Estas mensagens, que podem chegar por email, SMS ou serviços de mensagem instantânea como o Whatsapp, enquadram-se no tipo de campanhas de engenharia social que simulam uma comunicação credível para fazer os utilizadores clicarem em links, descarregarem ficheiros com malware ou mesmo realizarem transferências financeiras para contas dos hackers.

O SAPO TEK registou vários exemplos de mensagens que referem estas alegadas transferências e pagamentos na última semana, que parecem ser enviadas por empresas fornecedoras de serviços habituais, em alguns casos simulando resposta a conversas anteriores e com anexos de comprovativos que mencionam bancos como o Novo Banco ou o Santander.

Veja alguns exemplos

Os casos de phishing, smishing e o vishing continuam a estar entre as principais ameaças à cibersegurança de empresas e utilizadores individuais, sobretudo quando as campanhas são criadas com textos e imagens que parecem cada vez mais reais.

O CERT.PT emitiu esta semana um alerta para este tipo de campanhas de engenharia social e casos identificados que indica visarem "a alteração de dados bancários relacionados com pagamentos correntes de várias entidades".

"Estes emails são — ou aparentam ser — enviados de contas de correio eletrónico conhecidas dos destinatários (como fornecedores de produtos e serviços mais habituais), surgindo, por vezes, como resposta a conversas anteriores. Nalguns casos são apresentados ficheiros comprovativos de alteração de contas bancárias", refere o Centro Nacional de Cibersgurança, que coordena a resposta a incidentes nesta área.

No alerta o CERT.PT refere alguns cuidados a ter caso receba um email a pedir a alteração de dados bancários:

  • Confirme se o endereço coincide com o remetente com o qual normalmente contacta ou se corresponde, efetivamente, à entidade anunciada;
  • Não realize operações bancárias solicitadas por email, nem altere dados bancários, sem antes verificar através de outros canais a veracidade do pedido, confirmando (por exemplo, telefonicamente) se realmente está a ser solicitado esse procedimento (nota: não utilizar o contacto telefónico mencionado no conteúdo do email, mas sim o contacto habitualmente utilizado da entidade ou pessoa);
  • Aplique a mesma regra caso lhe solicitem dados sensíveis e/ou pessoais (por exemplo, a palavra-passe de uma conta). Por regra, evite partilhar estes dados através de email ou colocá-los em plataformas partilhadas em links de emails não verificados por si.
  • Desconfie de emails com erros formais de linguagem, mas também não confie em todos os emails, apenas porque não apresentam estes erros;
  • Não clique nos links ou nos anexos existentes em emails suspeitos;
  • Denuncie junto dos responsáveis de segurança informática da organização ou junto das autoridades competentes, sempre que é alvo ou vítima de um email suspeito;
  • Aplique estas regras também aos contactos telefónicos, aos SMS e às mensagens instantâneas.

Se receber uma destas mensagens notifique também o CERT.PT por email (cert@cert.pt) ou através de um formulário disponível online.

O SAPO TEK tem reunido alguns dos principais exemplos de phishing que circulam em Portugal, que pode ver na galeria que se segue

Clique nas imagens para ver com mais detalhe

Já no início deste mês a Polícia Judiciária tinha alertado para uma campanha de vishing (que usa as mesmas técnicas de phishing mas através de chamada telefónica), que simulava um contacto originado por aquela entidade policial ou a Europol.

Segundo a PJ, a chamada transmitia uma gravação de voz, em língua inglesa, onde se pedia para estabelecer contacto com um alegado inspetor. "Ao ativar essa opção, é “informado” que a sua conta bancária está a ser utilizada num esquema fraudulento e aconselhado a transferir o respetivo saldo para “contas seguras”, a fim de impedir a apropriação do mesmo pelos criminosos", refere a PJ.

Em comunicado a Polícia Judiciária avisa que, se receber um contacto deste tipo, não faculte os seus dados pessoais, nem siga as instruções recebidas. Pede ainda que Registe o número do contacto efetuado e contacte a Policia Judiciária ou outra entidade policial, denunciando a situação.