Ataques de 'phishing' crescem em Portugal à boleia da pandemia

Em tempos de pandemia, os ataques informáticos chegam por SMS ou e-mail e é recomendada atenção redobrada para as mensagens de bancos a pedir para atualizar dados para não perder acessos. Desde o fim de março, já 3% das organizações sofreram ataques de phishing.

Os alertas não são novos, mas empresas da área da segurança avisam para a necessidade de ainda maior atenção durante este período de isolamento social, teletrabalho e ensino à distância. Para quem leva a cabo este tipo de ataques e esquemas de phishing, as tentativas de "pescar" dados de utilizadores fazendo-se passar por outra pessoa, a pandemia veio trazer todo um novo campo de oportunidades. "Os atacantes estão a bater a todas as portas e a ver quais é que estão abertas", alerta David Russo, da empresa de segurança e formação CyberSec. "Como foi tudo tão rápido não houve tempo para uma preparação", explica, referindo-se à rápida transição que muitas empresas fizeram para o teletrabalho ou para a prioridade nos canais digitais para assegurar o contacto com clientes.

Os dados da empresa de segurança Check Point revelam que, na semana de 16 de março, a mesma em que Marcelo Rebelo de Sousa declarou o primeiro estado de emergência em Portugal, a percentagem de organizações a sofrer ataques bancários começou um processo de subida, invertendo a tendência de abrandamento registada desde o final de fevereiro. Na semana seguinte, 23 de março, este tipo de ataques ficou mesmo acima dos valores globais, com a Check Point a indicar que 3% das organizações sofreram um impacto deste tipo de situações.

Por estes dias, com os principais bancos em Portugal a indicar aos clientes para privilegiar o contacto através dos meios digitais como medida de contenção da pandemia, quem ataca está mesmo a "bater a todas as portas". Alguns dos contactos estão a chegar através de SMS, em que é dito aos clientes que o acesso aos canais digitais foi desativado, pedindo a ativação através da internet, disponibilizando uma ligação que remete o utilizador para um link fraudulento. A Caixa Geral de Depósitos é um dos bancos que estão a alertar os clientes para este tipo de fraude por mensagem de texto - mas não é caso único.

"Temos detetado inúmeros e-mails de clientes com casos do género. Nestes dias deparei-me com um screenshot de uma mensagem que alguém tinha recebido de um suposto banco", denuncia David Russo, da CyberSec, porque os ataques não chegam só por SMS. "Temos visto aplicações móveis sobre tracking de casos de covid-19, inúmeras mensagens e e-mails por parte da rede bancária para solicitar alteração de passwords, e-mails de seguradoras que contêm planos especiais... imaginação não falta." No caso das mensagens que chegam a fazer-se passar por um banco, David Russo aponta que é necessário "desmembrar a informação".

Mas, e quando a mensagem chega de um banco onde nem sequer se é cliente? "Às vezes as pessoas nem são utilizadores do banco, mas clicam na mesma no link que vem na mensagem, muitas vezes é o desconhecimento ou a estranheza da mensagem que faz que a pessoa queira saber mais, ver o que se passa." No último caso analisado pela empresa de segurança, que também é responsável pela Academia Nacional de Cibersegurança, a ligação remetia para um site fraudulento, onde era prometida a venda de medicamentos.

"Nas últimas semanas muitos ataques aconteceram, quer a nível nacional quer global, e isto não é culpa dos utilizadores, mas sim das fragilidades causadas por este momento, de que ninguém estava à espera", explica David Russo, que avisa que "todos os cenários [de ataque] vão ser explorados pelos cibercriminosos.

Tal como avisam as entidades bancárias, que habitualmente deixam exemplos sobre fraudes a acontecer para que os clientes estejam a par, é recomendado que se analise todo o conteúdo da mensagem, desde o tipo de escrita até ao próprio formato da ligação no SMS.

"Se for o típico phishing por SMS", explica David Russo, da CyberSec, "é importante lembrar que as entidades bancárias, se tiverem de fazer comunicação, fazem-no por telefone, identificando-se devidamente, ou usando canais oficiais. Um banco também não usa formatos bit.ly ou outro tipo de shortage [de link]." É ainda recomendado que consulte as páginas do banco onde é cliente, para ficar a par das fraudes ou situações detetadas pela própria empresa. Por fim, "ver o emissor da mensagem e nunca confiar, ficar sempre de pé atrás", aponta o responsável da CyberSec, explicando que é muito fácil mudar a indicação que surge no remetente de SMS para este tipo de esquemas.

"Qualquer informação sensível ou confidencial pedida pelo banco não será pedida por e-mail ou SMS, ligam ao cliente. Caso receba essa comunicação, confirme por telefone se é mesmo necessário ceder novos dados."

Jornalista do DInheiro Vivo

Mais Notícias