Cliente da Caixa Geral de Depósitos? Atenção às SMS e WhatsApp
Foi detetada uma nova campanha de “phishing” que tem em vista permitir aos seus autores aceder a contas bancárias de clientes da Caixa Geral de Depósitos. Se é cliente, tenha muito cuidado com o que recebe via SMS e WhatsApp.
Está em curso uma campanha de phishing que tem em vista aceder, de forma ilícita, a contas bancárias de clientes da Caixa Geral de Depósitos, para delas retirar montantes monetários.
Na presente campanha, além de mensagens WhatsApp, foi também identificado o regular uso de mensagens de SMS. O teor das mensagens fraudulentas tem evoluído e variado ao longo das semanas, consoante o grupo criminoso que efetua a campanha. Porém, todas as mensagens referem sempre terem como origem “CGD”, com isso pretendendo convencer os destinatários de que foram emitidas pela Caixa Geral de Depósitos.
Os links incluídos nas mensagens fraudulentas, não conduzem ao verdadeiro site da Caixa Geral de Depósitos: se acedidos, encaminham para uma página web que exibe imagens e logótipos normalmente por ela utilizados, mas que não correspondem à verdadeira página da Caixa Geral de Depósitos.
Estas mensagens pretendem sempre dar a entender que correspondem a um procedimento de segurança, alertando o respetivo destinatário para um “movimento”, ou um “acesso”, ou outro “incidente anormal” na respetiva conta bancária.
Estas mensagens incitam ao acesso urgente a essa conta, para “verificação”, ou “confirmação”, ou para “evitar bloqueio”. Para o efeito, todas elas indicam um link, que permitirá ao destinatário o acesso direto à sua conta bancária.
Proponha uma correção, faça uma sugestão
Loading ...
Atencao as chamadas… nunca meter o nif como la pedem….
saiu o PS ficou os bancos….
Sou cliente da Caixa mas nunca recebi uma SMS deles até ao dia de hoje. Só recebi por cartas. WhatsApp não tenho.
Ninguém mete mão nisto de uma vez por todas???
Tens solução para combater o phishing? Apresenta-a e ficas milionário!
O nome dele diz tudo. Profissionais em apontar problemas sem quaisquer vislumbre de solução exequível 😀
O Maserati Man é que resolvia tudo…ele e o mini ditador do Livre, se não são votos de bem, não contam.
Em relação à falsificação dos números de telefone é utilizar o: STIR/SHAKEN, a mesma solução já adoptada nos EUA.
Em relação ao phishing nos web sites é só exigir chave de segurança FIDO U2F ou FIDO2 (“WebAuthn”), que como assina o endereço verdadeiro da página falsa onde se está não serve para o endereço verdadeiro.
Como posso receber o meu dinheiro para ficar rico Mr. Y?
Não percebo como isso resolve as páginas de phishing.
Mas sim, tens razão que os bancos deveriam usar sistemas mais seguro. No mínimo, autênticação a 2 passos ou os mais recentes protocolos de segurança que falaste.
FIDO U2F e FIDO2 (“WebAuthn”) são um segundo factor, ou único factor, conforme os implementarem que não permite autenticar nas páginas falsas porque os endereços desses web sites não são os verdadeiros, simplesmente o que os eventuais ladrões recebem de volta dos utilizadores não serve para nada.
Na Google, depois de implementarem as chaves de segurança FIDO U2F para autenticarem-se o número de empregados que caiu em esquemas de phishing caiu para zero.
A tecnologia não é perfeita, mas se as pessoas não aceitarem instalar coisas, e mantiverem as coisas actualizadas geralmente é o suficiente.
@João
Acho que é quase impossivel combater as páginas de phishing (a não ser que instales um serviço como a NorthVPN já dispõe que monitora isso).
A técnica de phishing não se autentica directamente no banco. É um serviço instalado num outro servidor que serve apenas para obter as tuas credenciais.
Agora, os bancos deveriam (e alguns têm) outras formas adicionais de autenticar, além dessas credenciais.
Qual é ? Acabar com a net ? Sim, talvez resulte …
O problema não são as SMS e afins… o problema da CGD é somente o Portal e os constantes problemas que este tem! É inadmissível que em 2024 o serviço disponibilizado seja tão mau em termos de estabilidade…
O problema são as pessoas que são tansas que continuam a cair que nem pato. Gente analfabeta que se acha muito inteligente e que culpam sempre os outros do males que lhes acontece. Nós é que devíamos ser beneficiados por ter de conviver com tanta burrice.
Os bancos todos já deveriam ter adoptado o FIDO U2F ou o FIDO2 (“WebAuthn”), que impediria os esquemas de pescar dados de acesso das contas.
Os clientes deveriam poder desactivar a ajuda por telefone (voz e mensagens) relativamente à sua conta que costuma ser o Cavalo de Troia para as contas já que o nível de autenticação/ segurança é muito inferior, e actualmente é impossível convencer os bancos a desactivar tal opção.
Estás à espera que, num país onde as pessoas partilham com estranhos um código que recebem numa sms que começa com as palavras “NUNCA PARTILHE ESTE CÓDIGO COM NINGUÉM”, as pessoas passem a andar com uma “pen” destas?
Nem imaginas o que gozam comigo no dia a dia cada vez que puxo da minha yubikey para fazer um login…
É só os bancos dizerem: tem de utilizar uma chave de segurança compatível com WebAuthn (FIDO2) que requeira senha ou impressão digital para autenticar-se na aplicação e/ ou no web site, e está feito… gostem ou não terão de utilizar.
E até as podem oferecer, já que é um custo relativamente baixo em relação ao custo das fraudes/ furtos.
Claro que não vai parar as fraudes onde as próprias pessoas transferem fundos para os atacantes enganadas de algum modo, mas pelo menos os bancos pode evitar alguns ataques, bastando solicitar a chave de segurança (WebAuthn/ FIDO2) e informar na mensagem exibida o que a pessoa está realmente prestes a autorizar, sempre que está a realizar acções que possam prejudicá-la… vai haver gente burra a cair, mas será muito menos gente, que no mínimo reduz os custos com fraudes/ furtos/ má publicidade… e depois de as televisões, jornais, redes sociais serem inundadas com avisos lá cairá ainda mais a quantidade de gente burra a cair nesses esquemas.
Os bancos nunca o vão fazer. É mais importante um cliente que a segurança…
Quando os bancos te limitam a um código de 6 dígitos e não te deixam sequer usar uma palavra passe forte, o que dizes era uma utopia…
A CGD, tem por norma descurar a segurança, e os acessos que são feitos á plataforma..
Conheço pessoas, que foram atacadas, for tentativas sucessivas, para tentarem descubrir a palavra chave, e reclamaram, e a CGD, nem quiz saber..
Num país de primeiro mundo, a policia judiciaria seria logo a primeira, a ser contactada pela CGD, para dar seguimento aos casos, é uma autentica vergonha.
Não é só SMS á toa, é que eles apanham os nomes dos utilizadores nos smart phones, e depois vão ao facebook, e afins, e espalham virus até por SMS, a dizer que a pessoa Xyz colocou qualquer coisa online, e desta forma conseguem ampliar o ataque, não apenas ao primeiro infectado, mas também a um enorme numero de vitimas, que se ralacionam com a primeira vitima.
Montes destas SMS são enviadas de numeros que ao meu ver nem existem, como o 32665 entre outros, mas normalmente são numeros pequenos..no entanto também ha numeros “normais”.. 93 9452627 é apenas um deles..
3 tentativas erradas e a conta fica bloqueada… Se isso não aconteceu é porque as pessoas já tinham entregue os códigos ao bandido em algum site falso…
A CGD, tem por norma descurar a segurança, e os acessos que são feitos á plataforma..
Conheço pessoas, que foram atacadas, for tentativas sucessivas, para tentarem descubrir a palavra chave, e reclamaram, e a CGD, nem quiz saber..
Num país de primeiro mundo, a policia judiciaria seria logo a primeira, a ser contactada pela CGD, para dar seguimento aos casos, é uma autentica vergonha.
Não é só SMS á toa, é que eles apanham os nomes dos utilizadores nos smart phones, e depois vão ao facebook, e afins, e espalham virus até por SMS, a dizer que a pessoa Xyz colocou qualquer coisa online, e desta forma conseguem ampliar o ataque, não apenas ao primeiro infectado, mas também a um enorme numero de vitimas, que se ralacionam com a primeira vitima.
Montes destas SMS são enviadas de numeros que ao meu ver nem existem, como o 32665 entre outros, mas normalmente são numeros pequenos..no entanto também ha numeros “normais”.. 93 9452627 é apenas um deles..
São tão burros que não sabem que o site é .pt e não .com
Parece-me um bocado exagerado insultar alguém por esse detalhe.
Poderia ser .pt, se ser de igual forma falso, ou utilizar carateres muito parecidos, que visualmente poderia passar despercebido.
Estamos todos no mesmo barco, e este tipo de alertas deve ser utilizado para estarmos constantemente atentos para situações, umas que até já conhecemos, mas certamente que outras serão completamente inesperadas.
Pode ser .pt e ser falso mas não sendo .pt é falso de certeza…
Os clientes deste banco recebem, pelo menos, 2 avisos para estas burlas a cada login e a página inicial tem outros tantos…
Pior do que quem não vê, e de quem não quer ver, é quem vê e decide ignorar…
A primeira coisa é verificar a ortografia pois aqui no nosso território não se diz: “Pedimos que se verifique em:” isto soa mal logo à partida, dizemos: Pedimos que verifique em:, em geral os esquemas de phishing têm uma ortografia com erros e ou com falhas e confusão no vocabulário.
uma das melhores formas de evitar isso e estabelcer um limite para as operacoes, esta opcao os bancos disponibilizam. dessa forma nao pode haver seja o que for acima desse valor.