Internet

Clientes do Banco CTT foram alvo de fraude na Internet

50 Comentários

Como temos vindo a alertar, Portugal tem sido alvo de vários ataques informáticos que têm como objetivo atacar empresas, mas também enganar e roubar os portugueses.

Fraudes digitais que envolvem esquemas associados à banca são bastante comuns e um dos mais recentes teve como alvo clientes do Banco CTT. Saiba o que aconteceu.

Clientes do Banco CTT foram alvo de fraude na Internet


Há clientes do banco CTT lesados em milhares de euros. Tratou-se de um conjunto de páginas de Internet fraudulentas a que os clientes terão acedido. O banco diz que se trata de phishing e que é completamente alheio à situação, segundo revela a RTP. O banco não revelou também quantos clientes terão sido afetados e descarta qualquer falha de segurança.

Esquemas de Phishing usando a imagem do Banco CTT

O phishing deve a sua designação à palavra inglesa “fishing”, cujo significado é “pescar”. Consiste num tipo de fraude que combina a utilização de meios tecnológicos com engenharia social, e tem como objetivo persuadir um utilizador a revelar dados pessoais e financeiros.

Este tipo de ataques é geralmente baseado em mensagens de email enviadas de forma massiva para vários utilizadores, contendo uma hiperligação (link) para um website falso ou para descarregar software malicioso.

A informação pretendida diz respeito a contas bancárias, credenciais de acesso ao Homebanking, contacto telefónico ou outras informações confidenciais.

O banco publicou, em dezembro, um conjunto de alertas que referem que pesquisas em motores de busca (ex., google.com) utilizando as palavras “Banco CTT”, “BancoCTT”, “bctt” ou “CTT homebanking” estão a resultar em anúncios fraudulentos que surgem no topo da lista resultante da pesquisa efetuada.

Clientes do Banco CTT foram alvo de fraude na Internet

Estes links, que surgem com a indicação de “Anúncio”, são sites falsos que reencaminham os utilizadores, que neles clicam, para um site fraudulento de forma a tentarem obter os códigos de acesso dos clientes ao Homebanking do Banco CTT, permitindo o subsequente acesso indevido às contas dos clientes por parte de agentes maliciosos.

PUB
Autor: Pedro Pinto
Partilhar:
Tags:
Banco CTT fraude Internet

PUB.

Questão Semanal

Deveria haver uma marca obrigatória em todas as imagens geradas por IA?

Ver Resultados

Loading ... Loading …
Arquivo de Questões

PUB.

Velocímetro Pplware

Teste a velocidade da sua Internet
Teletrabalho tornou-se numa questão de segurança nacional e Rússia pretende proibi-lo
Artigo anterior

Teletrabalho tornou-se numa questão de segurança nacional e Rússia pretende proibi-lo
iOS 17 recebe menos atenção porque a Apple estará focada no “xrOS”
Próximo artigo

iOS 17 recebe menos atenção porque a Apple estará focada no “xrOS”
PUB

Comentários

50

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

  1. Avatar de MalicX
    MalicX

    Mas ainda existem bancos sem autenticação de dois níveis ? Mesmo que obtenham o código de acesso de nada servem sem o 2o fator. A ser verdade o banco CTT é uma bela Bost@

    Responder
    1. Avatar de Nine
      Nine

      Falta também a questão do cartão matrix, códigos SMS para confirmação da transação e inclusive a aplicação MB deles.. falta muita coisa nesta história…

      Responder
    2. Avatar de Realista
      Realista

      Sim, comparando com outros que conheço, o homebanking do Banco CTT é uma Bost@.
      Mas mesmo sendo uma Bost@, mesmo assim tem autentificação das transacções por SMS o que torna estranho como conseguiram realizar a fraude…

      Responder
    3. Avatar de Luna Pacheco
      Luna Pacheco

      Há uns anos tive conta no Banco CTT, cancelei antes de começarem a cobrar anuidade. E nessa altura, tinham 2 fatores, mas o 2º fator era mesmo fraco. Existia um pin de 8 números que é definido pelo cliente na inscrição, para além da password, e eram pedidos 3 desses números ao calhas durante o login.
      Qualquer pessoa que tivesse acesso a todos os 8 números e à password, não teria quaisquer dificuldades a aceder à conta e a muitos detalhes. Algumas operações estariam bloqueadas por verificação SMS, mas seria mesmo assim suficiente para conseguirem arranjar forma de tirar de lá dinheiro…
      Para além disso, podemos também assumir que, tendo acesso ao número de telemóvel da pessoa, poderiam ligar a essa pessoa fazendo-se passar por funcionário dos CTT, especialmente com todas as informações que já conseguiram obter antes.
      E pronto, está feito o golpe! E quem não reparar depressa o suficiente… já era.

      Responder
    4. Avatar de Jorge
      Jorge

      Vocês não entendem… não interessa ter proteção de 2, 3 ou 4 fatores quando as vitimas dão esses dados todos a um site falso. As pessoas precisam de ser educadas em cibersegurança. Verificar o endereço, etc.

      Responder
      1. Avatar de Augusto Favaios
        Augusto Favaios

        Você é que não entende: não são as vítimas que dão os “dados” ao ladrão… É alguém graúdo dentro do Banco que vendeu as próprias credenciais a um hacker… O Hacker não quer para nada as credenciais da vítima, porque ele tem as credenciais de alguém dentro do Banco. Capicce
        ?…

        Responder
        1. Avatar de Bruno
          Bruno

          Ok, e como a pessoa dentro do banco vai justificar essas transferências para os superiores e controlos internos?
          “Deu-me na tola”…

          Responder
    5. Avatar de Carla
      Carla

      Pois. Não é verdade. O assalto às contas não foi com os dados dos clientes.

      Responder
    6. Avatar de Augusto Favaios
      Augusto Favaios

      Cópia de uma denúncia que acabei de enviar para a Brigrada de Cibercrime da PJ

      Sem pretender ensinar “a missa ao Papa” gostaria de alertar para o seguinte: vários clientes do Banco CTT sofreram acessos indevidos às suas contas (que foram esvaziadas) durante o mês de Dezembro de 2022.
      O Banco CTT descarta qualquer responsabilidade, acusando os clientes de terem acedido a uma página falsa, em tudo semelhante à verdadeira do Banco CTT, “phishing” (portanto, ataque externo=responsabilidade zero).
      1 – O sistema informático do Banco CTT apenas permite efectuar transferências em homebanking mediante a confirmação por código SMS enviado para o telemóvel do cliente.
      2 – Os clientes lesados óbviamente não receberam nenhuma SMS estranha nos seus telemóveis.
      3 – Parece-me claro que o ataque é interno, praticado por funcionário/s do Banco CTT, alguém com capacidade para alterar temporáriamente o nº telemóvel do cliente (algo que o próprio cliente apenas consegue fazer presencialmente num balcão!), efectuar as transferências para outras contas dentro do Banco CTT, e repôr o telemóvel original do cliente por forma a que este não se aperceba de nada estranho, atirando as culpas para o “phishing”. Até agora tem sido o “crime perfeito”.

      Responder
  2. Avatar de molas
    molas

    Inside job

    Responder
  3. Avatar de Muito Mau
    Muito Mau

    Caso o meu banco permitisse a transferência de valores, sem qualquer fator se autenticação extra, a primeira medida era fechar a conta. Como é que é possível permitirem este tipo de movimentos???

    Responder
    1. Avatar de David Guerreiro
      David Guerreiro

      Mas houve autenticação extra… autenticação essa que foi fornecida aos burlões.

      Responder
      1. Avatar de Carla
        Carla

        Não houve, não.

        Responder
        1. Avatar de David Guerreiro
          David Guerreiro

          Então faça queixa na PJ, e eles que investiguem. O banco tem de provar que o cliente forneceu credenciais.

          Responder
          1. Avatar de Carla
            Carla

            Jure! Não foi comigo, mas as queixas à PJ e ao Banco de Portugal, foram logo feitas, obviamente.

          2. Avatar de Carla
            Carla

            Falar é fácil, mas até agora, a versão do banco é a que foi phishing (não foi!) e que não tem responsabilidade.

  4. Avatar de molas
    molas

    O que se passa é que grande parte dos clientes são obrigados a definir códigos quando abrem a conta, mas como a maioria não percebe de tecnologia os códigos são colocados por quem abre a conta. A partir daí deixo à vossa consideração.

    Responder
    1. Avatar de David Guerreiro
      David Guerreiro

      Isso não é o suficiente. Com o login e esse código, apenas permite fazer consultas ou algumas operação dentro da conta. Agora tudo o que seja movimentos de património para fora, obrigatoriamente tem autenticação por SMS. Autenticação essa que foi fornecida pelas vítimas aos burlões.

      Responder
      1. Avatar de Jorge Castro
        Jorge Castro

        Está completamente enganado e a difundir informação falsa.
        Eu sou vitima e não recebi qualquer código de autorização das transferências, nem as autorizei de qualquer outra forma.

        Responder
  5. Avatar de Redin
    Redin

    Outra vez arroz?
    #P2T corrige isso
    https://www.linkedin.com/feed/update/urn:li:activity:6955512410308775936

    Responder
  6. Avatar de Joao Ptt
    Joao Ptt

    Infelizmente o Banco CTT ainda não abandonou o E-mail, telefonemas e o SMS. Se os clientes recebessem uma mensagem do banco por qualquer um destes meios já saberia que era fraude porque o banco nem tinha esses dados para começar.
    E como fazia então o banco para comunicar com os clientes? Instalações físicas do banco. Carta. Conta de cliente no web site. Aplicação do banco. Estes meios devem chegar.

    E furto de dados em páginas falsas? FIDO U2F/ FIDO2 solucionava isso, já que não há maneira de enganar com uma página falsa, porque o endereço será diferente do banco e então a chave produzida será sempre diferente, o que invalida a sua utilização para entrar no banco.

    Não deixa de ser irónico que seja mais difícil de entrar em alguns serviços de e-mail do que é entrar na esmagadora maioria dos bancos portugueses.

    Responder
    1. Avatar de Bruno
      Bruno

      Multicanal do BCP é um bom exemplo

      Responder
  7. Avatar de Bruno
    Bruno

    A minha teoria seria a seguinte:
    Temos aqui presente um website falso, muito parecido com o Homebanking dos CTT, mas “ligado” ao Homebanking original.
    As pessoas se meterem info errada, como o site comunica com o sistema verdadeiro, indica que está errado. Se indicarem info verdadeira, ele inicia o processo todo de (provavelmente) pedir a autenticação de dois fatores. Quando entra nesta etapa, se o utilizador meter o código, consegue ter acesso à sua informação principal (pois o sistema vai ter a info do sistema original) e dá acesso também ao sistema de burla.

    Ora pois, se o sistema de burla depois tem acesso, ele começa a descontar, de forma que a pessoa não note (pode ter de adicionar a conta bancária do burlão como confiável).

    Eu não conheço o sistema dos CTT, atenção, apenas apresentei uma hipótese. E se fosse com o sistema do Millenium BCP que tem o código multicanal apenas em alguns casos… mais fácil

    Responder
    1. Avatar de Carla
      Carla

      Não é verdade. Conheço pessoalmente uma das vítimas e nem tinha acesso à conta por internet. Não movimentava a conta a não ser para fazer depósitos.
      Houve uma falha de segurança e não teve a ver com os clientes, como estão a dizer.

      Responder
      1. Avatar de Bruno
        Bruno

        Desculpem, as contas têm de estar protegidas por códigos de acesso de 2 fatores ou um multi fatores.
        Se essa pessoa não tinha acesso à internet, como então conseguiram entrar pela conta online, sem sequer o acesso ser ativado?
        O acesso à conta teve de ser ativado, validado e usado. Não aparece feito porque o sistema quis. E mesmo assim para se confirmar qualquer transação, tem de ser validado (a não ser que esteja na lista de pessoas confiáveis dessa conta).

        Responder
        1. Avatar de Augusto Favaios
          Augusto Favaios

          O acesso à conta aparece feito se o hacker, além de entrar no sistema, possuir as credenciais de alguém “graúdo” dentro do próprio banco ( todas as transferências fraudulentas foram efetuadas para outras contas dentro do Banco CTT, isto é suspeito, e espanta-me que um Juiz ainda não tenha ordenado o congelamento sumério dessas contas).

          Responder
          1. Avatar de Bruno
            Bruno

            Eu até espanto é também como, se for o caso, os CTT ainda não bloquearam essa dita conta bancária.

    2. Avatar de Augusto Favaios
      Augusto Favaios

      Pode ter sido um funcionário dos CTT que vendeu as suas credenciais por 500 euricos, sem saber no que se estava a meter…

      Responder
  8. Avatar de Há cada gajo
    Há cada gajo

    Analfabetos digitais. Nem tudo é culpa do banco.

    Responder
    1. Avatar de Carla
      Carla

      Não é o caso. Aqui foi mesmo culpa do banco, mas estão-se a desculpar com o analfabetismo digital dos clientes. Conheço uma pessoa que não tinha acesso digital à conta, não tinha códigos nenhuns para fornecer.

      Responder
      1. Avatar de David Guerreiro
        David Guerreiro

        A pessoa que apresente queixa na PJ.

        Responder
  9. Avatar de Ruy
    Ruy

    O que uma entidade pode fazer, se depois de tantos avisos ainda existe este nível de ignorância, que clica em tudo o que vê mete os dados e ainda escreve o código de validação?

    Responder
    1. Avatar de Carla
      Carla

      Não foi o que aconteceu, o banco ctt não está a dizer a verdade. Conheço uma das vítimas, nem sequer tinha códigos, não tinha nada para fornecer.

      Responder
      1. Avatar de Ruy
        Ruy

        Desculpe quem você é? Está em todos os comentários.. Deixe se disso…

        Responder
        1. Avatar de Jorge Castro
          Jorge Castro

          O amigo deve andar a pensar que somos todos como você.
          Isto não tem nada a ver com ignorância. Isto tem a ver com falta de segurança do sistema do banco. As transferência da minha conta foram efetuadas sem qualquer tipo de autorização da minha parte e sem que eu tivesse fornecido qualquer informação para que as mesmas pudessem ter sido efetuadas.

          Responder
  10. Avatar de ManAugusto
    ManAugusto

    a segurança do BCTT é uma bostix

    Responder
  11. Avatar de Redin
    Redin

    Vejo muito “passa a culpa” para este ou aquele mas o que se estão a esquecer é que por muito que se faça para consciencializar as pessoas, irão sempre aparecer outras que não estarão preparadas.
    É daí que os grupos criminosos se aproveitam.
    A nós que nos parecemos bem preparados, parece fácil evitar.
    A estrutura do email quando foi criada não contemplava este tipo de medidas e nunca foi corrigida. Apenas tem vindo a passar a responsabilidade para o destinatário e ao longo destes últimos 50 anos os tão aclamados filtros continuam sem qualquer sucesso.
    Tenho vindo a demonstrar isso na proposta que tenho online. A responsabilidade tem de ser atribuída ao remetente e não ao destinatário. Para que o remetente sinta o interesse de enviar qualquer tipo de solicitação, terá de ficar exposto ao inconveniente de uma investigação forense. E isso apenas se torna possível se os conteúdos ficarem bloqueados do lado do servidor deles e não libertados imediatamente para a caixa de destino.

    Responder
  12. Avatar de Eddy
    Eddy

    Só a mim é que faz confusão o Banco CTT não ter exigido à Google e a outros motores de busca para eliminarem este link e outros falsos?
    Caramba, a Google tá a ser paga para promover fraude de forma automática através do AdSense e só é revisto após uma queixa, do qual o Banco CTT tem todo o direito a fazer.
    Assim passaria a ser um link de deep web que os principais motores de busca não apresentam.

    Agora, publicaram um aviso sobre phishing e ficam à espera que todos tenham e compreendam a informação. Era óbvio que ia dar problemas.

    Responder
    1. Avatar de Bruno
      Bruno

      E no YouTube tá cheio de vídeos para investir nos CTT…

      Responder
      1. Avatar de David Guerreiro
        David Guerreiro

        Nas publicidades do Facebook também, e até do Paulo Portas.

        Responder
    2. Avatar de David Guerreiro
      David Guerreiro

      Pensa que é fácil? Procure lá por Lefties online ou Tiffosi online, o primeiro resultado vai dar a uma loja falsa da Lefties ou Tiffosi respetivamente. Ambos já foram relatados à Google há muito tempo… Fizeram alguma coisa? Nada. Todos os dias há pessoas a comprarem nessas lojas falsas, ficam sem o dinheiro e sem a mercadoria.

      Responder
      1. Avatar de Eddy
        Eddy

        Só não é fácil porque não há vontade… IPTVs e sites de stream ilegais mandam abaixo e a Google esconde os links facilmente com base no Millennium Act.
        Neste tipo de assuntos, não se mexem.
        Há tantas formas de eliminar o acesso fácil a esse tipo de sites, seja através dos ISPs com o DNS, ser a própria Google a fazê-lo. Mesmo que tenha de ser o tribunal a dar ordem, é possível porque já se faz para outros assuntos.

        Se aparecem como anúncio, é porque o AdSense validou o link e recebeu o pagamento para apresentar no topo.
        Enquanto temos a UE a implicar com a Apple e a unificação de cabos, não se focam em elaborar normas mais eficazes e atualizadas de cibersegurança.

        Responder
  13. Avatar de Tiago
    Tiago

    E o Banco de Portugal o que tem a dizer sobre a implementação de medidadas de segurança nas instituições ??? A PJ que resolva dizem eles !!!

    Responder
    1. Avatar de David Guerreiro
      David Guerreiro

      Não sou cliente do BCTT, mas pelo que sei para entrar são necessários login e password e para qualquer movimentação de património é exigido fator extra de autenticação enviado por SMS para o cliente. Se o cliente fornece todos esses dados, não há medidas de segurança que valham. Disseram-me que desde há uns dias os SMS passaram a conter “Não partilhe este código com ninguém” ou algo do género

      Responder
      1. Avatar de Mike
        Mike

        E cartão matriz ?

        Responder
      2. Avatar de Augusto Favaios
        Augusto Favaios

        O cliente vai fornecer o cartão SIM na sua posse??… E as pessoas que nem aderiram ao homebanking, também forneceram as credenciais inexistentes?… Tudo indica tratar-se de um inside job, orquestrado por alguém com credenciais suficientes para alterar o nº telemóvel associado à conta (algo que o próprio cliente apenas consegue fazer presencialmente…).

        Responder
  14. Avatar de PorcoDoPunjab
    PorcoDoPunjab

    Bom, o que eu acho estranho no meio disto tudo é a quantidade enorme de pessoas afectadas por este esquema.
    Será que foi feito apenas através de phishing puro e duro?
    Será que não há alguém dentro do banco a fazer um inside job?
    Estou a escrever isto e a pensar em fechar a conta que lá tenho…

    Enganar assim tanta gente ao mesmo tempo quando é dito que alguns nem acesso homebanking têm?
    Como podem dar as credenciais aos hackers se não há credenciais para dar?
    É esta parte que me leva a pensar que deve haver “furões” dentro do banco.
    Como é óbvio o banco não vai dizer isto publicamente ou seria o pânico total com toda a gente a fechar as contas e lá se ia mais um banco à vida, como se ainda não bastasse os que já foram..

    Responder
  15. Avatar de JJ
    JJ

    Tenho conta banco ctt há anos zero problemas. Único senão, o aspeto gráfico. Há anos tive conta na CGA e mal aderi ao homebanking passado poucas semanas ao tentar o acesso, entrei no que seria a pagina do banco, tudo muito bem feito, espetacular graficamente com o domínio correto. Tudo solicitado como no original, exceto terem acrescentado o pedido de número de telemóvel. Não fosse isso e tinha colocado os dados. Reportei de imediato e ficou na pagina do banco, somada a outras situações. Até hoje o banco mais seguro em que tive dinheiro foi o privatbank. Esse até ao cliente dava dores de cabeça o acesso. Acredito em todas as possibilidades por aqui já inventariadas, mas a verdade é que a maior parte das situações que acontecem são devidas à própria distração dos clientes que não se lembram de ter numa ou noutra situação ter facilitado os dados a e-mails ou dominios pouco fidedignos

    Responder
  16. Avatar de Niki
    Niki

    Ainda hoje recebi um email de ctt banco mas vi logo o email acaba em cttbanco, mas o inicio não se justifique e tava meio em italiano…
    Dizendo que alterei o email mas que nececita mais actualizações.
    Tirei foto mas não dá pra por aqui n sei porquê mas não me dá essa opção.
    Pra mais o meu numero de telemóvel tinha mais um numero adicionado, so o facto do extra digito.
    De facto tinha mudado o email recentemente atravez da minha app como foram ver não faço ideia ou então estao fazendo ” fishing”.
    De qualquer modo as nossas coisas têm de ser protegidas e debuging nos pcs ctt sempre.

    Responder
  17. Avatar de Stephanie
    Stephanie

    Eu sou mais uma vítima de fraude do banco CTT. No passado dia 16/02, roubaram o meu telemóvel com cartão brasileiro pois eu estava lá. Horas depois, conseguiram fazer 2 transferências para outra pessoa chamada Inês Filipa Dias do banco CTT no valor de 4600€ e 2 pagamentos online no valor de +- 1000€. o meu cartão de tlm associado à conta sempre esteve na minha posse e nunca recebi mensagem nenhuma, mas como as transaçoes foram confirmadas através da aplicação o banco não se quer responsabilizar.

    Responder
Aviso:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.