À Prova de Phishing by WiZink: como acontecem realmente os casos de Phishing

Um exemplo que te pode ajudar a perceber e a protegeres-te deste tipo de cibercrime.

À Prova de Phishing by Wizink: como acontecem realmente os casos de Phishing

13 Dezembro 2023

Para parar o Phishing, primeiro tens tu de parar

Se pudéssemos resumir numa frase os conselhos  essenciais para não seres apanhado na rede do Phishing, era isto: mantém-te sempre atento, lê todas as mensagens com muita atenção e não ajas de forma precipitada. E claro, nunca partilhes os teus dados confidenciais.

Já foi tema de conversa no “À Prova de Phishing by Wizink”, no T3, da Rádio Renascença. Podes ver o vídeo aqui.

Um típico caso de Phishing

• Imagina esta situação:

- De um lado, está um cibercriminoso,

- Do outro lado, estás tu, no teu computador ou telemóvel.

Entretanto, vês na tua caixa de email, uma nova comunicação, supostamente do teu banco, com este texto: “Por motivos de segurança o seu cartão foi bloqueado. Deverá desbloquear, agora, para continuar a usar” e a seguir tens um link ou botão para carregares e poderes, supostamente, desbloquear o cartão.

Este é um típico caso de Phishing: uma mensagem falsa, que imita bem o visual das comunicações do teu banco, mas com um tom alarmista e a pedir ação urgente, para que ajas sem pensar.

• E se carregares no link ou botão?

O mais provável, é ires parar a uma área ou página falsa – que pode parecer o homebanking ou App do banco, mas não é.

Nessa área/página são pedidos alguns dados, como, por exemplo, nº de contribuinte, data de nascimento, nº do cartão, data de validade, etc.

Se ingenuamente – porque pensas que é uma área ou página do banco – colocas estes dados, o que acontece? Pois é, vão parar à mão do cibercriminoso (que é quem está do outro lado), e não do banco.

Estes dados são elementos que o cibercriminoso precisa para aceder à tua conta ou cartão. O cibercriminoso utiliza os teus dados para aceder ou registar-se ele próprio na App do teu banco, fazendo-se passar por ti.

• E a seguir? Toma atenção a este passo.

O cibercriminoso ao registar-se na App e fazer, de seguida, a associação do telemóvel dele como dispositivo seguro - para depois poder validar transações online -  faz com que o banco te envie (para o teu número de telemóvel que tens registado junto do banco) um SMS, para autenticação. Para quê? Para confirmar que és tu que estás a fazer estas operações – estes SMS (SMS OTP) fazem parte do procedimento de segurança  que o banco usa para verificar a identidade (autenticar) de quem está do outro lado. Só com esses códigos o cibercriminoso sairá vencedor…. Se tu, com a pressa, vês os SMS’s com os códigos e os inscreves na área/página falsa, acabaste de dar ao malfeitor o que ele precisava para consumar o crime. O cibercriminoso pode, assim, concluir o registo e associação do telemóvel dele à App, como se fosses tu.

• E depois? O que pode fazer o cibercriminoso a partir daqui?

Bem, a seguir o cibercriminoso fica com acesso aos dados da tua conta/cartão e, por exemplo, pode fazer compras online com o teu cartão de crédito, autorizando-as através da App, uma vez mais, como se fosses tu – e tu não te apercebes do que ele está a fazer.

• O que poderias ter feito para evitar teres sido vítima?

Podias ter evitado que esta fraude fosse bem sucedida em 3 momentos. Dizemos-te aqui, para que estejas atento e te possas proteger, caso sejas alvo de uma tentativa semelhante de Phishing:

  1. Email com mensagem alarmista a pedir ação urgente? Não cliques, não respondas, não reencaminhes e apaga. E tudo teria terminado sem começar sequer.
  2. Mas clicas no link/botão e vais parar a uma área/página a pedir dados? STOP! Pára. Não é comum os bancos enviarem links diretos para áreas onde se pedem dados, sobretudo dados confidenciais.
  3. No entanto prossegues, clicas, entras na área/página falsa e colocas os teus dados? Não o devias ter feito… mas ainda há um 3º momento em que podes impedir o sucesso do cibercriminoso: os SMS’s do banco com os códigos. Se leres bem os textos dos SMS’s, não colocarás, por certo, os códigos na página falsa. Os códigos que recebes por SMS, são códigos de segurança e servem apenas para validar operações online que está a fazer, iniciadas por ti, de livre e espontânea vontade, em plataformas que sabes são seguras e da tua confiança, e normalmente os textos destes SMS indicam o tipo de operação cujo código servirá para validar. Lê-os sempre bem e nunca partilhes estes códigos com terceiros.

PARAR e não agir sem pensar é a chave. Mas se a dúvida persistir, se depois de leres uma mensagem deste tipo, alarmista,  pensares que pode estar mesmo a acontecer alguma coisa com a tua conta ou cartão, podes sempre entrar nos canais digitais do banco, através do seu site oficial - que tu digitas no teu navegador - ou da App - que instalaste no teu telemóvel através duma loja oficial e verificar se está tudo bem.

Se ainda assim, precisares de confirmar a autenticidade da mensagem ou validar algum dado da tua conta ou cartão, liga para o banco, sempre através dos números divulgados no seu site oficial ou que constam, por exemplo, no teu extrato.

 

Vê todos os temas abordados no espaço À Prova de Phishing by Wizink, no T3, da Rádio Renascença.

Porque o Phishing não acontece só aos outros!

Sabe mais em Segurança na Internet e nos artigos relacionados que te indicamos nesta página.

O WiZink NUNCA

Pede dados confidenciais como, por exemplo, palavras-passe ou códigos, por email, SMS, outro tipo de mensagem escrita ou chamada telefónica. Se te pedem estes dados, por estas vias, não somos nós!

Os códigos que recebes por SMS, são códigos de segurança (autorização ou autenticação) e servem exclusivamente para validar operações online, iniciadas por ti, de livre e espontânea vontade, em plataformas seguras e da tua confiança.