O CERT.PT tem registado diversas campanhas de engenharia social, através do envio de e-mails, que visam a alteração de dados bancários relacionados com pagamentos correntes de várias entidades. Estejam atentos ao que chega via e-mail.
A engenharia social é um dos principais aproveitamentos efetuados pelos crackers de forma a conseguirem acesso e controlo da nossa informação e lançar ciberataques. Juntando a isto a grande iliteracia informática que ainda assola uma grande parte da nossa população.
Estes emails são — ou aparentam ser — enviados de contas de correio eletrónico conhecidas dos destinatários (como fornecedores de produtos e serviços mais habituais), surgindo, por vezes, como resposta a conversas anteriores. Nalguns casos são apresentados ficheiros comprovativos de alteração de contas bancárias.
Engenharia Social: Dicas para se manter seguro
Caso receba um email a solicitar a alteração de dados bancários:
- Confirme se o endereço coincide com o remetente com o qual normalmente contacta ou se corresponde, efetivamente, à entidade anunciada;
- Não realize operações bancárias solicitadas por email, nem altere dados bancários, sem antes verificar através de outros canais a veracidade do pedido, confirmando (por exemplo, telefonicamente) se realmente está a ser solicitado esse procedimento (nota: não utilizar o contacto telefónico mencionado no conteúdo do email, mas sim o contacto habitualmente utilizado da entidade ou pessoa);
- Aplique a mesma regra caso lhe solicitem dados sensíveis e/ou pessoais (por exemplo, a palavra-passe de uma conta). Por regra, evite partilhar estes dados através de email ou colocá-los em plataformas partilhadas em links de emails não verificados por si.
- Desconfie de emails com erros formais de linguagem, mas também não confie em todos os emails, apenas porque não apresentam estes erros;
- Não clique nos links ou nos anexos existentes em emails suspeitos;
- Denuncie junto dos responsáveis de segurança informática da organização ou junto das autoridades competentes, sempre que é alvo ou vítima de um email suspeito;
- Aplique estas regras também aos contactos telefónicos, aos SMS e às mensagens instantâneas.
Por último, notificar o CERT.PT (cert@cert.pt) ou através do formulário, caso recebam emails deste género para que possamos registar a evolução da campanha e indicar as medidas de mitigação a adotar.