O sucesso das burlas que circulam deve-se em muito à imaginação da criação das próprias burlas. O Centro Nacional de Cibersegurança (CNCS) alertou recentemente para o “crescente número de casos” de roubo de credenciais da Chave Móvel Digital.
De acordo com um comunicado do CNCS, está em curso uma nova campanha que visa a Chave Móvel Digital (CMD) e tem como objetivo recolher os dados associados a esta chave, juntamente com outros tipos de dados, como os bancários, que podem conduzir ao comprometimento de contas críticas para os utilizadores.
A tentativa de recolha deste tipo de informação tem sido acompanhada por variadas técnicas razoavelmente sofisticadas, como o smishing, o vishing e o spoofing, isto é, técnicas que aproveitam o smartphone como superfície de ataque e a utilização deste dispositivo, com um número de telefone associado, para se realizarem acessos ou autenticações de acessos através do múltiplo fator de autenticação, revela o CNCS.
Técnicas usadas para roubo da Chave Móvel Digital
Esta campanha tem utilizado diversas técnicas, tendencialmente de modo sequencial, que se passa a descrever:
- Ataque de smishing e spoofing
- Receção por parte da vítima de um SMS em nome da CMD, alertando falsamente que um novo dispositivo foi associado a esta chave e que, caso essa ação não seja legítima, deverá aceder a um URL com urgência (um URL que sabemos ser malicioso) – é expectável que outro tipo de solicitação possa ser realizado para levar a vítima a aceder a um website malicioso e partilhar os seus dados.
- Recolha de informação em website que personifica a CMD
- Caso a vítima aceda ao URL, encontra um website que personifica a plataforma da CMD, onde é conduzida a partilhar mais dados: o número de telefone associado à CMD e a informação sobre qual o Banco de que a vítima é cliente – informação que não é solicitada pela plataforma legítima da CMD;
- Recolha de informação em website que personifica uma entidade Bancária
- Ao fornecer a informação sobre qual o Banco de que é cliente, a vítima é redirecionada para uma página que personifica a plataforma deste Banco. Aqui, são solicitados os dados de acesso à conta online do Banco (número de contrato e senha de acesso). Partilhados estes dados, é apresentada uma mensagem que informa a vítima de que será contactada por um técnico nas próximas 24 horas;
- Ataque de vishing e spoofing
- Quando a vítima é contactada por telefone, o atacante utiliza um número nacional ou um spoofing do número autêntico do Banco ou da CMD, ocorrendo a personificação por voz de um funcionário que questiona a vítima relativamente a informação privilegiada, como dados pessoais, criando confiança, e solicitando códigos relativos ao Banco (de validação, por exemplo) ou, de novo, da CMD.
Considerando a persistência desta campanha, o CNCS recomenda que se adotem as seguintes boas práticas:
- Não clicar em links e anexos de mensagens com solicitações suspeitas
- Suspeitar de solicitações de códigos e credenciais de acesso inusitadas sob pretextos de urgência ou falhas de segurança
- Nunca partilhar códigos da CMD e credenciais de acesso por mensagem ou por telefone
- Verificar a autenticidade dos domínios dos websites
- Confirmar a autenticidade do pedido, junto da entidade, através de outro canal
- Ativar o múltiplo fator de autenticação em todas as contas online
- Sempre que se é vítima de uma das abordagens descritas, fazer uma denúncia às autoridades e à entidade personificada no ataque