Proponha uma correção, faça uma sugestão
Clientes do Banco CTT foram alvo de fraude na Internet
Como temos vindo a alertar, Portugal tem sido alvo de vários ataques informáticos que têm como objetivo atacar empresas, mas também enganar e roubar os portugueses.
Fraudes digitais que envolvem esquemas associados à banca são bastante comuns e um dos mais recentes teve como alvo clientes do Banco CTT. Saiba o que aconteceu.
Há clientes do banco CTT lesados em milhares de euros. Tratou-se de um conjunto de páginas de Internet fraudulentas a que os clientes terão acedido. O banco diz que se trata de phishing e que é completamente alheio à situação, segundo revela a RTP. O banco não revelou também quantos clientes terão sido afetados e descarta qualquer falha de segurança.
Esquemas de Phishing usando a imagem do Banco CTT
O phishing deve a sua designação à palavra inglesa “fishing”, cujo significado é “pescar”. Consiste num tipo de fraude que combina a utilização de meios tecnológicos com engenharia social, e tem como objetivo persuadir um utilizador a revelar dados pessoais e financeiros.
Este tipo de ataques é geralmente baseado em mensagens de email enviadas de forma massiva para vários utilizadores, contendo uma hiperligação (link) para um website falso ou para descarregar software malicioso.
A informação pretendida diz respeito a contas bancárias, credenciais de acesso ao Homebanking, contacto telefónico ou outras informações confidenciais.
O banco publicou, em dezembro, um conjunto de alertas que referem que pesquisas em motores de busca (ex., google.com) utilizando as palavras “Banco CTT”, “BancoCTT”, “bctt” ou “CTT homebanking” estão a resultar em anúncios fraudulentos que surgem no topo da lista resultante da pesquisa efetuada.
Estes links, que surgem com a indicação de “Anúncio”, são sites falsos que reencaminham os utilizadores, que neles clicam, para um site fraudulento de forma a tentarem obter os códigos de acesso dos clientes ao Homebanking do Banco CTT, permitindo o subsequente acesso indevido às contas dos clientes por parte de agentes maliciosos.
Este artigo tem mais de um ano
Loading ...
Mas ainda existem bancos sem autenticação de dois níveis ? Mesmo que obtenham o código de acesso de nada servem sem o 2o fator. A ser verdade o banco CTT é uma bela Bost@
Falta também a questão do cartão matrix, códigos SMS para confirmação da transação e inclusive a aplicação MB deles.. falta muita coisa nesta história…
Sim, comparando com outros que conheço, o homebanking do Banco CTT é uma Bost@.
Mas mesmo sendo uma Bost@, mesmo assim tem autentificação das transacções por SMS o que torna estranho como conseguiram realizar a fraude…
Há uns anos tive conta no Banco CTT, cancelei antes de começarem a cobrar anuidade. E nessa altura, tinham 2 fatores, mas o 2º fator era mesmo fraco. Existia um pin de 8 números que é definido pelo cliente na inscrição, para além da password, e eram pedidos 3 desses números ao calhas durante o login.
Qualquer pessoa que tivesse acesso a todos os 8 números e à password, não teria quaisquer dificuldades a aceder à conta e a muitos detalhes. Algumas operações estariam bloqueadas por verificação SMS, mas seria mesmo assim suficiente para conseguirem arranjar forma de tirar de lá dinheiro…
Para além disso, podemos também assumir que, tendo acesso ao número de telemóvel da pessoa, poderiam ligar a essa pessoa fazendo-se passar por funcionário dos CTT, especialmente com todas as informações que já conseguiram obter antes.
E pronto, está feito o golpe! E quem não reparar depressa o suficiente… já era.
Vocês não entendem… não interessa ter proteção de 2, 3 ou 4 fatores quando as vitimas dão esses dados todos a um site falso. As pessoas precisam de ser educadas em cibersegurança. Verificar o endereço, etc.
Você é que não entende: não são as vítimas que dão os “dados” ao ladrão… É alguém graúdo dentro do Banco que vendeu as próprias credenciais a um hacker… O Hacker não quer para nada as credenciais da vítima, porque ele tem as credenciais de alguém dentro do Banco. Capicce
?…
Ok, e como a pessoa dentro do banco vai justificar essas transferências para os superiores e controlos internos?
“Deu-me na tola”…
Pois. Não é verdade. O assalto às contas não foi com os dados dos clientes.
Cópia de uma denúncia que acabei de enviar para a Brigrada de Cibercrime da PJ
Sem pretender ensinar “a missa ao Papa” gostaria de alertar para o seguinte: vários clientes do Banco CTT sofreram acessos indevidos às suas contas (que foram esvaziadas) durante o mês de Dezembro de 2022.
O Banco CTT descarta qualquer responsabilidade, acusando os clientes de terem acedido a uma página falsa, em tudo semelhante à verdadeira do Banco CTT, “phishing” (portanto, ataque externo=responsabilidade zero).
1 – O sistema informático do Banco CTT apenas permite efectuar transferências em homebanking mediante a confirmação por código SMS enviado para o telemóvel do cliente.
2 – Os clientes lesados óbviamente não receberam nenhuma SMS estranha nos seus telemóveis.
3 – Parece-me claro que o ataque é interno, praticado por funcionário/s do Banco CTT, alguém com capacidade para alterar temporáriamente o nº telemóvel do cliente (algo que o próprio cliente apenas consegue fazer presencialmente num balcão!), efectuar as transferências para outras contas dentro do Banco CTT, e repôr o telemóvel original do cliente por forma a que este não se aperceba de nada estranho, atirando as culpas para o “phishing”. Até agora tem sido o “crime perfeito”.
Inside job
Caso o meu banco permitisse a transferência de valores, sem qualquer fator se autenticação extra, a primeira medida era fechar a conta. Como é que é possível permitirem este tipo de movimentos???
Mas houve autenticação extra… autenticação essa que foi fornecida aos burlões.
Não houve, não.
Então faça queixa na PJ, e eles que investiguem. O banco tem de provar que o cliente forneceu credenciais.
Jure! Não foi comigo, mas as queixas à PJ e ao Banco de Portugal, foram logo feitas, obviamente.
Falar é fácil, mas até agora, a versão do banco é a que foi phishing (não foi!) e que não tem responsabilidade.
O que se passa é que grande parte dos clientes são obrigados a definir códigos quando abrem a conta, mas como a maioria não percebe de tecnologia os códigos são colocados por quem abre a conta. A partir daí deixo à vossa consideração.
Isso não é o suficiente. Com o login e esse código, apenas permite fazer consultas ou algumas operação dentro da conta. Agora tudo o que seja movimentos de património para fora, obrigatoriamente tem autenticação por SMS. Autenticação essa que foi fornecida pelas vítimas aos burlões.
Está completamente enganado e a difundir informação falsa.
Eu sou vitima e não recebi qualquer código de autorização das transferências, nem as autorizei de qualquer outra forma.
Outra vez arroz?
#P2T corrige isso
https://www.linkedin.com/feed/update/urn:li:activity:6955512410308775936
Infelizmente o Banco CTT ainda não abandonou o E-mail, telefonemas e o SMS. Se os clientes recebessem uma mensagem do banco por qualquer um destes meios já saberia que era fraude porque o banco nem tinha esses dados para começar.
E como fazia então o banco para comunicar com os clientes? Instalações físicas do banco. Carta. Conta de cliente no web site. Aplicação do banco. Estes meios devem chegar.
E furto de dados em páginas falsas? FIDO U2F/ FIDO2 solucionava isso, já que não há maneira de enganar com uma página falsa, porque o endereço será diferente do banco e então a chave produzida será sempre diferente, o que invalida a sua utilização para entrar no banco.
Não deixa de ser irónico que seja mais difícil de entrar em alguns serviços de e-mail do que é entrar na esmagadora maioria dos bancos portugueses.
Multicanal do BCP é um bom exemplo
A minha teoria seria a seguinte:
Temos aqui presente um website falso, muito parecido com o Homebanking dos CTT, mas “ligado” ao Homebanking original.
As pessoas se meterem info errada, como o site comunica com o sistema verdadeiro, indica que está errado. Se indicarem info verdadeira, ele inicia o processo todo de (provavelmente) pedir a autenticação de dois fatores. Quando entra nesta etapa, se o utilizador meter o código, consegue ter acesso à sua informação principal (pois o sistema vai ter a info do sistema original) e dá acesso também ao sistema de burla.
Ora pois, se o sistema de burla depois tem acesso, ele começa a descontar, de forma que a pessoa não note (pode ter de adicionar a conta bancária do burlão como confiável).
Eu não conheço o sistema dos CTT, atenção, apenas apresentei uma hipótese. E se fosse com o sistema do Millenium BCP que tem o código multicanal apenas em alguns casos… mais fácil
Não é verdade. Conheço pessoalmente uma das vítimas e nem tinha acesso à conta por internet. Não movimentava a conta a não ser para fazer depósitos.
Houve uma falha de segurança e não teve a ver com os clientes, como estão a dizer.
Desculpem, as contas têm de estar protegidas por códigos de acesso de 2 fatores ou um multi fatores.
Se essa pessoa não tinha acesso à internet, como então conseguiram entrar pela conta online, sem sequer o acesso ser ativado?
O acesso à conta teve de ser ativado, validado e usado. Não aparece feito porque o sistema quis. E mesmo assim para se confirmar qualquer transação, tem de ser validado (a não ser que esteja na lista de pessoas confiáveis dessa conta).
O acesso à conta aparece feito se o hacker, além de entrar no sistema, possuir as credenciais de alguém “graúdo” dentro do próprio banco ( todas as transferências fraudulentas foram efetuadas para outras contas dentro do Banco CTT, isto é suspeito, e espanta-me que um Juiz ainda não tenha ordenado o congelamento sumério dessas contas).
Eu até espanto é também como, se for o caso, os CTT ainda não bloquearam essa dita conta bancária.
Pode ter sido um funcionário dos CTT que vendeu as suas credenciais por 500 euricos, sem saber no que se estava a meter…
Analfabetos digitais. Nem tudo é culpa do banco.
Não é o caso. Aqui foi mesmo culpa do banco, mas estão-se a desculpar com o analfabetismo digital dos clientes. Conheço uma pessoa que não tinha acesso digital à conta, não tinha códigos nenhuns para fornecer.
A pessoa que apresente queixa na PJ.
O que uma entidade pode fazer, se depois de tantos avisos ainda existe este nível de ignorância, que clica em tudo o que vê mete os dados e ainda escreve o código de validação?
Não foi o que aconteceu, o banco ctt não está a dizer a verdade. Conheço uma das vítimas, nem sequer tinha códigos, não tinha nada para fornecer.
Desculpe quem você é? Está em todos os comentários.. Deixe se disso…
O amigo deve andar a pensar que somos todos como você.
Isto não tem nada a ver com ignorância. Isto tem a ver com falta de segurança do sistema do banco. As transferência da minha conta foram efetuadas sem qualquer tipo de autorização da minha parte e sem que eu tivesse fornecido qualquer informação para que as mesmas pudessem ter sido efetuadas.
a segurança do BCTT é uma bostix
Vejo muito “passa a culpa” para este ou aquele mas o que se estão a esquecer é que por muito que se faça para consciencializar as pessoas, irão sempre aparecer outras que não estarão preparadas.
É daí que os grupos criminosos se aproveitam.
A nós que nos parecemos bem preparados, parece fácil evitar.
A estrutura do email quando foi criada não contemplava este tipo de medidas e nunca foi corrigida. Apenas tem vindo a passar a responsabilidade para o destinatário e ao longo destes últimos 50 anos os tão aclamados filtros continuam sem qualquer sucesso.
Tenho vindo a demonstrar isso na proposta que tenho online. A responsabilidade tem de ser atribuída ao remetente e não ao destinatário. Para que o remetente sinta o interesse de enviar qualquer tipo de solicitação, terá de ficar exposto ao inconveniente de uma investigação forense. E isso apenas se torna possível se os conteúdos ficarem bloqueados do lado do servidor deles e não libertados imediatamente para a caixa de destino.
Só a mim é que faz confusão o Banco CTT não ter exigido à Google e a outros motores de busca para eliminarem este link e outros falsos?
Caramba, a Google tá a ser paga para promover fraude de forma automática através do AdSense e só é revisto após uma queixa, do qual o Banco CTT tem todo o direito a fazer.
Assim passaria a ser um link de deep web que os principais motores de busca não apresentam.
Agora, publicaram um aviso sobre phishing e ficam à espera que todos tenham e compreendam a informação. Era óbvio que ia dar problemas.
E no YouTube tá cheio de vídeos para investir nos CTT…
Nas publicidades do Facebook também, e até do Paulo Portas.
Pensa que é fácil? Procure lá por Lefties online ou Tiffosi online, o primeiro resultado vai dar a uma loja falsa da Lefties ou Tiffosi respetivamente. Ambos já foram relatados à Google há muito tempo… Fizeram alguma coisa? Nada. Todos os dias há pessoas a comprarem nessas lojas falsas, ficam sem o dinheiro e sem a mercadoria.
Só não é fácil porque não há vontade… IPTVs e sites de stream ilegais mandam abaixo e a Google esconde os links facilmente com base no Millennium Act.
Neste tipo de assuntos, não se mexem.
Há tantas formas de eliminar o acesso fácil a esse tipo de sites, seja através dos ISPs com o DNS, ser a própria Google a fazê-lo. Mesmo que tenha de ser o tribunal a dar ordem, é possível porque já se faz para outros assuntos.
Se aparecem como anúncio, é porque o AdSense validou o link e recebeu o pagamento para apresentar no topo.
Enquanto temos a UE a implicar com a Apple e a unificação de cabos, não se focam em elaborar normas mais eficazes e atualizadas de cibersegurança.
E o Banco de Portugal o que tem a dizer sobre a implementação de medidadas de segurança nas instituições ??? A PJ que resolva dizem eles !!!
Não sou cliente do BCTT, mas pelo que sei para entrar são necessários login e password e para qualquer movimentação de património é exigido fator extra de autenticação enviado por SMS para o cliente. Se o cliente fornece todos esses dados, não há medidas de segurança que valham. Disseram-me que desde há uns dias os SMS passaram a conter “Não partilhe este código com ninguém” ou algo do género
E cartão matriz ?
O cliente vai fornecer o cartão SIM na sua posse??… E as pessoas que nem aderiram ao homebanking, também forneceram as credenciais inexistentes?… Tudo indica tratar-se de um inside job, orquestrado por alguém com credenciais suficientes para alterar o nº telemóvel associado à conta (algo que o próprio cliente apenas consegue fazer presencialmente…).
Bom, o que eu acho estranho no meio disto tudo é a quantidade enorme de pessoas afectadas por este esquema.
Será que foi feito apenas através de phishing puro e duro?
Será que não há alguém dentro do banco a fazer um inside job?
Estou a escrever isto e a pensar em fechar a conta que lá tenho…
Enganar assim tanta gente ao mesmo tempo quando é dito que alguns nem acesso homebanking têm?
Como podem dar as credenciais aos hackers se não há credenciais para dar?
É esta parte que me leva a pensar que deve haver “furões” dentro do banco.
Como é óbvio o banco não vai dizer isto publicamente ou seria o pânico total com toda a gente a fechar as contas e lá se ia mais um banco à vida, como se ainda não bastasse os que já foram..
Tenho conta banco ctt há anos zero problemas. Único senão, o aspeto gráfico. Há anos tive conta na CGA e mal aderi ao homebanking passado poucas semanas ao tentar o acesso, entrei no que seria a pagina do banco, tudo muito bem feito, espetacular graficamente com o domínio correto. Tudo solicitado como no original, exceto terem acrescentado o pedido de número de telemóvel. Não fosse isso e tinha colocado os dados. Reportei de imediato e ficou na pagina do banco, somada a outras situações. Até hoje o banco mais seguro em que tive dinheiro foi o privatbank. Esse até ao cliente dava dores de cabeça o acesso. Acredito em todas as possibilidades por aqui já inventariadas, mas a verdade é que a maior parte das situações que acontecem são devidas à própria distração dos clientes que não se lembram de ter numa ou noutra situação ter facilitado os dados a e-mails ou dominios pouco fidedignos
Ainda hoje recebi um email de ctt banco mas vi logo o email acaba em cttbanco, mas o inicio não se justifique e tava meio em italiano…
Dizendo que alterei o email mas que nececita mais actualizações.
Tirei foto mas não dá pra por aqui n sei porquê mas não me dá essa opção.
Pra mais o meu numero de telemóvel tinha mais um numero adicionado, so o facto do extra digito.
De facto tinha mudado o email recentemente atravez da minha app como foram ver não faço ideia ou então estao fazendo ” fishing”.
De qualquer modo as nossas coisas têm de ser protegidas e debuging nos pcs ctt sempre.
Eu sou mais uma vítima de fraude do banco CTT. No passado dia 16/02, roubaram o meu telemóvel com cartão brasileiro pois eu estava lá. Horas depois, conseguiram fazer 2 transferências para outra pessoa chamada Inês Filipa Dias do banco CTT no valor de 4600€ e 2 pagamentos online no valor de +- 1000€. o meu cartão de tlm associado à conta sempre esteve na minha posse e nunca recebi mensagem nenhuma, mas como as transaçoes foram confirmadas através da aplicação o banco não se quer responsabilizar.