Chave Móvel Digital é o mais recente alvo de ataques
Existem várias técnicas que os criminosos usam para tentar obter acesso a dados sensíveis das suas vítimas, e uma recente parece agora centrar-se em torno da Chave Móvel Digital (CMD).
De acordo com a mensagem de alerta da CNCS, encontra-se ativa uma nova campanha, que visa obter dados pessoais dos utilizadores usando para tal a Chave Móvel Digital (CMD). Com acesso a esta, os atacantes podem obter dados pessoais e sensíveis, mas eventualmente também acesso a dados bancários e até contas em sistemas de homebanking.
A campanha usa técnicas avançadas de smishing, o vishing e spoofing, com o objetivo de levar as potenciais vítimas a fornecerem acesso às suas chaves móveis digitais.
O ataque começa com uma mensagem, normalmente enviada via SMS contendo o nome da CMD ou similar, onde se alerta para um suposto dispositivo que foi associado à chave. A mensagem indica ainda que, caso a ação não tenha sido realizada com o consentimento dos utilizadores, estes devem aceder a um link presente na mensagem para resolver a situação.
O caracter de urgências pode fazer com que as vitimas acedam ao link sem o cuidado necessário. Uma vez no mesmo, o site apresentado tenta imitar o de login da plataforma da CMD, onde são também requeridos ainda mais dados, como o número de telefone associado à CMD e o banco que o utilizador usa. Este género de informações não são requeridas pelo site legitimo da CMD.
Ao escolher o banco, a vítima é depois redirecionada para um falso site de login no mesmo, que imita o site do banco da vítima. Neste, os dados recolhidos são depois usados para aceder à conta bancária e proceder ao roubo de fundos da mesma ou a pagamentos fraudulentos.
Ao mesmo tempo, os site apresenta ainda uma mensagem de que o utilizador será contactado por um técnico da CMD no prazo de 24 horas. Quando este contacto é realizado, o atacante realiza técnicas de spoofing para realizar a chamada usando um número da entidade bancária ou da própria CMD.
Nesta chamada, o objetivo é levar a vítima a fornecer ainda mais dados pessoais, e sensíveis, bem como a fornecer os eventuais códigos de autenticação que a entidade bancária possa enviar – e que serão necessários para realizar as operações bancárias através dos dados roubados anteriormente.
Embora o foco do ataque seja aceder às contas bancárias das vítimas, o aceso via a CMD permite também que os atacantes tenham acesso a outros dados igualmente sensíveis, nomeadamente a diversas plataformas associadas com o governo.
A CNCS recomenda que os utilizadores tenham atenção no acesso a links e anexos de mensagens, sobretudo quando estes partem de fontes desconhecidas. Ao mesmo tempo, deve-se ter cuidado com qualquer chamada ou mensagem que se faça passar por uma entidade, mesmo que essa seja reconhecida.
Por fim, nunca se deve partilhar códigos de autenticação ou para operações bancárias, sendo que estes serão sempre para uso dedicado do próprio utilizador, e nenhuma instituição bancária pede os mesmos.