O esquema que está a ser usado no ataque é conhecido por spoofing e preocupa as autoridades portuguesas
Ao início da tarde desta quinta-feira, várias pessoas receberam nos seus telemóveis uma mensagem do número oficial da Chave Móvel Digital a dizer que o utilizador ativou a Autenticacao.gov num novo dispositivo. A mensagem, aparentemente normal, continha um link que redirecionava o utilizador para um site falso que serve para obter os dados da vítima.
O esquema que está a ser usado no ataque é conhecido por spoofing e preocupa as autoridades. Através deste método, os hackers conseguem fazer uma cópia do número de telefone verdadeiro e usam essa cópia para enviar as mensagens ou SMS. Mas a receita tem vindo a ser cada vez mais aperfeiçoada por parte dos piratas informáticos. A CNN Portugal apurou junto das autoridades que os atacantes já conseguem uma cópia do ID Call tão perfeita que as mensagens falsas entram no histórico das mensagens verdadeiras.
Isto faz com que seja praticamente impossível ao utilizador distinguir uma mensagem falsa de uma verdadeira. Até agora havia muitas situações em que a mensagem aparecia com o número real, mas não chegava a entrar no histórico das mensagens verdadeiras, porque não era exatamente igual. Mas agora há cópias tão perfeitas que é impossível ao sistema detetá-las de forma rápida. A CNN Portugal também apurou que já começaram a aparecer alguns casos destes ligados a instituições bancárias.
No caso identificado esta quinta-feira, as possíveis vítimas receberam uma mensagem do número oficial da Chave Móvel Digital a dizer que o utilizador ativou a Autenticacao.gov de um novo dispositivo. O objetivo dos atacantes é levar a vítima a suspeitar que foi alvo de uma tentativa de ataque e clicar no link que está na mensagem e que, supostamentamente, redireciona para um site no qual é possível travar essa ativação. Apesar de ser praticamente igual ao site oficial, o domínio é malicioso e está feito de forma a obter os dados do utilizador e garantir acesso à sua conta bancária.
O spoofing não é um fenómeno novo e no final de 2022 teve um grande crescimento. Mas apesar de os números estarem mais estáveis, os casos continuam a surgir em grande quantidade. No verão de 2023, o diretor da Unidade Nacional de Combate ao Cibercrime e à Criminalidade tecnológica da Polícia Judiciária, Carlos Cabreiro, admitiu à CNN Portugal que em Portugal o número de casos estava a crescer.
Esta não é, também, a primeira vez que o canal da Chave Móvel Digital é utilizado para este tipo de ataques. No X, vários utilizadores têm-se queixado do mesmo problema, havendo denúncias nos meses de fevereiro, maio e já em julho deste ano.
Esta técnica não é, no entanto, utilizada apenas para burlar pessoas por mensagem. Os atacantes podem aplicar esta mesma técnica a uma chamada telefónica, um e-mail ou até um endereço de IP. Mas o objetivo é quase sempre o mesmo, levá-lo a acreditar que está a operar numa entidade fidedigna e conduzi-lo a introduzir dados ou informação que possam dar acesso aos atacantes às suas contas.
Seja por telefone, SMS ou email, o melhor é ligar e confirmar o que lhe estão a dizer ou a pedir. Entidades bancárias e serviços do Estado não lhe pedem para aceder a links ou a um email. As autoridades aconselham a duvidar sempre de todas as mensagens e de telefonemas que recebe em nome de entidades oficiais. Evite igualmente partilhar informações pessoais por telefone.
“A partir do momento em que carrega no link, os atacantes podem instalar um malware e passar a movimentar a conta bancária da vítima. Podem também instalar um keylogger que permite captar tudo o que as vítimas escrevem. É preciso evitar clicar em coisas que recebam”, esclarece Nuno Mateus-Coelho.
