

Há vários sinais de alerta que é importante conhecer:

• mensagens que pedem para “atualizar o WhatsApp” ou “ver uma nova mensagem recebida”;
• e-mails com anexos de imagem em formato .svg;
• mudanças súbitas no aspeto do WhatsApp ou do navegador;
• pedidos para preencher formulários com dados bancários.

Quais os riscos para os utilizadores

• Roubo de credenciais: os dados introduzidos em formulários falsos são enviados aos criminosos, dando-lhes acesso a contas pessoais e bancárias.
• Instalação remota de programas maliciosos, permitem espiar, registar teclas ou controlar remotamente o dispositivo.
• Operações bancárias fraudulentas, a partir do acesso não autorizado aos dispositivos das vítimas.

Como se proteger desta ameaça digital

Determinados cuidados permitem aumentar a proteção face a esta ameaça específica.

• Evite abrir anexos desconhecidos, mesmo que o remetente pareça legítimo e confirme sempre o endereço. Não abra ficheiros SVG, nem clique em links enviados por números ou e-mails estranhos.
• Ajuste as definições de privacidade do WhatsApp. Comece por desativar o descarregamento automático de ficheiros: vá a Definições > Armazenamento e dados > Descarregar automaticamente ficheiros e desmarque todo o tipo de ficheiros. Limite quem pode adicionar o seu número a grupos: vá a Definições > Privacidade > Grupos e escolha Os meus contactos.
• Use um antivírus com análise avançada de ficheiros, preferindo soluções que analisem código dentro de ficheiros SVG e HTML.
• Explique a familiares menos familiarizados com tecnologias quais os riscos associados a fraudes digitais e como proceder.
• Siga as redes sociais de entidades oficiais (por exemplo, a PSP) para aceder a alertas em tempo real.

Os ficheiros SVG estão a ser usados como porta de entrada para ataques sofisticados de cibercrime, especialmente através do WhatsApp e e-mails falsos. Manter a vigilância, atualizar o software e não abrir anexos suspeitos são as defesas mais eficazes.