Proponha uma correção, faça uma sugestão
Fraude: Circula SMS para roubar dados de acesso ao banco
Os ataques de phishing direcionados a clientes dos serviços online dos bancos não são propriamente novidade. Além disso, a simplicidade dos mesmos têm dado bons resultados aos criminosos.
Em Portugal circula uma SMS em nome do Montepio que pretende roubar dados de acesso aos clientes do banco.
O que é o Phishing?
O “Phishing” é uma vigarice que pode chegar por e-mail, SMS, etc. e que tem como objetivo ludibriar pessoas no sentido de as levar a revelar números de cartões de crédito, informação de contas bancárias, números de segurança social, passwords e outro tipo de informação confidencial ou sensível.
Basicamente, o utilizador recebe um e-mail ou SMS, supostamente de uma entidade credível, mas que, na verdade, o reencaminha (através de um URL/link) para um site com um aspeto muito semelhante ao original. No entanto, tal é apenas uma cópia, levando muita das vezes o utilizador a inserir dados pessoais e a ser enganado. O utilizador recebe normalmente uma informação a referir que os dados estão errados, mas os dados já estão do lado do atacante. Técnicas como DNS Poisoning (manipulação de entradas no DNS) são também bastante usadas neste tipo de ataques.
O que diz a mensagem de Phishing do Montepio?
A mensagem chega normalmente do +80248768157 e além do texto traz também um link. No caso da mensagem que o Pplware recebeu, era referido que os cartões de crédito e débito tinham sido desativados. Para ativar era necessário carregar no link fornecido. No entanto, o elemento do Pplware que recebeu a SMS nem conta no Montepio tem.
Ao carregar no link o utilizador é redirecionado para um site que apresenta uma página idêntica à do banco.
Se receberem uma SMS deste tipo não introduza qualquer tipo de dados. Trata-se de uma fraude que tem como principal objetivo roubar os dados dos clientes.
Este artigo tem mais de um ano
Loading ...
Eis o que recebi do numero
+351 934 825 074
“Montepio”-alerta: Utilizador desativado por questoes de seguranca. http://www.bit.ly/31lAgSt ative agora u
Brazucas; isso já andou por aí à anos, mas nos emails. Cheguei até a denunciar à pj, na altura.
Era tão básico que não tinha mais nada para além da página inicial, nenhum outro link abria… mandei-lhes o registo dns da página.
Outro mais antigo do numero
+351 962 480 338
“Vimos por este meio informar que se encontra em pagamento um seguro,o mesmo pode ser liquidado na Robol,por Mb,via ctt ou por tranferencia para o nib 0010 0000 23224400003 61,caso ja tenha liquidado considere sem efeito este sms,muito obr robol soc med seguros acoreana
Obs seguro habitacao
Valor 82,81”
É pena ter q se pagar um balurdio para razer queixa na policia, senao ja tavam fdd
pagar um balurdio? ninguem paga pra fazer queixa!
Caracteristicas deste tipo de fraudes (minha experiência):
As mensagens são escritas com erros ortográficos (quase sempre)
As mensagens vem escritas em português do Brasil
Os sites para os quais somos redirecionados através do link utilizam HTTP e não HTTPS (quase sempre)
O remetente é quase sempre um número/email desconhecido e não o nome da entidade em questão
Ainda que a mensagem venha bem escrita e o site utilize HTTPS, muitas das vezes se olharmos para o link podemos ver que existe um caracter a mais ou a menos, geralmente em sitios que passam despercebidos.
Mais uma boa razão para os bancos largarem esta parolada de usar sms.
Ao meu ver não é problema tecnologia dos sms, mas sim o problema do desconhecimento da tecnologia, por exemplo recebe uma sms desta, primeira coisa que eu faço vou a aplicação oficial do banco e vejo se tenho alguma mensagem la porque tudo o que recebes por sms recebes na aplicação, em ultimo caso ligas para o banco para linha segura não se paga e certificas se eles mandara sms ou não…
Mas claro que os burlões são cada vez mais inteligentes e para combater isso e ser mais informando possível…
Daniel, a razão pela qual ainda existe este tipo de ataques é que eles não foram criados para atingir utilizadores cuidadosos e informados como você. Você e eu podemos considerar uma minoria e mesmo assim não estamos livres de uma boa oportunidade criada por engenharia social.
A tecnologia dos SMS é problemática, porque permite a falsificação do remetente, e ainda porque a rede pública telefónica não é segura nem privada.
Se os bancos não utilizassem o SMS, nem o telefonar, nem o e-mail poderiam dizer: se receber um sms, uma chamada ou um e-mail a dizer que é do banco… tal é mentira e: apague/ bloqueie/ desligue.
Então como contactavam os bancos os seus clientes? Via carta, ou via aplicação segura (aplicativo do banco, ou por um mensageiro seguro que todos os bancos poderiam partilhar (desenvolvido pela SIBS por exemplo para todas as plataformas móveis e fixas).
Aqui o problema não é das SMS, mas sim de usar chaves matriz. Por algum motivo esses criminosos querem os logins do Montepio e não de outros bancos. É porque o Montepio ainda usa a chave matriz para confirmar operações. Suponho que aquele site vá pedir coordenadas e vai dando erro e pedindo outras no sentido de obter todas e depois a partir daí poder retirar dinheiro à vontade. Se usassem SMS, muito pouco poderiam fazer.
Eu recebi um SMS da caixa Geral de depósitos a dizer que a minha conta tinha sido desativada, não fiquei preocupada… não tenho lá nenhuma conta, vi logo que era vigarice.
Eu recebi essa SMS e meti lá od meus dados…
Mas eu não tenho conta no. Montepio.. Por isso eles agora que usem a vontade
Não aconselho a voltar a fazer mas, seria muito engraçado que os dados introduzidos fossem realmente utilizados pelos meliantes e nessa consequência fizesse com que eles ficarem expostos ou mesmo serem utilizados para serem eles mesmo prejudicados.
Engraçado (sem graça nenhuma) era se tivesse inserido os dados reais dele no banco onde tem conta… bastava testar lá também as credenciais e já está.
Mas quem é que cai nestas parvoíces ? Depois eu é que sou xoninhas…
Então se ainda esta semana um comerciante de restauração em Aveiro ficou sem 2300,00€( https://www.jn.pt/justica/empresario-de-anadia-burlado-em-2300-euros-com-mb-way-11552146.html ), que podemos nós dizer destas artimanhas para os menos atentos…
Também seria interessante os bancos começarem a oferecer dispositivos FIDO2 (USB-A & C, NFC e Bluetooth) para autenticação nos seus web sites e aplicativos móveis.
Não seria impossível ultrapassar a protecção do FIDO2 remotamente, mas pelo menos complicava bastante… já não era só obter os dados de acesso e ter acesso ao número de telefone do cliente (existem imensas maneiras, desde acesso à rede pública telefónica a obterem temporariamente o número do cliente junto do operador… existem muitas formas conhecidas para tal).
Acabei de receber uma mensagem semelhante do número +351 932 413 684. Devo enviar queixa à polícia?
Sim, eu quando recebi fiz queixa ao banco de portugal, montepio, Polícia e para o departamento de cibercrime da PJ, basta fazer para o banco em questão e para a polícia normal.