Há uma nova campanha de phishing a preocupar as autoridades de segurança online em Portugal. Esta campanha, focada na obtenção indevida de dados sensíveis, visa principalmente a Chave Móvel Digital (CMD).
Esta é uma ferramenta usada para a autenticação em vários sites públicos e privados em Portugal. O Centro Nacional de Cibersegurança (CNCS) alerta para a seriedade deste problema e partilha recomendações para mitigar os seus efeitos.
Quais as técnicas de ataque utilizadas
A campanha de phishing tem-se valido de várias técnicas, começando com o smishing e spoofing. As vítimas recebem SMS falsificados em nome da CMD, que alertam para atividades suspeitas e instruem os utilizadores a aceder a URLs maliciosos.
Este é apenas o primeiro passo de uma série de etapas complexas. Também existem outros, como a criação de sites falsos que simulam a interface da CMD e até mesmo de instituições bancárias.
Assim, os utilizadores direcionados para esses sites fraudulentos, são solicitados a fornecer ainda mais informações sensíveis. Desde números de telefone associados à CMD e dados de acesso às contas bancárias.
As técnicas de vishing (phishing por telefone) também são colocas em prática. Os atacantes, muitas vezes, fazem passar-se por funcionários legítimos de bancos ou da CMD e enganam as vítimas para obter informações privilegiadas.
Quais as recomendações do CNCS
O CNCS destaca a importância de adotar boas práticas de segurança. Entre estas recomendações, destaca-se a precaução ao clicar em links suspeitos, especialmente quando solicitados por SMS ou chamadas telefónicas.
E é sempre bom realçar que nunca se deve partilhar códigos ou credenciais de acesso por estes meios, mesmo que a solicitação pareça legítima. Outra medida crucial é ativar o múltiplo fator de autenticação em todas as contas online sempre que possível. Isso adiciona uma camada extra de segurança.
Além disso, caso seja vítima de um ataque deste tipo, é fundamental reportar o incidente às autoridades competentes. Existe o CERT.PT e a Polícia Judiciária, que podem investigar e tomar medidas adequadas.
Se, infelizmente, fores vítima de um ataque de phishing e partilhares os teus dados sensíveis, é importante agir rapidamente. Contacta imediatamente a entidade responsável pelos dados em questão, como a CMD ou o teu banco, e informa sobre o sucedido. Solicita a anulação de códigos e senhas comprometidas e segue as instruções fornecidas pela entidade para protegeres a tua conta e minimizares os danos causados.