Em Portugal, são múltiplos os exemplos, tendo como alvo os clientes de bancos e de serviços. A tática criminosa de phishing por SMS e Whatsapp tem como objetivo enganar pessoas mal informadas, causando danos financeiros e roubando suas informações pessoais. Normalmente, estas burlas utilizam promoções, mensagens falsas de bancos ou ofertas atrativas de emprego. A Kaspersky oferece uma série de dicas sobre como detetar as armadilhas dos cibercriminosos e como se proteger delas.
Os ataques de phishing começam com o envio de uma mensagem falsa, via SMS ou WhatsApp, com uma hiperligação que redireciona o utilizador para um website falso. Os temas abordados são variados: pedidos para redefinição de uma password bancária, uma compra que o utilizador não realizou ou uma promoção com grandes descontos. O objetivo dos burlões é levar a vítima a aceder ao link, que será uma página falsa muito semelhante à verdadeira e quando o utilizador acede, será solicitado o preenchimento de dados bancários, como os do cartão de crédito, ou credenciais de login – algumas páginas pedem mesmo o pagamento de uma suposta taxa para obter um prémio ou benefício. Se a vítima preencher o formulário, os dados serão roubados.
O aumento das tentativas de ataques de phishing tem afetado utilizadores em todo o mundo e Portugal não foi uma exceção. O estudo “A Literacia Digital dos Consumidores em 2023” – realizado pelo Portal da Queixa by Consumers Trust – afirma que 51% dos consumidores afirma ter sido alvo de uma tentativa burla na internet, sendo que destes quase 10% caíram em esquemas de SMS e Whatsapp.
Os clientes recebem um SMS ou uma mensagem de Whatsapps falsas, provenientes de um remetente que aparenta ser legítimo. Essas mensagens solicitam o acesso urgente à conta bancária, através de um link de phishing, de forma a verificarem a autenticidade um movimento bancário avultado suspeito. Caso não acedam ao link enviado, o acesso à conta bancará seria bloqueado por motivos de segurança. O link enviado redireciona para um website identico ao website oficial da instituição bancária, que utiliza o grafismo e o logotipo habitual. Algumas das vítimas, são também contactadas por chamada telefónica, na qual solicitam a verificação da autenticidade de uma suposta transferência. Reforçam que o cancelamento não pode ser feito por chamada, mas sim através de um código previamente enviado.
O objetivo desta campanha de phishing às intuições bancárias é a obtenção das credenciais bancárias dos clientes, que darão acesso à transferência indevida de montantes elevados das suas contas. Os mais distraídos são o alvo destes ataques, que facilmente acedem ao link enviado, entregam as informações solicitadas e tornam-se as próximas vítimas destes ataques.
“A eficácia desta ameaça é ampliada pela criatividade dos cibercriminosos, que inventam esquemas convincentes para as suas táticas. Detetar e bloquear o phishing é essencial para evitar ser vítima. Para os utilizadores, isto significa proteger o seu dinheiro e evitar a utilização indevida da sua identidade digital. No entanto, as empresas enfrentam um risco maior, uma vez que o phishing pode resultar no roubo de credenciais de funcionários, dando aos criminosos acesso à rede da empresa para roubar dados
confidenciais ou instalar ransomware”, explica Fabio Assolini, diretor da Equipa de Investigação e Análise Global da Kaspersky.
Em seguida, a Kaspersky identifica os 3 sinais de que uma mensagem é suspeita:
1. Se o contacto for desconhecido, desconfie. Verifique sempre o remetente da mensagem (SMS ou WhatsApp): Tenha cuidado com números curtos, pois os criminosos já conseguiram enganar o canal para perpetuar as suas fraudes.
2. “Quando é esmola é grande, o pobre desconfia”: Cuidado com as promessas exageradas. Quer se trate de jogos online ou de produtos com grandes descontos, desconfie se a oferta for boa demais para ser verdade.
3. Mensagens não solicitadas com ligações para introduzir dados pessoais ou bancários. Em vez de clicar na hiperligação, contacte a empresa ou instituição através do contacto telefónico telefone ou website oficial para verificar a sua veracidade. Nunca ligue para o contacto telefónico indicado na mensagem, pois existem centros de atendimento falsos que são criados para dar continuidade à burla.
