À Prova de Phishing by WiZink: como acontecem o Smishing e o Vishing

Um exemplo para te ajudar a perceber estes dois tipos de fraude e a protegeres-te melhor.

Smishing e o Vishing

19 Dezembro 2023

As ameaças que chegam por telefone

Pois é, nem todas as mensagens ou chamadas são honestas. É preciso estar atento, desconfiar, questionar e, claro, nunca partilhar os dados confidenciais. 

Já foi tema de conversa no “À Prova de Phishing by Wizink”, no T3, da Rádio Renascença.  3º episódio episódio. Podes ver o vídeo aqui.

Um caso que combina Smishing e Vishing

Muitas vezes os cibercriminosos combinam estas duas técnicas, para parecerem mais credíveis. Supõe que tens no teu telemóvel a App do banco – que é o mais certo, é prática e muito útil, por exemplo, para validar compras, controlar movimentos e gerir de forma cómoda o teu cartão de crédito ou conta. Agora, imagina que recebes uma mensagem – pode ser, por exemplo, um sms ou um whatsapp  - que informa: “A App vinculada ao telemóvel tem um bloqueio” ou “Cartão de crédito e PIN bloqueados, compra suspeita identificada”, remetendo para um link que supostamente vai solucionar o problema urgente.  

O que descrevemos acima é um típico caso de Smishing: uma mensagem falsa, a comunicar algo urgente. E cuidado, muitas vezes, estas mensagens falsas, aparecem no seguimento das mensagens legítimas do teu banco porque os cibercriminosos usam o chamado “alias” – um comando que permite substituir uma palavra por outra, neste caso, escondem o verdadeiro remetente, substituindo-o pelo nome do teu banco.

E perguntas ainda: como é que o cibercriminoso sabe qual é o meu banco? Não sabe! Mas envia a mensagem falsa a centenas de pessoas, e em alguns casos acertará com certeza com o banco!

Tom alarmista, solicitam ação urgente?

Desconfia. Se agires com pressas, sem pensar, vais cair na armadilha, ou seja, clicar no link e o mais certo é seres encaminhado para uma área ou página falsa, que pode parecer mesmo a do homebanking ou App do teu banco, mas não é!

Quem controla esta área ou página falsa? Adivinhaste: é o cibercriminoso. Se introduzires nessa página os teus dados de acesso, o cibercriminoso fica na posse dos mesmos e entrará no verdadeiro homebanking ou App do banco como se fosses tu! E só com isto já poderia fazer algumas operações em teu nome. Mas muitos cibercriminosos vão mais longe e, para fazer exatamente o que querem, depois de acederem ao teu homebanking, ligam-te fazendo-se passar por uma pessoa do banco – isto é Vishing – um tipo de fraude para obter os teus dados através de chamada telefónica.

E atenção: os cibercriminosos também usam programas informáticos que mascaram o número de telefone para que pareça um contacto legítimo do teu banco.

Na chamada, o autor da fraude pode parecer muito convincente,  vai confirmando alguns dados pessoais e da tua conta ou cartão. É fácil: ele está no teu homebanking!  A seguir, provavelmente vai convencer-te que precisa que inscrevas na página onde entraste (a tal página falsa) um código que acabou de ser enviado para o teu telemóvel, para anular a tal transação suspeita ou desbloquear a App.

OK, mas perguntas-te: vou mesmo receber um SMS do banco com um código? Sim. E porquê? Porque o cibercriminoso o que está a fazer - enquanto fala contigo ao telefone - é, por exemplo, um pagamento de serviços no teu homebanking. E os bancos têm procedimentos de segurança exigindo mais que um tipo de validação, e uma das formas será enviar um SMS ao cliente com um código, para verificar que és mesmo tu que estás a fazer a transação.

E agora, já estás a ver o que pode acontecer?

Acreditando no cibercriminoso ao telefone e sem leres bem o SMS, vês o código e vais inscrevê-lo na página falsa e mais uma vez … quem o recebe? Sim, o cibercriminoso!

E ele vai usar esse código para concluir o pagamento de serviços, como se fosses tu! Pagamento de serviços que pode servir para comprar moeda eletrónica ou carregar carteiras virtuais, por exemplo.

Muitos cibercriminosos não ficam por aqui e repetem a ação, continuam ao telefone, dizendo-te que o primeiro código não funcionou e que irás receber outro… e repete-se o Pagamento de Serviços… Quando o cibercriminoso termina de fazer os pagamentos que quer, termina o telefonema, confirmando-te que já está tudo bem. Mas longe disso, porque acabou de roubar o teu dinheiro.

Questiona e nunca partilhes dados confidenciais

Perante uma mensagem e uma chamada alarmista a exigir ação urgente, desconfia e questiona.  Pede detalhes de quem está a falar contigo, pede para repetir o nome, de onde está a ligar, pede mais pormenores sobre a situação que te está a relatar - e NUNCA, sob que pretexto for, dês ou inscrevas em página acedida através de link suspeito, os teus dados confidenciais – por fim desliga, dizendo que vais verificar a tua conta e que ligas depois tu para o banco.

PARAR e não agir sem pensar é a chave. Verifica  a tua conta e cartão, sempre através dos canais oficiais que o banco te disponibiliza. E em caso de dúvida contacta o banco através dos números oficiais divulgados no seu site, área privada ou extrato.

Vê todos os temas abordados e vídeos no espaço À Prova de Phishing by Wizink, no T3, da Rádio Renascença.

Porque o Phishing não acontece só aos outros!

Sabe mais em Segurança na Internet e nos artigos relacionados que te indicamos nesta página.

O WiZink NUNCA

Pede dados confidenciais como, por exemplo, palavras-passe ou códigos, por email, SMS, outro tipo de mensagem escrita ou chamada telefónica. Se te pedem estes dados, por estas vias, não somos nós!

Os códigos que recebes por SMS, são códigos de segurança (autorização ou autenticação) e servem exclusivamente para validar operações online, iniciadas por ti, de livre e espontânea vontade, em plataformas seguras e da tua confiança.