Atenção à Chave Móvel Digital: CNCS alerta para burla

19 Abr 2024 · Internet 5 Comentários

O sucesso das burlas que circulam deve-se em muito à imaginação da criação das próprias burlas. O Centro Nacional de Cibersegurança (CNCS) alertou recentemente para o "crescente número de casos" de roubo de credenciais da Chave Móvel Digital.

De acordo com um comunicado do CNCS, está em curso uma nova campanha que visa a Chave Móvel Digital (CMD) e tem como objetivo recolher os dados associados a esta chave, juntamente com outros tipos de dados, como os bancários, que podem conduzir ao comprometimento de contas críticas para os utilizadores.

A tentativa de recolha deste tipo de informação tem sido acompanhada por variadas técnicas razoavelmente sofisticadas, como o smishing, o vishing e o spoofing, isto é, técnicas que aproveitam o smartphone como superfície de ataque e a utilização deste dispositivo, com um número de telefone associado, para se realizarem acessos ou autenticações de acessos através do múltiplo fator de autenticação, revela o CNCS.

Técnicas usadas para roubo da Chave Móvel Digital

Esta campanha tem utilizado diversas técnicas, tendencialmente de modo sequencial, que se passa a descrever:

Ataque de smishing e spoofing
- Receção por parte da vítima de um SMS em nome da CMD, alertando falsamente que um novo dispositivo foi associado a esta chave e que, caso essa ação não seja legítima, deverá aceder a um URL com urgência (um URL que sabemos ser malicioso) – é expectável que outro tipo de solicitação possa ser realizado para levar a vítima a aceder a um website malicioso e partilhar os seus dados.
Recolha de informação em website que personifica a CMD
- Caso a vítima aceda ao URL, encontra um website que personifica a plataforma da CMD, onde é conduzida a partilhar mais dados: o número de telefone associado à CMD e a informação sobre qual o Banco de que a vítima é cliente - informação que não é solicitada pela plataforma legítima da CMD;
Recolha de informação em website que personifica uma entidade Bancária
- Ao fornecer a informação sobre qual o Banco de que é cliente, a vítima é redirecionada para uma página que personifica a plataforma deste Banco. Aqui, são solicitados os dados de acesso à conta online do Banco (número de contrato e senha de acesso). Partilhados estes dados, é apresentada uma mensagem que informa a vítima de que será contactada por um técnico nas próximas 24 horas;
Ataque de vishing e spoofing
- Quando a vítima é contactada por telefone, o atacante utiliza um número nacional ou um spoofing do número autêntico do Banco ou da CMD, ocorrendo a personificação por voz de um funcionário que questiona a vítima relativamente a informação privilegiada, como dados pessoais, criando confiança, e solicitando códigos relativos ao Banco (de validação, por exemplo) ou, de novo, da CMD.

Considerando a persistência desta campanha, o CNCS recomenda que se adotem as seguintes boas práticas:

Não clicar em links e anexos de mensagens com solicitações suspeitas
Suspeitar de solicitações de códigos e credenciais de acesso inusitadas sob pretextos de urgência ou falhas de segurança
Nunca partilhar códigos da CMD e credenciais de acesso por mensagem ou por telefone
Verificar a autenticidade dos domínios dos websites
Confirmar a autenticidade do pedido, junto da entidade, através de outro canal
Ativar o múltiplo fator de autenticação em todas as contas online
Sempre que se é vítima de uma das abordagens descritas, fazer uma denúncia às autoridades e à entidade personificada no ataque

CNCS

Acompanhe o Pplware no Google Notícias

Propor Revisão Proponha uma correção, faça uma sugestão

Autor: Pedro Pinto

Tags: Chave móvel digital CNCS

Comentários5

Aindanaoseitudo says:

19 de Abril de 2024 às 21:00

E o burro sou eu. Adoro quando leio noticias destas.
Tem que acontecer mais vezes (burlas) que é para abrirem a pestana.
Podem-me chamar VdR, mas as probabilidades de ser apanhado neste tipo de teias ou outras são quase nulas, facilitismos não entram no meu programa.

“O Seguro Morreu de Velho” e sem dores de cabeça.

Responder
- Claro says:
  
  20 de Abril de 2024 às 08:52
  
  Concordo… E o pior é que recebem e-mails sobre as falhas e é comi a música…( Assobia para o lado)
  
  Responder
- Nirelle says:
  
  20 de Abril de 2024 às 19:37
  
  A mim também não apanham!! Cibersegurança acima de tudo.
  
  Responder
- Hugo says:
  
  22 de Abril de 2024 às 08:50
  
  Sim, o burro és tu.
  Para além de seres também suscetível de ser burlado, por muito que acredites que é impossível, ainda achas que pessoas inocentes têm de ser burladas mais vezes, ou seja, tem de acontecer crimes mais vezes.
  Nem lhe chamaria burro…talvez um cocktail de estupidez e ignorância.
  
  Responder
  - Hacker Alhinho says:
    
    22 de Abril de 2024 às 11:12
    
    Concordo a 200% contigo, Hugo.
    
    Responder

Deixe um comentário Cancelar Resposta

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.