Recebeu uma mensagem de um banco a pedir para atualizar dados para não perder acesso? Não é caso único. Em tempos de pandemia, os ataques informáticos chegam por SMS ou email, e é recomendada atenção redobrada.
Os alertas não são novos, mas empresas da área da segurança avisam para a necessidade de ainda maior atenção durante este período de isolamento social, teletrabalho e ensino à distância. Para quem leva a cabo este tipo de ataques e esquemas de phishing, as tentativas de ‘pescar’ dados de utilizadores fazendo-se passar por outra pessoa, a pandemia veio trazer todo um novo campo de oportunidades. “Os atacantes estão a bater a todas as portas e a ver quais é que estão abertas”, alerta David Russo, da empresa de segurança e formação CyberSec. “Como foi tudo tão rápido não houve tempo para uma preparação”, explica, referindo-se à rápida transição que muitas empresas fizeram para o teletrabalho ou para a prioridade nos canais digitais para assegurar o contacto com clientes.
Os dados da empresa de segurança Check Point revelam que, na semana de 16 de março, a mesma em que Marcelo Rebelo de Sousa declarou o primeiro Estado de Emergência em Portugal, a percentagem de organizações a sofrer ataques bancários começou um processo de subida, invertendo a tendência de abrandamento registada desde o final de fevereiro. Na semana seguinte, 23 de março, este tipo de ataques ficou mesmo acima do s valores globais, com a Check Point a indicar que 3% das organizações sofreram um impacto deste tipo de situações.
Por estes dias, com os principais bancos em Portugal a indicar aos clientes para privilegiar o contacto através dos meios digitais como medida de contenção da pandemia, quem ataca está mesmo a “bater a todas as portas”. Alguns dos contactos estão a chegar através de SMS, onde é dito aos clientes que o acesso aos canais digitais foi desativado, pedindo a ativação através da internet, disponibilizando uma ligação que remete o utilizador para um link fraudulento. A Caixa Geral de Depósitos é um dos bancos que está a alertar os clientes para este tipo de fraude por mensagem de texto – mas não é caso único.
“Temos detetado inúmeros emails de clientes com casos do género. Ainda hoje de manhã deparei-me com um screenshot de uma mensagem que alguém tinha recebido de um suposto banco”, exemplifica David Russo, da CyberSec. Os ataques não chegam só por SMS. “Temos visto aplicações móveis sobre tracking de casos de covid-19, inúmeras mensagens e emails por parte da rede bancária para solicitar alteração de passwords, emails de seguradoras que contém planos especiais… imaginação não falta”. No caso das mensagens que chegam a fazer-se passar por um banco, David Russo aponta que é necessário “desmembrar a informação”.
Leia também | Quão segura é a app mais valiosa do mundo, Zoom? E devo ou não usá-la?
Mas e quando a mensagem chega de um banco onde nem sequer se é cliente? “Às vezes as pessoas nem são utilizadores do banco mas clicam na mesma no link que vem na mensagem, muitas vezes é o desconhecimento ou a estranheza da mensagem que faz com que a pessoa queira saber mais, ver o que se passa”. No último caso analisado pela empresa de segurança, que também é responsável pela Academia Nacional de Cibersegurança, a ligação remetia para um site fraudulento, onde era prometida a venda de fármacos.
“Nas últimas semanas muitos ataques aconteceram, quer a nível nacional quer global, e isto não é culpa dos utilizadores, mas sim das fragilidades causadas por este momento, de que ninguém estava à espera”, explica David Russo, que avisa que “todos os cenários [de ataque] vão ser explorados pelos cibercriminosos.
Tal como avisam as entidades bancárias, que habitualmente deixam exemplos sobre fraudes a acontecer para que os clientes estejam a par, é recomendado que se analise todo o conteúdo da mensagem, desde o tipo de escrita até ao próprio formato da ligação na SMS.
“Se for o típico phishing por SMS”, explica David Russo, da CyberSec, “é importante lembrar que as entidades bancárias, se tiverem de fazer comunicação, fazem-no por telefone, identificando-se devidamente, ou usando canais oficiais. Um banco também não usa formatos bit.ly ou outro tipo de shortage [de link].” É ainda recomendado que consulte as páginas do banco onde é cliente, para ficar a par das fraudes ou situações detetadas pela própria empresa. Por fim, “ver o emissor da mensagem e nunca confiar, ficar sempre de pé atrás”, aponta o responsável da CyberSec, explicando que é muito fácil mudar a indicação que surge no remetente de SMS para este tipo de esquemas.
“Qualquer informação sensível ou confidencial pedida pelo banco não será pedida por email ou SMS, ligam ao cliente. Caso receba essa comunicação, confirme por telefone se é mesmo necessário ceder novos dados”.
Isolamento e teletrabalho abrem porta a intrusões e malware. Portugal tem 8400 ligações vulneráveis