O Ministério Público alerta para uma nova campanha de phishing em curso que tem como “alvo” vítimas que sejam simultaneamente clientes da Caixa Geral de Depósitos (CGD) e titulares de cartões de crédito.

Os autores da campanha têm como objetivo convencer as vítimas a dar-lhes os seus dados bancários e, tal como sucede em múltiplos casos de phishing, começa com o envio de mensagens fraudulentas, incluindo SMS.

As mensagens indicam que a conta da vítima está temporariamente suspensa devido atividades suspeitas, pedindo-lhe que faça login através do link enviado e que verifique as suas informações.

“Trata-se, evidentemente, de mensagens fraudulentas, não provenientes da Caixa Geral de Depósitos. Não foram remetidas pela Caixa Geral de Depósitos, nem a partir de sistemas informáticos ou números telefónicos pertencentes a esta instituição bancária”, avança o Ministério Público.

O link incluído nas mensagens conduz as vítimas a um website falso que recorre à imagem da CGD, utilizando inclusive o logotipo corporativo utilizado pela entidade bancária.

Queixas sobre casos de phishing com cartões de crédito aumentam 130%. WiZink é a marca mais visada
Queixas sobre casos de phishing com cartões de crédito aumentam 130%. WiZink é a marca mais visada
Ver artigo

A página falsa apresenta espaços onde é pedido aos utilizadores que introduzam o seu número de contrato e código de acesso. Ao introduzir a informação pedida, surge uma nova página a pedir os dados do cartão de crédito: o nome, o número do cartão, a data de validade e código de segurança (CVV).

Se uma vítima acabar por aceder aos pedidos fornecerá os seus dados aos autores da campanha, permitindo que usem o seu cartão para compras online ou para pagamento de serviços, em muitos dos casos, logo após o roubo da informação.

Clique nas imagens para mais detalhes

O processo de fazer compras online requer a confirmação por parte do utilizador através de um código enviado por mensagem para o número de telefone do titular do cartão e o método usado pelos cibercriminosos por trás da campanha também prevê esta possibilidade.

Depois de introduzir os dados do cartão de crédito, a vítima é levada para mais uma nova página, supostamente do servidor da CGD. Aqui, o utilizador é informado de que receberá um SMS com código para confirmar o seu número de telefone.

Contas a pagar, encomendas perdidas e reembolsos a receber: Atenção às armadilhas do phishing
Contas a pagar, encomendas perdidas e reembolsos a receber: Atenção às armadilhas do phishing
Ver artigo

Logo que os criminosos efetuam a primeira compra, a vítima recebe um código, por SMS, no seu telefone. Ao introduzi-lo na página falsa, os autores podem autenticar-se e efetivar a compra.

O Ministério Público detalha que surge frequentemente na página falsa uma mensagem de erro que indica “Código OTP incorreto, tente novamente”. O objetivo é permitir ao criminoso realizar ainda mais compras.

O website em questão “não é gerido pela Caixa Geral de Depósitos nem é por ela autorizado”, explica. “O nome de domínio desta página fraudulenta está registado no fornecedor de serviços Webcentral, um registrar com sede em Melbourne, na Austrália, especializado no fornecimento de nomes de domínio e outros serviços de Internet. Pertence à sociedade Roselands Computer Company Ltd., com sede em Sydney, igualmente na Austrália”.

Recebeu uma mensagem que considera suspeita e que se enquadra na descrição anterior? O melhor é apaga-la. “Caso o utilizador introduza os dados na página a que se acede pelo link facultado pelos agentes do crime, importará, como primeira diligência a empreender, proceder ao cancelamento do cartão”, acrescenta o Ministério Público.

Nota de redação: A notícia foi atualizada com mais informação. (Última atualização: 13h38)

Não perca as principais novidades do mundo da tecnologia!

Subscreva a newsletter do SAPO Tek.

As novidades de todos os gadgets, jogos e aplicações!

Ative as notificações do SAPO Tek.

Newton, se pudesse, seguiria.

Siga o SAPO Tek nas redes sociais. Use a #SAPOtek nas suas publicações.