Está em curso um agressivo esquema de burlas, através do método de “phishing”, visando clientes da Caixa Geral dos Depósitos. A campanha de burlas via SMS ou WhatsApp foi identificada no início do ano 2024, mas intensificou-se nas últimas semanas.
Corpo do artigo
O Gabinete do Ministério Público emitiu um alerta para um esquema de "phishing" dirigido a clientes da CGD. Os criminosos iniciam o contacto através de mensagens Whats App ou SMS e, com um falso alerta de movimentos ilícitos na conta dos destinatários, procuram que estes acedam a sites e lhe forneçam as suas credenciais de acesso aos serviços de homebanking e depois lhes passem os código SMS para validar transferências bancárias.
Trata-se de “uma iniciativa de engenharia social mais agressiva, que pretende gerar imediatos e elevados lucros ilícitos aos agentes criminais, com prejuízo das vítimas”, alerta o gabinete da Procuradoria Geral da República.
O esquema inicia-se com o envio massivo de mensagens SMS, emails ou através de aplicações como Whats App. No destinatário aparecem as siglas CGD, remetendo para a Caixa Geral de Depositós.
Alerta para movimento, acesso ou "incidente anormal"
O teor do texto é no sentido de um alerta ou de um aviso para um “movimento”, um “acesso” ou outro “incidente anormal” na conta bancária. Por motivos de segurança, aconselha a mensagem, o destinatário deverá urgentemente ir à conta verificar ou confirmar ou ainda evitar um bloqueio da mesma.
Para tal anexam um "link", com algumas alusões à Caixa Geral de Depósitos, que, porém, reencaminha as vitimas para um site malicioso, em tudo similar aos daquele banco e que até tem um endereço vagamente semelhante.
O Gabinete de Cibercrime refere ainda que teve conhecimento de casos em que as vítimas foram atraídas aos sites falsos através de anúncios ou pesquisas em motores de busca como o Google ou o Bing.
Sites com imagens e logotipos similares
Os sites exibem imagens e logotipos normalmente usados pelo banco. À medida que são encerrados e bloqueados pelas autoridades são substituídos por outros similiares. Há ainda versões dos sites concebidas especificamente para browsers de dispositivos móveis, como telemóveis.
Nestes sites falsos, os burlões solicitam às vítimas que introduzam as suas credenciais de acesso e também o número de telemóvel, alertando que irão receber, em breve, um contacto telefónico. Tal servirá para contornar o factor de autenticação via SMS exigido pela CGD para efetuar transferências bancárias.
Contactam vítimas para obter códigos
Na posse das credenciais, os burlões acedem às contas bancárias e verificam o saldo bancário. Depois ligam para as vítimas, apresentando-se como agentes da área da segurança informática do banco e enumerando os últimos movimentos da conta parta o comprovar. Informam que detetaram uma avultada e suspeita transferência bancária e pretendem que confirme a autenticidade.
A vítima diz que não realizou qualquer transferência e pede que a mesma seja cancelada. O burlão explica que só poderá cancelar a transferência depois de confirmada a autenticidade do titular da conta, o que será feito através de um código enviado via SMS.
Vítima dá código que valida transferência
Enquanto decorre a conversa com a vítima, os burlões dão ordem para uma transferência bancária de praticamente todo o saldo bancário para outra conta por si controlada. Para validar a transferência, o banco envia via SMS um código para o titular da conta. Este, por sua vez, vai dar o código aos burlões, julgando que está a cancelar a transferência, quando, na realidade, está a dar o código ao burlão para validá-la.
“Muitas vítimas têm facultado tal código aos agentes criminosos, julgando estarem a falar com o funcionário bancário. Deste modo, habilitam os agentes criminosos a concretizar a transferência que planearam. E a vítima é defraudada no respetivo montante”, refere o aviso do Gabinete de Cibercrime, acrescentando que, apesar desta campanha ser dirigida especificamente a clientes da Caixa Geral dos Depósitos, já foram detetadas outras visando clientes de outras instituições bancárias.
A Procuradoria Geral da República aconselha:
- Mensagens de SMS ou WhatsApp como as que acima se descreveram, incitando ao acesso a páginas de bancos online, devem ser ignoradas e apagadas, sem resposta.
- Telefonemas como os que se referiram, que supostamente têm origem em departamentos de segurança de bancos, devem ser cuidadosamente avaliados.
- A respetiva autenticidade deve ser confirmada com o gestor de cliente, ou outro funcionário ou representante bancário.
- Caso a vítima, sem se aperceber, acabe por facultar aos agentes criminosos os dados de acesso à sua conta bancária, importará, como primeira diligência a empreender, alterar as respetivas credenciais de acesso e contactar o banco em causa.