Proponha uma correção, faça uma sugestão
Alerta CERT.PT – Campanhas de engenharia social
O CERT.PT tem registado diversas campanhas de engenharia social, através do envio de e-mails, que visam a alteração de dados bancários relacionados com pagamentos correntes de várias entidades. Estejam atentos ao que chega via e-mail.
A engenharia social é um dos principais aproveitamentos efetuados pelos crackers de forma a conseguirem acesso e controlo da nossa informação e lançar ciberataques. Juntando a isto a grande iliteracia informática que ainda assola uma grande parte da nossa população.
Estes emails são — ou aparentam ser — enviados de contas de correio eletrónico conhecidas dos destinatários (como fornecedores de produtos e serviços mais habituais), surgindo, por vezes, como resposta a conversas anteriores. Nalguns casos são apresentados ficheiros comprovativos de alteração de contas bancárias.
Engenharia Social: Dicas para se manter seguro
Caso receba um email a solicitar a alteração de dados bancários:
- Confirme se o endereço coincide com o remetente com o qual normalmente contacta ou se corresponde, efetivamente, à entidade anunciada;
- Não realize operações bancárias solicitadas por email, nem altere dados bancários, sem antes verificar através de outros canais a veracidade do pedido, confirmando (por exemplo, telefonicamente) se realmente está a ser solicitado esse procedimento (nota: não utilizar o contacto telefónico mencionado no conteúdo do email, mas sim o contacto habitualmente utilizado da entidade ou pessoa);
- Aplique a mesma regra caso lhe solicitem dados sensíveis e/ou pessoais (por exemplo, a palavra-passe de uma conta). Por regra, evite partilhar estes dados através de email ou colocá-los em plataformas partilhadas em links de emails não verificados por si.
- Desconfie de emails com erros formais de linguagem, mas também não confie em todos os emails, apenas porque não apresentam estes erros;
- Não clique nos links ou nos anexos existentes em emails suspeitos;
- Denuncie junto dos responsáveis de segurança informática da organização ou junto das autoridades competentes, sempre que é alvo ou vítima de um email suspeito;
- Aplique estas regras também aos contactos telefónicos, aos SMS e às mensagens instantâneas.
Por último, notificar o CERT.PT (cert@cert.pt) ou através do formulário, caso recebam emails deste género para que possamos registar a evolução da campanha e indicar as medidas de mitigação a adotar.
Este artigo tem mais de um ano
Loading ...
Uma das razões porque a autoridade tributária é louca ao enviar newsletter por por anexo pdf.
Agora a designação de engenharia social também se vai adoçando, até não se saber qual o sabor.
Mais uma forma de engenharia social
Coitados, o desespero é tanto que mentem e deturpam o significado de engenharia social, por isso é que a cada dia que passa o Presidente Rui Rio tinha e tem cada vez mais razão, é preciso controlar a comunicação social.
A comunicação social já está controlada. Quantas agências noticiosas existem? Que semelhanças há entre as notícias em diferentes meios de comunicação?
Adoro pipilines de automação mas nem sequer um pagamento recorrente agendo no banco. Prefiro fazer login em cada site de água, luz, isp etc, ver eu as datas, os montantes e os pagamentos manualmente e sem seguir links de email e depois numa segunda fase pagar, também com entidade referência e montante. São uns minutos por mês que poupam imensas dores de cabeça e que cortam logo o mal pela raíz. Tinham de recorrer a formas altamente engenhosas para me conseguirem redireccionar, mesmo assim, para sites e instrumentos de pagamento falseados. Nunca me hei-de esquecer do que um amigo me disse quando me sentei pela primeira vez á frente de uma shell: nunca carregues em enter sem teres a certeza absoluta do que estás a fazer… As máquinas falam connosco mas o problema é que hoje em dia muitas pessoas são demasiado rápidas a carregar no ok.
E nunca mas nunca ponham facturas / recibos no lixo. Ou se rasgam em 1000 pedacinhos ou se queimam num lavatório…sem ter consciência disso imensa gente revela toda a sua vida pessoal nos sacos do lixo doméstico.
E que tal receber um SMS a informar que deve clicar num link para efectuar um pagamento em falta dum imposto ? Ou deve clicar no link para que urgentemente actualizar a password do seu banco ? Ou que tal receber um SMS dos CTT com um link ? O azarado do incauto que o fizer, estará lixado! É num instante em que fica com um telemóvel infectado com virus. Se tiver informações bancarias no telemóvel, estará a dar de mão beijada aos criminosos a possibilidade de lhe esvaziarem a conta bancária! Está a dar a possibilidade de os criminosos ouvirem os seu telefonemas. Estará a dar a hipótese de os criminosos verem o que se passa aonde está através da câmara de video do telemóvel. Todo o cuidado é pouco.
Por vezes nem é preciso tanto. Muitas pessoas instalam por exemplo um app qualquer e nem sequer acham estranho por que é que o programador pediu tantas permissões de acesso no manifesto da app que nada têm a ver, muitas vezes, com a finalidade da aplicação. Apesar do Android estar muito mais seguro do que no passado e dos utilizadores terem de aceitar explicitamente essas permissões de acesso, myutas pessoas, na pressa de instalar a app, aceitam tudo quase cegamente. Não sei como não existem muito mais casos de roubo de identidade, acessos ilegítimos, etc.