Está ativo em Portugal um scam (uma fraude) em que está a ser enviada uma mensagem de SMS onde se informa o recetor para uma encomenda que este tem que desalfandegar. As mensagens são falsas e clicando no URL/link presente na mensagem pode levar a que as vitimas temas danos financeiros.
Esta mensagem é falsa, garante a Iniciativa CpC: Cidadãos pela Cibersegurança, evidenciando os erros de português e, sobretudo, o endereço do domain que termina em .app (algo que não é usado por praticamente nenhuma empresa legítima em Portugal). Explicam ainda que. quem clicar no URL/link recebe um pedido de um pagamento por Visa ou por referência Multibanco fraudulenta.
Se o recetor estiver – de facto – à espera de uma encomenda as possibilidades de acreditar no SMS e clicar no URL/link da mensagem são elevadas.
Outro grande fator que credibiliza e faz cair tantas vítimas neste logro é a confiança que hoje em dia os portugueses têm no sistema de SMS e na informação da origem das mensagens: algo que vem dos “CTTEXPRESSO” e que, ainda por cima, surge encadeado noutros SMS que se sabem serem legítimos induz à confiança e faz com que os recetores cliquem no URL/link enviado no SMS cedendo os seus dados ou fazendo transferências das verbas requeridas.
Este scam/fraude explora aquilo que o CpC já abordou em https://cidadaospelaciberseguranca.com/2023/11/19/tacticas-de-fraude-cibernetica-em-portugal-a-campanha-cgd-de-outubro-chamadas-de-alerta-e-medidas-preventivas/ (com propostas de solução) . Em Portugal, os “senders” (quem envia a mensagem) não passam por nenhum processo de validação ou verificação de origem, pelo que é fácil enviar um SMS com a descrição que quisermos e tal não tem – nem sequer – consequências legais quanto mais técnicas, diz o CpC.
Variantes deste esquema decorrem em Portugal com SMS falsos da CGD, do Cartão Universo, da EDP, mas também da Autoridade Tributária, da Segurança Social e até do SNS.
O que deve fazer, segundo o CpC:
- Não confie no sender de um SMS: verifique sempre antes – de outra forma – de tomar qualquer ação.
- Contacte a empresa (CGD, CTT, etc) e peça-lhes para pararem de enviar SMS com URL/link.
- Desconfie de mail SMS com erros de português: por norma as grandes empresas não os cometem no envio de SMS em bulk ou nos que são personalizados.
O que devia ser feito:
- As empresas deviam parar de enviar SMS com URL/link;
- Os operadores não deviam aceitar a comercialização de pacotes de envios de SMS em que é possível alterar a descrição da origem dos SMS.
- As propostas em https://cidadaospelaciberseguranca.com/2023/11/19/tacticas-de-fraude-cibernetica-em-portugal-a-campanha-cgd-de-outubro-chamadas-de-alerta-e-medidas-preventivas/ deviam ser implementadas.
- Em particular, a ANACOM devia ser mais lesta na “proposta de projeto de regulamento o qual será objeto de consulta pública de acordo com o procedimento legalmente estabelecido para o efeito, e terá em linha de conta as boas práticas e as normas adotadas por organizações nacionais, da União Europeia ou internacionais” e o Parlamento nas medidas legislativas que se impõem para travar este tipo de burla.