PplWare Mobile

Clientes do Banco CTT foram alvo de fraude na Internet

                                    
                                

Este artigo tem mais de um ano


Autor: Pedro Pinto


  1. MalicX says:

    Mas ainda existem bancos sem autenticação de dois níveis ? Mesmo que obtenham o código de acesso de nada servem sem o 2o fator. A ser verdade o banco CTT é uma bela Bost@

    • Nine says:

      Falta também a questão do cartão matrix, códigos SMS para confirmação da transação e inclusive a aplicação MB deles.. falta muita coisa nesta história…

    • Realista says:

      Sim, comparando com outros que conheço, o homebanking do Banco CTT é uma Bost@.
      Mas mesmo sendo uma Bost@, mesmo assim tem autentificação das transacções por SMS o que torna estranho como conseguiram realizar a fraude…

    • Luna Pacheco says:

      Há uns anos tive conta no Banco CTT, cancelei antes de começarem a cobrar anuidade. E nessa altura, tinham 2 fatores, mas o 2º fator era mesmo fraco. Existia um pin de 8 números que é definido pelo cliente na inscrição, para além da password, e eram pedidos 3 desses números ao calhas durante o login.
      Qualquer pessoa que tivesse acesso a todos os 8 números e à password, não teria quaisquer dificuldades a aceder à conta e a muitos detalhes. Algumas operações estariam bloqueadas por verificação SMS, mas seria mesmo assim suficiente para conseguirem arranjar forma de tirar de lá dinheiro…
      Para além disso, podemos também assumir que, tendo acesso ao número de telemóvel da pessoa, poderiam ligar a essa pessoa fazendo-se passar por funcionário dos CTT, especialmente com todas as informações que já conseguiram obter antes.
      E pronto, está feito o golpe! E quem não reparar depressa o suficiente… já era.

    • Jorge says:

      Vocês não entendem… não interessa ter proteção de 2, 3 ou 4 fatores quando as vitimas dão esses dados todos a um site falso. As pessoas precisam de ser educadas em cibersegurança. Verificar o endereço, etc.

      • Augusto Favaios says:

        Você é que não entende: não são as vítimas que dão os “dados” ao ladrão… É alguém graúdo dentro do Banco que vendeu as próprias credenciais a um hacker… O Hacker não quer para nada as credenciais da vítima, porque ele tem as credenciais de alguém dentro do Banco. Capicce
        ?…

    • Carla says:

      Pois. Não é verdade. O assalto às contas não foi com os dados dos clientes.

    • Augusto Favaios says:

      Cópia de uma denúncia que acabei de enviar para a Brigrada de Cibercrime da PJ

      Sem pretender ensinar “a missa ao Papa” gostaria de alertar para o seguinte: vários clientes do Banco CTT sofreram acessos indevidos às suas contas (que foram esvaziadas) durante o mês de Dezembro de 2022.
      O Banco CTT descarta qualquer responsabilidade, acusando os clientes de terem acedido a uma página falsa, em tudo semelhante à verdadeira do Banco CTT, “phishing” (portanto, ataque externo=responsabilidade zero).
      1 – O sistema informático do Banco CTT apenas permite efectuar transferências em homebanking mediante a confirmação por código SMS enviado para o telemóvel do cliente.
      2 – Os clientes lesados óbviamente não receberam nenhuma SMS estranha nos seus telemóveis.
      3 – Parece-me claro que o ataque é interno, praticado por funcionário/s do Banco CTT, alguém com capacidade para alterar temporáriamente o nº telemóvel do cliente (algo que o próprio cliente apenas consegue fazer presencialmente num balcão!), efectuar as transferências para outras contas dentro do Banco CTT, e repôr o telemóvel original do cliente por forma a que este não se aperceba de nada estranho, atirando as culpas para o “phishing”. Até agora tem sido o “crime perfeito”.

  2. Muito Mau says:

    Caso o meu banco permitisse a transferência de valores, sem qualquer fator se autenticação extra, a primeira medida era fechar a conta. Como é que é possível permitirem este tipo de movimentos???

  3. molas says:

    O que se passa é que grande parte dos clientes são obrigados a definir códigos quando abrem a conta, mas como a maioria não percebe de tecnologia os códigos são colocados por quem abre a conta. A partir daí deixo à vossa consideração.

    • David Guerreiro says:

      Isso não é o suficiente. Com o login e esse código, apenas permite fazer consultas ou algumas operação dentro da conta. Agora tudo o que seja movimentos de património para fora, obrigatoriamente tem autenticação por SMS. Autenticação essa que foi fornecida pelas vítimas aos burlões.

      • Jorge Castro says:

        Está completamente enganado e a difundir informação falsa.
        Eu sou vitima e não recebi qualquer código de autorização das transferências, nem as autorizei de qualquer outra forma.

  4. Joao Ptt says:

    Infelizmente o Banco CTT ainda não abandonou o E-mail, telefonemas e o SMS. Se os clientes recebessem uma mensagem do banco por qualquer um destes meios já saberia que era fraude porque o banco nem tinha esses dados para começar.
    E como fazia então o banco para comunicar com os clientes? Instalações físicas do banco. Carta. Conta de cliente no web site. Aplicação do banco. Estes meios devem chegar.

    E furto de dados em páginas falsas? FIDO U2F/ FIDO2 solucionava isso, já que não há maneira de enganar com uma página falsa, porque o endereço será diferente do banco e então a chave produzida será sempre diferente, o que invalida a sua utilização para entrar no banco.

    Não deixa de ser irónico que seja mais difícil de entrar em alguns serviços de e-mail do que é entrar na esmagadora maioria dos bancos portugueses.

  5. Bruno says:

    A minha teoria seria a seguinte:
    Temos aqui presente um website falso, muito parecido com o Homebanking dos CTT, mas “ligado” ao Homebanking original.
    As pessoas se meterem info errada, como o site comunica com o sistema verdadeiro, indica que está errado. Se indicarem info verdadeira, ele inicia o processo todo de (provavelmente) pedir a autenticação de dois fatores. Quando entra nesta etapa, se o utilizador meter o código, consegue ter acesso à sua informação principal (pois o sistema vai ter a info do sistema original) e dá acesso também ao sistema de burla.

    Ora pois, se o sistema de burla depois tem acesso, ele começa a descontar, de forma que a pessoa não note (pode ter de adicionar a conta bancária do burlão como confiável).

    Eu não conheço o sistema dos CTT, atenção, apenas apresentei uma hipótese. E se fosse com o sistema do Millenium BCP que tem o código multicanal apenas em alguns casos… mais fácil

    • Carla says:

      Não é verdade. Conheço pessoalmente uma das vítimas e nem tinha acesso à conta por internet. Não movimentava a conta a não ser para fazer depósitos.
      Houve uma falha de segurança e não teve a ver com os clientes, como estão a dizer.

      • Bruno says:

        Desculpem, as contas têm de estar protegidas por códigos de acesso de 2 fatores ou um multi fatores.
        Se essa pessoa não tinha acesso à internet, como então conseguiram entrar pela conta online, sem sequer o acesso ser ativado?
        O acesso à conta teve de ser ativado, validado e usado. Não aparece feito porque o sistema quis. E mesmo assim para se confirmar qualquer transação, tem de ser validado (a não ser que esteja na lista de pessoas confiáveis dessa conta).

        • Augusto Favaios says:

          O acesso à conta aparece feito se o hacker, além de entrar no sistema, possuir as credenciais de alguém “graúdo” dentro do próprio banco ( todas as transferências fraudulentas foram efetuadas para outras contas dentro do Banco CTT, isto é suspeito, e espanta-me que um Juiz ainda não tenha ordenado o congelamento sumério dessas contas).

    • Augusto Favaios says:

      Pode ter sido um funcionário dos CTT que vendeu as suas credenciais por 500 euricos, sem saber no que se estava a meter…

  6. Há cada gajo says:

    Analfabetos digitais. Nem tudo é culpa do banco.

  7. Ruy says:

    O que uma entidade pode fazer, se depois de tantos avisos ainda existe este nível de ignorância, que clica em tudo o que vê mete os dados e ainda escreve o código de validação?

    • Carla says:

      Não foi o que aconteceu, o banco ctt não está a dizer a verdade. Conheço uma das vítimas, nem sequer tinha códigos, não tinha nada para fornecer.

      • Ruy says:

        Desculpe quem você é? Está em todos os comentários.. Deixe se disso…

        • Jorge Castro says:

          O amigo deve andar a pensar que somos todos como você.
          Isto não tem nada a ver com ignorância. Isto tem a ver com falta de segurança do sistema do banco. As transferência da minha conta foram efetuadas sem qualquer tipo de autorização da minha parte e sem que eu tivesse fornecido qualquer informação para que as mesmas pudessem ter sido efetuadas.

  8. ManAugusto says:

    a segurança do BCTT é uma bostix

  9. Redin says:

    Vejo muito “passa a culpa” para este ou aquele mas o que se estão a esquecer é que por muito que se faça para consciencializar as pessoas, irão sempre aparecer outras que não estarão preparadas.
    É daí que os grupos criminosos se aproveitam.
    A nós que nos parecemos bem preparados, parece fácil evitar.
    A estrutura do email quando foi criada não contemplava este tipo de medidas e nunca foi corrigida. Apenas tem vindo a passar a responsabilidade para o destinatário e ao longo destes últimos 50 anos os tão aclamados filtros continuam sem qualquer sucesso.
    Tenho vindo a demonstrar isso na proposta que tenho online. A responsabilidade tem de ser atribuída ao remetente e não ao destinatário. Para que o remetente sinta o interesse de enviar qualquer tipo de solicitação, terá de ficar exposto ao inconveniente de uma investigação forense. E isso apenas se torna possível se os conteúdos ficarem bloqueados do lado do servidor deles e não libertados imediatamente para a caixa de destino.

  10. Eddy says:

    Só a mim é que faz confusão o Banco CTT não ter exigido à Google e a outros motores de busca para eliminarem este link e outros falsos?
    Caramba, a Google tá a ser paga para promover fraude de forma automática através do AdSense e só é revisto após uma queixa, do qual o Banco CTT tem todo o direito a fazer.
    Assim passaria a ser um link de deep web que os principais motores de busca não apresentam.

    Agora, publicaram um aviso sobre phishing e ficam à espera que todos tenham e compreendam a informação. Era óbvio que ia dar problemas.

    • Bruno says:

      E no YouTube tá cheio de vídeos para investir nos CTT…

    • David Guerreiro says:

      Pensa que é fácil? Procure lá por Lefties online ou Tiffosi online, o primeiro resultado vai dar a uma loja falsa da Lefties ou Tiffosi respetivamente. Ambos já foram relatados à Google há muito tempo… Fizeram alguma coisa? Nada. Todos os dias há pessoas a comprarem nessas lojas falsas, ficam sem o dinheiro e sem a mercadoria.

      • Eddy says:

        Só não é fácil porque não há vontade… IPTVs e sites de stream ilegais mandam abaixo e a Google esconde os links facilmente com base no Millennium Act.
        Neste tipo de assuntos, não se mexem.
        Há tantas formas de eliminar o acesso fácil a esse tipo de sites, seja através dos ISPs com o DNS, ser a própria Google a fazê-lo. Mesmo que tenha de ser o tribunal a dar ordem, é possível porque já se faz para outros assuntos.

        Se aparecem como anúncio, é porque o AdSense validou o link e recebeu o pagamento para apresentar no topo.
        Enquanto temos a UE a implicar com a Apple e a unificação de cabos, não se focam em elaborar normas mais eficazes e atualizadas de cibersegurança.

  11. Tiago says:

    E o Banco de Portugal o que tem a dizer sobre a implementação de medidadas de segurança nas instituições ??? A PJ que resolva dizem eles !!!

    • David Guerreiro says:

      Não sou cliente do BCTT, mas pelo que sei para entrar são necessários login e password e para qualquer movimentação de património é exigido fator extra de autenticação enviado por SMS para o cliente. Se o cliente fornece todos esses dados, não há medidas de segurança que valham. Disseram-me que desde há uns dias os SMS passaram a conter “Não partilhe este código com ninguém” ou algo do género

      • Mike says:

        E cartão matriz ?

      • Augusto Favaios says:

        O cliente vai fornecer o cartão SIM na sua posse??… E as pessoas que nem aderiram ao homebanking, também forneceram as credenciais inexistentes?… Tudo indica tratar-se de um inside job, orquestrado por alguém com credenciais suficientes para alterar o nº telemóvel associado à conta (algo que o próprio cliente apenas consegue fazer presencialmente…).

  12. PorcoDoPunjab says:

    Bom, o que eu acho estranho no meio disto tudo é a quantidade enorme de pessoas afectadas por este esquema.
    Será que foi feito apenas através de phishing puro e duro?
    Será que não há alguém dentro do banco a fazer um inside job?
    Estou a escrever isto e a pensar em fechar a conta que lá tenho…

    Enganar assim tanta gente ao mesmo tempo quando é dito que alguns nem acesso homebanking têm?
    Como podem dar as credenciais aos hackers se não há credenciais para dar?
    É esta parte que me leva a pensar que deve haver “furões” dentro do banco.
    Como é óbvio o banco não vai dizer isto publicamente ou seria o pânico total com toda a gente a fechar as contas e lá se ia mais um banco à vida, como se ainda não bastasse os que já foram..

  13. JJ says:

    Tenho conta banco ctt há anos zero problemas. Único senão, o aspeto gráfico. Há anos tive conta na CGA e mal aderi ao homebanking passado poucas semanas ao tentar o acesso, entrei no que seria a pagina do banco, tudo muito bem feito, espetacular graficamente com o domínio correto. Tudo solicitado como no original, exceto terem acrescentado o pedido de número de telemóvel. Não fosse isso e tinha colocado os dados. Reportei de imediato e ficou na pagina do banco, somada a outras situações. Até hoje o banco mais seguro em que tive dinheiro foi o privatbank. Esse até ao cliente dava dores de cabeça o acesso. Acredito em todas as possibilidades por aqui já inventariadas, mas a verdade é que a maior parte das situações que acontecem são devidas à própria distração dos clientes que não se lembram de ter numa ou noutra situação ter facilitado os dados a e-mails ou dominios pouco fidedignos

  14. Niki says:

    Ainda hoje recebi um email de ctt banco mas vi logo o email acaba em cttbanco, mas o inicio não se justifique e tava meio em italiano…
    Dizendo que alterei o email mas que nececita mais actualizações.
    Tirei foto mas não dá pra por aqui n sei porquê mas não me dá essa opção.
    Pra mais o meu numero de telemóvel tinha mais um numero adicionado, so o facto do extra digito.
    De facto tinha mudado o email recentemente atravez da minha app como foram ver não faço ideia ou então estao fazendo ” fishing”.
    De qualquer modo as nossas coisas têm de ser protegidas e debuging nos pcs ctt sempre.

  15. Stephanie says:

    Eu sou mais uma vítima de fraude do banco CTT. No passado dia 16/02, roubaram o meu telemóvel com cartão brasileiro pois eu estava lá. Horas depois, conseguiram fazer 2 transferências para outra pessoa chamada Inês Filipa Dias do banco CTT no valor de 4600€ e 2 pagamentos online no valor de +- 1000€. o meu cartão de tlm associado à conta sempre esteve na minha posse e nunca recebi mensagem nenhuma, mas como as transaçoes foram confirmadas através da aplicação o banco não se quer responsabilizar.

Deixe um comentário

O seu endereço de email não será publicado.

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.