SMS fraudulentos: burla em nome da chave móvel digital exige novo alerta

A rede da Agência para a Modernização Administrativa (AMA), que gere serviços e plataformas do Estado, foi alvo de um ataque de ransomware que deixou inoperacionais plataformas como o portal gov.pt, a aplicação id.gov.pt ou o serviço chave móvel digital. Em comunicado, a AMA explica que aplicou medidas preventivas e corretivas para a normalização destas plataformas e que alguns serviços, como a autenticação com chave móvel digital, já foram restaurados. A lista dos serviços que já estão em funcionamento pode ser consultada online.

Não serão pedidos dados para recuperar credenciais

A AMA alerta, contudo, que os cidadãos devem estar atentos a eventuais tentativas de phishing. Qualquer pedido de informações pessoais para recuperação de credenciais da chave móvel digital deve ser ignorado até porque, segundo a AMA, não será pedida, por qualquer canal, informação pessoal para recuperação de credenciais ou para acesso aos serviços.

Há já vários meses que circulam alertas de fraudes que partem de mensagens para o telemóvel com o remetente CMD (chave móvel digital). Mas os SMS alegadamente enviados pelos serviços da chave móvel digital são apenas um dos casos mais recentes reportados. Há muitos outros exemplos de ciberameaças por telemóvel, e o objetivo é sempre o mesmo: levar o utilizador a clicar num link malicioso, onde coloca os seus dados pessoais e as suas credenciais de acesso a sites e bancos, para assim roubar dinheiro.  

Em 2023, as denúncias por cibercrimes em Portugal somaram 1363 casos, de acordo com o Gabinete Cibercrime do Ministério Público. Estas ameaças são cada vez mais criativas e podem chegar de diversas formas, nomeadamente por e-mail, WhatsApp ou SMS. 

Veja o que é o smishing e como se proteger.

Não consegue visualizar este vídeo porque desabilitou os respetivos cookies. Pode alterar em configurações de cookies, aceitando os Cookies de publicidade.

Smishing, o ciberataque da moda

As mensagens fraudulentas não são de agora, mas estão cada vez mais sofisticadas. Chegam ao telemóvel por SMS ou WhatsApp e parecem ser procedentes de bancos, dos serviços alfandegários dos CTT ou do CMD (serviço de chave móvel digital), entre outras. Comum a todas está um link, apresentado em cor diferente (normalmente um azul-claro), a apelar ao clique urgente de formas diferentes:

• o suposto banco queixa-se de falta de documentação e alerta que a conta ficará bloqueada a menos que a mesma seja enviada;
• os CTT alertam que uma encomenda será devolvida a menos que os dados pessoais sejam completados ou que tem valores a pagar;
• o serviço da chave móvel digital alegadamente terá detetado um dispositivo não reconhecido e fornece um link para que a situação seja “resolvida”.

O que o utilizador não sabe é que, ao clicar no link indicado, está a cair nas malhas dos cibercriminosos e pode ser alvo de burla. A página em que clicar pode servir para instalar software malicioso, por exemplo, ou abrir uma porta ao roubo de dados pessoais, credenciais de acesso e, claro, dinheiro.

 

Depois de roubados, os dados são vendidos a outros burlões ou usados para fazer transações para contas bancárias existentes ou até para a abertura de novas contas. Muitas das vítimas só percebem que foram apanhadas no esquema quando começam a surgir movimentos estranhos nas suas contas.

8 dicas para reconhecer SMS fraudulentos

1. Os ataques de smishing usam, quase sempre, o mesmo método de atuação. O consumidor recebe um SMS que lhe indica que ganhou um prémio, que tem uma conta urgente para pagar ou uma encomenda para levantar.
2. Se a mensagem contiver termos como “urgente”, “segurança”, “ativar”, “atualizar”, “cartão”, “reativar”, “conta” ou “bloqueio”, é de desconfiar.
3. Estas mensagens de texto vêm acompanhadas de uma hiperligação (link) que transporta o consumidor para um site onde são pedidos os seus dados pessoais ou através do qual o burlão consegue instalar um malware no seu dispositivo. Evite clicar nestes links, transferir anexos ou colocar a sua informação pessoal em plataformas que não tem a certeza se são fidedignas.
4. Esteja ainda mais alerta caso os links pertençam a domínios como .ly, .to, .at, .com e .eu.
5. Tenha atenção ao número de telemóvel através do qual chega o SMS. Mesmo que tenha a formulação habitual (9x xxxx xxx ), não envie os seus dados em resposta ao SMS, nomeadamente, nomes de utilizador, códigos de acesso a contas bancárias ou outros. Atualmente, estes burlões já conseguem rastrear os seus metadados para utilizar um número de telemóvel que se assemelhe aos utilizados na localização da vítima (por exemplo, números começados por 91, 93 ou 96).
6. Outra pista para perceber se o SMS que está a receber é fraudulento é a forma como está escrito. Estas mensagens chegam, quase sempre, com erros ortográficos ou frases e expressões incoerentes que revelam que o texto foi traduzido por uma ferramenta de tradução automática.
7. Os links iniciados por https:// apenas indicam que a informação segue por um canal encriptado. Não há garantias sobre o remetente da informação, que poderá mesmo assim ser um criminoso. Há vários casos de sites utilizados para phishing que começam com a formulação https:// com o objetivo de dar uma falsa sensação de segurança aos utilizadores. Para ajudar a tirar as dúvidas, a DECO PROteste disponibiliza uma ferramenta que ajuda a perceber se um site esconde alguma ameaça. Basta escrever o endereço do site no campo de pesquisa, e o resultado aparecerá em segundos.
8. Desconfie sempre de mensagens do banco ou a solicitar intervenção ao nível da sua conta bancária.

 

Recebeu um SMS fraudulento? Veja o que fazer

Esteja sempre de pé atrás face a este tipo de mensagens e, se achar que se trata de burla, tente comprová-lo por outros meios.

• Use a ferramenta da DECO PROteste para verificar se o link é seguro.
• Ligue para o banco para confirmar qualquer atividade suspeita na conta ou verifique no site dos Correios se há algum problema com uma encomenda que tenha feito.
• No que diz respeito às mensagens enviadas em nome da chave móvel digital, o portal ePortugal já veio esclarecer que nunca solicitará por esta via dados pessoais ou relativos a contas bancárias, pelo que deve bloquear o remetente imediatamente e marcar a mensagem como spam.

Cliquei sem querer: e agora?

Se inadvertidamente clicou num link que suspeita que possa estar infetado, aja rapidamente para evitar a fraude:

• ponha-se em contacto com a entidade ou o organismo em questão – por exemplo, o seu banco – para informar do sucedido e cancelar possíveis ações dos criminosos;
• altere códigos e a palavra passe de acesso ao homebanking, bem como a de todos os serviços em que utilize a mesma. Lembre-se de que nunca é um bom princípio usar a mesma palavra-passe para mais do que um site;
• faça screenshots (captura de imagens do ecrã do seu telemóvel) das mensagens que recebeu para fazer uma denúncia às autoridades policiais;
• depois, pode apagar a mensagem e bloquear o remetente que a enviou na aplicação de mensagens do seu telemóvel;
• reclame junto do banco. Em caso de burla, caso se prove que o utilizador não foi negligente, pode haver direito a reembolso.

Como evitar burlas que chegam através de links

1. Nunca abra mensagens de remetentes desconhecidos ou que não sejam solicitadas. Em caso de suspeita, elimine-as imediatamente.
2. Nunca responda a SMS suspeitos ou a mensagens que não tenham sido solicitadas. A maioria dos telemóveis apresenta uma funcionalidade que permite marcar como spam e bloquear conteúdo suspeito.
3. Verifique todos os links antes de clicar neles. Em caso de dúvida, não clique.
4. Não abra páginas de bancos a partir do motor de busca; digite sempre o endereço.
5. Também já existem antivírus para smartphones que permitem bloquear este tipo de ameaças. Contudo, tenha atenção, porque não são infalíveis. O ideal é que esteja sempre atento ao conteúdo da mensagem para evitar clicar em links que lhe pareçam suspeitos.

Como e onde apresentar queixa

Para apresentar queixa, entre em contacto com uma autoridade policial ou com o Ministério Público. O Gabinete de Cibercrime permite apresentar queixa online. Por serem uma matéria de cibersegurança, os ataques de smishing devem ser reportados à Unidade Nacional de Combate ao Cibercrime e à Cibercriminalidade Tecnológica, através de queixa eletrónica à Polícia Judiciária.