Notícias

Fraude: Circula SMS para roubar dados de acesso ao banco

19 Comentários

Os ataques de phishing direcionados a clientes dos serviços online dos bancos não são propriamente novidade. Além disso, a simplicidade dos mesmos têm dado bons resultados aos criminosos.

Em Portugal circula uma SMS em nome do Montepio que pretende roubar dados de acesso aos clientes do banco.

Fraude: Circula SMS para roubar dados de acesso ao banco


O que é o Phishing?

O “Phishing” é uma vigarice que pode chegar por e-mail, SMS, etc. e que tem como objetivo ludibriar pessoas no sentido de as levar a revelar números de cartões de crédito, informação de contas bancárias, números de segurança social, passwords e outro tipo de informação confidencial ou sensível.

Basicamente, o utilizador recebe um e-mail ou SMS, supostamente de uma entidade credível, mas que, na verdade, o reencaminha (através de um URL/link) para um site com um aspeto muito semelhante ao original. No entanto, tal é apenas uma cópia, levando muita das vezes o utilizador a inserir dados pessoais e a ser enganado. O utilizador recebe normalmente uma informação a referir que os dados estão errados, mas os dados já estão do lado do atacante. Técnicas como DNS Poisoning (manipulação de entradas no DNS) são também bastante usadas neste tipo de ataques.

O que diz a mensagem de Phishing do Montepio?

A mensagem chega normalmente do +80248768157 e além do texto traz também um link. No caso da mensagem que o Pplware recebeu, era referido que os cartões de crédito e débito tinham sido desativados. Para ativar era necessário carregar no link fornecido. No entanto, o elemento do Pplware que recebeu a SMS nem conta no Montepio tem.

Ao carregar no link o utilizador é redirecionado para um site que apresenta uma página idêntica à do banco.

Se receberem uma SMS deste tipo não introduza qualquer tipo de dados. Trata-se de uma fraude que tem como principal objetivo roubar os dados dos clientes.

PUB
Autor: Pedro Pinto
Partilhar:
Tags:
fraude sms

PUB.

Questão Semanal

Deveria haver uma marca obrigatória em todas as imagens geradas por IA?

Ver Resultados

Loading ... Loading …
Arquivo de Questões

PUB.

Velocímetro Pplware

Teste a velocidade da sua Internet
Toshiba tem tecnologia que deteta cancro a partir de uma gota de sangue
Artigo anterior

Toshiba tem tecnologia que deteta cancro a partir de uma gota de sangue
Processador AMD Ryzen Threadripper 3990X com 64 cores confirmado para 2020
Próximo artigo

Processador AMD Ryzen Threadripper 3990X com 64 cores confirmado para 2020
PUB

Comentários

19

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

  1. Avatar de Vasco
    Vasco

    Eis o que recebi do numero
    +351 934 825 074
    “Montepio”-alerta: Utilizador desativado por questoes de seguranca. http://www.bit.ly/31lAgSt ative agora u

    Responder
    1. Avatar de Cm
      Cm

      Brazucas; isso já andou por aí à anos, mas nos emails. Cheguei até a denunciar à pj, na altura.
      Era tão básico que não tinha mais nada para além da página inicial, nenhum outro link abria… mandei-lhes o registo dns da página.

      Responder
  2. Avatar de Vasco
    Vasco

    Outro mais antigo do numero
    +351 962 480 338
    “Vimos por este meio informar que se encontra em pagamento um seguro,o mesmo pode ser liquidado na Robol,por Mb,via ctt ou por tranferencia para o nib 0010 0000 23224400003 61,caso ja tenha liquidado considere sem efeito este sms,muito obr robol soc med seguros acoreana
    Obs seguro habitacao
    Valor 82,81”
    É pena ter q se pagar um balurdio para razer queixa na policia, senao ja tavam fdd

    Responder
    1. Avatar de ze
      ze

      pagar um balurdio? ninguem paga pra fazer queixa!

      Responder
  3. Avatar de António
    António

    Caracteristicas deste tipo de fraudes (minha experiência):
    As mensagens são escritas com erros ortográficos (quase sempre)
    As mensagens vem escritas em português do Brasil
    Os sites para os quais somos redirecionados através do link utilizam HTTP e não HTTPS (quase sempre)
    O remetente é quase sempre um número/email desconhecido e não o nome da entidade em questão

    Ainda que a mensagem venha bem escrita e o site utilize HTTPS, muitas das vezes se olharmos para o link podemos ver que existe um caracter a mais ou a menos, geralmente em sitios que passam despercebidos.

    Responder
  4. Avatar de Joao Ptt
    Joao Ptt

    Mais uma boa razão para os bancos largarem esta parolada de usar sms.

    Responder
    1. Avatar de daniel199202
      daniel199202

      Ao meu ver não é problema tecnologia dos sms, mas sim o problema do desconhecimento da tecnologia, por exemplo recebe uma sms desta, primeira coisa que eu faço vou a aplicação oficial do banco e vejo se tenho alguma mensagem la porque tudo o que recebes por sms recebes na aplicação, em ultimo caso ligas para o banco para linha segura não se paga e certificas se eles mandara sms ou não…

      Mas claro que os burlões são cada vez mais inteligentes e para combater isso e ser mais informando possível…

      Responder
      1. Avatar de Redin
        Redin

        Daniel, a razão pela qual ainda existe este tipo de ataques é que eles não foram criados para atingir utilizadores cuidadosos e informados como você. Você e eu podemos considerar uma minoria e mesmo assim não estamos livres de uma boa oportunidade criada por engenharia social.

        Responder
      2. Avatar de Joao Ptt
        Joao Ptt

        A tecnologia dos SMS é problemática, porque permite a falsificação do remetente, e ainda porque a rede pública telefónica não é segura nem privada.
        Se os bancos não utilizassem o SMS, nem o telefonar, nem o e-mail poderiam dizer: se receber um sms, uma chamada ou um e-mail a dizer que é do banco… tal é mentira e: apague/ bloqueie/ desligue.
        Então como contactavam os bancos os seus clientes? Via carta, ou via aplicação segura (aplicativo do banco, ou por um mensageiro seguro que todos os bancos poderiam partilhar (desenvolvido pela SIBS por exemplo para todas as plataformas móveis e fixas).

        Responder
    2. Avatar de David Guerreiro
      David Guerreiro

      Aqui o problema não é das SMS, mas sim de usar chaves matriz. Por algum motivo esses criminosos querem os logins do Montepio e não de outros bancos. É porque o Montepio ainda usa a chave matriz para confirmar operações. Suponho que aquele site vá pedir coordenadas e vai dando erro e pedindo outras no sentido de obter todas e depois a partir daí poder retirar dinheiro à vontade. Se usassem SMS, muito pouco poderiam fazer.

      Responder
      1. Avatar de Teresa Vieira
        Teresa Vieira

        Eu recebi um SMS da caixa Geral de depósitos a dizer que a minha conta tinha sido desativada, não fiquei preocupada… não tenho lá nenhuma conta, vi logo que era vigarice.

        Responder
  5. Avatar de Pirata das cabernas
    Pirata das cabernas

    Eu recebi essa SMS e meti lá od meus dados…
    Mas eu não tenho conta no. Montepio.. Por isso eles agora que usem a vontade

    Responder
    1. Avatar de Redin
      Redin

      Não aconselho a voltar a fazer mas, seria muito engraçado que os dados introduzidos fossem realmente utilizados pelos meliantes e nessa consequência fizesse com que eles ficarem expostos ou mesmo serem utilizados para serem eles mesmo prejudicados.

      Responder
      1. Avatar de jonny
        jonny

        Engraçado (sem graça nenhuma) era se tivesse inserido os dados reais dele no banco onde tem conta… bastava testar lá também as credenciais e já está.

        Responder
  6. Avatar de xoninhas
    xoninhas

    Mas quem é que cai nestas parvoíces ? Depois eu é que sou xoninhas…

    Responder
  7. Avatar de Mac
    Mac

    Então se ainda esta semana um comerciante de restauração em Aveiro ficou sem 2300,00€( https://www.jn.pt/justica/empresario-de-anadia-burlado-em-2300-euros-com-mb-way-11552146.html ), que podemos nós dizer destas artimanhas para os menos atentos…

    Responder
  8. Avatar de Joao Ptt
    Joao Ptt

    Também seria interessante os bancos começarem a oferecer dispositivos FIDO2 (USB-A & C, NFC e Bluetooth) para autenticação nos seus web sites e aplicativos móveis.
    Não seria impossível ultrapassar a protecção do FIDO2 remotamente, mas pelo menos complicava bastante… já não era só obter os dados de acesso e ter acesso ao número de telefone do cliente (existem imensas maneiras, desde acesso à rede pública telefónica a obterem temporariamente o número do cliente junto do operador… existem muitas formas conhecidas para tal).

    Responder
  9. Avatar de Sofia Salvador
    Sofia Salvador

    Acabei de receber uma mensagem semelhante do número +351 932 413 684. Devo enviar queixa à polícia?

    Responder
    1. Avatar de André Mendes
      André Mendes

      Sim, eu quando recebi fiz queixa ao banco de portugal, montepio, Polícia e para o departamento de cibercrime da PJ, basta fazer para o banco em questão e para a polícia normal.

      Responder
Aviso:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.