Caixa Geral de Depósitos, Novo Banco e Montepio Geral são os nomes dos bancos usados no mais recente ataque de phishing que visa clientes portugueses das instituições bancárias, com um nível de sofisticação na apresentação que mostra uma evolução face a alguns modelos de mensagens com erros e grafismos mais básicos.

As mensagens de email são enviadas de forma massiva para destinatários de correio eletrónico, sejam ou não clientes destes bancos, como se fossem um pedido de informação, dirigindo os utilizadores para sites falsos, mas bem construídos, que imitam os sites dos bancos e que, depois de feito o login do utilizador, pedem o preenchimento completo dos cartões matriz usados para finalizar a autenticação quando são feitas operações bancárias através dos sites de homebanking.

Como é fácil de verificar nas imagens abaixo, este é um esquema bem construído, com sites que ainda estão ativos embora os emails tenham sido enviados já ontem.

 

O sistema de preenchimento dos campos do cartões matriz mantém-se a funcionar, aceitando os dígitos colocados pelos utilizadores e validando se falta preencher alguma informação.

Com os dados pedidos de preenchimento da informação de utilizador, password, cartão, número fiscal e as posições do cartão matriz os atacantes passam a ter acesso a toda a informação necessária para usarem as contas dos utilizadores online, e validarem operações de pagamentos, transferências e outras que queiram realizar.

Todas as instituições bancárias têm feito avisos repetidos para que os seus clientes não respondam a este tipo de mensagens de email, que não sigam os links e que não divulguem os dados das contas, passwords e a informação do cartão matriz.

Para identificar este tipo de phishing basta muitas vezes estar atento a pequenos detalhes da imagem do banco e ao tipo de linguagem utilizada. E mesmo que acabe por carregar no link e abrir o site, verá que esse não tem o endereço certo, nem é um site seguro, que usa o protocolo https://.

Os utilizadores são aconselhados a fazerem uma análise atenta das mensagens recebidas, desde o remetente ao conteúdo, fazendo também parte das melhores recomendações a utilização de um antivirus atualizado, embora neste caso se revele inútil para filtrar esta ameaça. 

Os esquemas de phishing fazem parte de uma das maiores ameaças de ataques informáticos e em Portugal são normalmente dirigidos a grandes intituições, com muitos clientes, como a EDP ou os bancos, mas também visaram já a Autoridade Tributária. Ainda no ano passado a PJ travou um esquema que já tinha conseguido extorquir mais de 70 mil euros a duas vítimas.