23°C 16°/ 24°
Internet

Cliente da Caixa Geral de Depósitos? Atenção às SMS e WhatsApp

26 Comentários

Foi detetada uma nova campanha de “phishing” que tem em vista permitir aos seus autores aceder a contas bancárias de clientes da Caixa Geral de Depósitos. Se é cliente, tenha muito cuidado com o que recebe via SMS e WhatsApp.


Está em curso uma campanha de phishing que tem em vista aceder, de forma ilícita, a contas bancárias de clientes da Caixa Geral de Depósitos, para delas retirar montantes monetários.

Na presente campanha, além de mensagens WhatsApp, foi também identificado o regular uso de mensagens de SMS. O teor das mensagens fraudulentas tem evoluído e variado ao longo das semanas, consoante o grupo criminoso que efetua a campanha. Porém, todas as mensagens referem sempre terem como origem “CGD”, com isso pretendendo convencer os destinatários de que foram emitidas pela Caixa Geral de Depósitos.

Cliente da Caixa Geral de Depósitos? Atenção às SMS e WhatsApp

Os links incluídos nas mensagens fraudulentas, não conduzem ao verdadeiro site da Caixa Geral de Depósitos: se acedidos, encaminham para uma página web que exibe imagens e logótipos normalmente por ela utilizados, mas que não correspondem à verdadeira página da Caixa Geral de Depósitos.

Estas mensagens pretendem sempre dar a entender que correspondem a um procedimento de segurança, alertando o respetivo destinatário para um “movimento”, ou um “acesso”, ou outro “incidente anormal” na respetiva conta bancária.

Estas mensagens incitam ao acesso urgente a essa conta, para “verificação”, ou “confirmação”, ou para “evitar bloqueio”. Para o efeito, todas elas indicam um link, que permitirá ao destinatário o acesso direto à sua conta bancária.

Ministério Publico

Autor: Pedro Pinto
Partilhar:
Tags:
Caixa Geral de Depósitos Cibersegurança sms WhatsApp
Lançamento do foguetão japonês da Space One termina em explosão
Artigo anterior

Lançamento do foguetão japonês da Space One termina em explosão
Huawei faz sucesso na China: marca lidera o pódio das startups de elétricos
Próximo artigo

Huawei faz sucesso na China: marca lidera o pódio das startups de elétricos
Também pode gostar
PUB

Comentários

26

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

  1. Avatar de Tiburcio
    Tiburcio

    Atencao as chamadas… nunca meter o nif como la pedem….

    Responder
  2. Avatar de Tiburcio
    Tiburcio

    saiu o PS ficou os bancos….

    Responder
  3. Avatar de Mestre Interespacial
    Mestre Interespacial

    Sou cliente da Caixa mas nunca recebi uma SMS deles até ao dia de hoje. Só recebi por cartas. WhatsApp não tenho.

    Responder
  4. Avatar de Partido Chega
    Partido Chega

    Ninguém mete mão nisto de uma vez por todas???

    Responder
    1. Avatar de Mr. Y
      Mr. Y

      Tens solução para combater o phishing? Apresenta-a e ficas milionário!

      Responder
      1. Avatar de Hugo
        Hugo

        O nome dele diz tudo. Profissionais em apontar problemas sem quaisquer vislumbre de solução exequível 😀

        Responder
        1. Avatar de freakonaleash
          freakonaleash

          O Maserati Man é que resolvia tudo…ele e o mini ditador do Livre, se não são votos de bem, não contam.

          Responder
      2. Avatar de Joao Ptt
        Joao Ptt

        Em relação à falsificação dos números de telefone é utilizar o: STIR/SHAKEN, a mesma solução já adoptada nos EUA.

        Em relação ao phishing nos web sites é só exigir chave de segurança FIDO U2F ou FIDO2 (“WebAuthn”), que como assina o endereço verdadeiro da página falsa onde se está não serve para o endereço verdadeiro.

        Como posso receber o meu dinheiro para ficar rico Mr. Y?

        Responder
        1. Avatar de Mr. Y
          Mr. Y

          Não percebo como isso resolve as páginas de phishing.
          Mas sim, tens razão que os bancos deveriam usar sistemas mais seguro. No mínimo, autênticação a 2 passos ou os mais recentes protocolos de segurança que falaste.

          Responder
          1. Avatar de Joao Ptt
            Joao Ptt

            FIDO U2F e FIDO2 (“WebAuthn”) são um segundo factor, ou único factor, conforme os implementarem que não permite autenticar nas páginas falsas porque os endereços desses web sites não são os verdadeiros, simplesmente o que os eventuais ladrões recebem de volta dos utilizadores não serve para nada.

            Na Google, depois de implementarem as chaves de segurança FIDO U2F para autenticarem-se o número de empregados que caiu em esquemas de phishing caiu para zero.
            A tecnologia não é perfeita, mas se as pessoas não aceitarem instalar coisas, e mantiverem as coisas actualizadas geralmente é o suficiente.

          2. Avatar de Mr. Y
            Mr. Y

            @João
            Acho que é quase impossivel combater as páginas de phishing (a não ser que instales um serviço como a NorthVPN já dispõe que monitora isso).
            A técnica de phishing não se autentica directamente no banco. É um serviço instalado num outro servidor que serve apenas para obter as tuas credenciais.
            Agora, os bancos deveriam (e alguns têm) outras formas adicionais de autenticar, além dessas credenciais.

    2. Avatar de há+cada+gajo
      há+cada+gajo

      Qual é ? Acabar com a net ? Sim, talvez resulte …

      Responder
  5. Avatar de TugAzeiteiro
    TugAzeiteiro

    O problema não são as SMS e afins… o problema da CGD é somente o Portal e os constantes problemas que este tem! É inadmissível que em 2024 o serviço disponibilizado seja tão mau em termos de estabilidade…

    Responder
    1. Avatar de há+cada+gajo
      há+cada+gajo

      O problema são as pessoas que são tansas que continuam a cair que nem pato. Gente analfabeta que se acha muito inteligente e que culpam sempre os outros do males que lhes acontece. Nós é que devíamos ser beneficiados por ter de conviver com tanta burrice.

      Responder
      1. Avatar de Joao Ptt
        Joao Ptt

        Os bancos todos já deveriam ter adoptado o FIDO U2F ou o FIDO2 (“WebAuthn”), que impediria os esquemas de pescar dados de acesso das contas.

        Os clientes deveriam poder desactivar a ajuda por telefone (voz e mensagens) relativamente à sua conta que costuma ser o Cavalo de Troia para as contas já que o nível de autenticação/ segurança é muito inferior, e actualmente é impossível convencer os bancos a desactivar tal opção.

        Responder
        1. Avatar de Nuno
          Nuno

          Estás à espera que, num país onde as pessoas partilham com estranhos um código que recebem numa sms que começa com as palavras “NUNCA PARTILHE ESTE CÓDIGO COM NINGUÉM”, as pessoas passem a andar com uma “pen” destas?
          Nem imaginas o que gozam comigo no dia a dia cada vez que puxo da minha yubikey para fazer um login…

          Responder
          1. Avatar de Joao Ptt
            Joao Ptt

            É só os bancos dizerem: tem de utilizar uma chave de segurança compatível com WebAuthn (FIDO2) que requeira senha ou impressão digital para autenticar-se na aplicação e/ ou no web site, e está feito… gostem ou não terão de utilizar.
            E até as podem oferecer, já que é um custo relativamente baixo em relação ao custo das fraudes/ furtos.

            Claro que não vai parar as fraudes onde as próprias pessoas transferem fundos para os atacantes enganadas de algum modo, mas pelo menos os bancos pode evitar alguns ataques, bastando solicitar a chave de segurança (WebAuthn/ FIDO2) e informar na mensagem exibida o que a pessoa está realmente prestes a autorizar, sempre que está a realizar acções que possam prejudicá-la… vai haver gente burra a cair, mas será muito menos gente, que no mínimo reduz os custos com fraudes/ furtos/ má publicidade… e depois de as televisões, jornais, redes sociais serem inundadas com avisos lá cairá ainda mais a quantidade de gente burra a cair nesses esquemas.

          2. Avatar de Nuno
            Nuno

            Os bancos nunca o vão fazer. É mais importante um cliente que a segurança…
            Quando os bancos te limitam a um código de 6 dígitos e não te deixam sequer usar uma palavra passe forte, o que dizes era uma utopia…

  6. Avatar de marco gonçalves
    marco gonçalves

    A CGD, tem por norma descurar a segurança, e os acessos que são feitos á plataforma..
    Conheço pessoas, que foram atacadas, for tentativas sucessivas, para tentarem descubrir a palavra chave, e reclamaram, e a CGD, nem quiz saber..

    Num país de primeiro mundo, a policia judiciaria seria logo a primeira, a ser contactada pela CGD, para dar seguimento aos casos, é uma autentica vergonha.

    Não é só SMS á toa, é que eles apanham os nomes dos utilizadores nos smart phones, e depois vão ao facebook, e afins, e espalham virus até por SMS, a dizer que a pessoa Xyz colocou qualquer coisa online, e desta forma conseguem ampliar o ataque, não apenas ao primeiro infectado, mas também a um enorme numero de vitimas, que se ralacionam com a primeira vitima.

    Montes destas SMS são enviadas de numeros que ao meu ver nem existem, como o 32665 entre outros, mas normalmente são numeros pequenos..no entanto também ha numeros “normais”.. 93 9452627 é apenas um deles..

    Responder
    1. Avatar de Nuno
      Nuno

      3 tentativas erradas e a conta fica bloqueada… Se isso não aconteceu é porque as pessoas já tinham entregue os códigos ao bandido em algum site falso…

      Responder
  7. Avatar de marco gonçalves
    marco gonçalves

    A CGD, tem por norma descurar a segurança, e os acessos que são feitos á plataforma..
    Conheço pessoas, que foram atacadas, for tentativas sucessivas, para tentarem descubrir a palavra chave, e reclamaram, e a CGD, nem quiz saber..

    Num país de primeiro mundo, a policia judiciaria seria logo a primeira, a ser contactada pela CGD, para dar seguimento aos casos, é uma autentica vergonha.

    Não é só SMS á toa, é que eles apanham os nomes dos utilizadores nos smart phones, e depois vão ao facebook, e afins, e espalham virus até por SMS, a dizer que a pessoa Xyz colocou qualquer coisa online, e desta forma conseguem ampliar o ataque, não apenas ao primeiro infectado, mas também a um enorme numero de vitimas, que se ralacionam com a primeira vitima.

    Montes destas SMS são enviadas de numeros que ao meu ver nem existem, como o 32665 entre outros, mas normalmente são numeros pequenos..no entanto também ha numeros “normais”.. 93 9452627 é apenas um deles..

    Responder
  8. Avatar de Nirelle
    Nirelle

    São tão burros que não sabem que o site é .pt e não .com

    Responder
    1. Avatar de MR
      MR

      Parece-me um bocado exagerado insultar alguém por esse detalhe.
      Poderia ser .pt, se ser de igual forma falso, ou utilizar carateres muito parecidos, que visualmente poderia passar despercebido.
      Estamos todos no mesmo barco, e este tipo de alertas deve ser utilizado para estarmos constantemente atentos para situações, umas que até já conhecemos, mas certamente que outras serão completamente inesperadas.

      Responder
      1. Avatar de Nuno
        Nuno

        Pode ser .pt e ser falso mas não sendo .pt é falso de certeza…
        Os clientes deste banco recebem, pelo menos, 2 avisos para estas burlas a cada login e a página inicial tem outros tantos…
        Pior do que quem não vê, e de quem não quer ver, é quem vê e decide ignorar…

        Responder
  9. Avatar de CA
    CA

    A primeira coisa é verificar a ortografia pois aqui no nosso território não se diz: “Pedimos que se verifique em:” isto soa mal logo à partida, dizemos: Pedimos que verifique em:, em geral os esquemas de phishing têm uma ortografia com erros e ou com falhas e confusão no vocabulário.

    Responder
  10. Avatar de Vitor Brazil
    Vitor Brazil

    uma das melhores formas de evitar isso e estabelcer um limite para as operacoes, esta opcao os bancos disponibilizam. dessa forma nao pode haver seja o que for acima desse valor.

    Responder
Aviso:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.