Contexto Atual - Chave Móvel Digital
Versão 1.0
Data de Publicação: 19.04.2024
1. Enquadramento
Está em curso uma nova campanha que visa a Chave Móvel Digital (CMD) e tem como objetivo recolher os dados associados a esta chave, juntamente com outros tipos de dados, como os bancários, que podem conduzir ao comprometimento de contas críticas para os utilizadores.
A partilha ilegítima da CMD pode ser particularmente prejudicial para o cidadão, na medida em que esta chave permite ao seu titular assinar documentos digitalmente e aceder a várias plataformas online, podendo substituir as credenciais específicas de acesso a um serviço.
A tentativa de recolha deste tipo de informação tem sido acompanhada por variadas técnicas razoavelmente sofisticadas, como o smishing, o vishing e o spoofing, isto é, técnicas que aproveitam o smartphone como superfície de ataque e a utilização deste dispositivo, com um número de telefone associado, para se realizarem acessos ou autenticações de acessos através do múltiplo fator de autenticação.
Com base na perigosidade e persistência desta campanha, o Centro Nacional de Cibersegurança (CNCS) partilha uma descrição de algumas das técnicas que estão a ser utilizadas, bem como as boas práticas consideradas fundamentais para mitigar os potenciais efeitos nefastos deste problema.
2. Técnicas de Ataque Mais Frequentes
Esta campanha tem utilizado diversas técnicas, tendencialmente de modo sequencial, que se passa a descrever:
a. Ataque de smishing e spoofing:
Receção por parte da vítima de um SMS em nome da CMD (técnica de spoofing ao número da CMD, portanto, utilizando de forma ilegítima o número alfanumérico autêntico da CMD), alertando falsamente que um novo dispositivo foi associado a esta chave e que, caso essa ação não seja legítima, deverá aceder a um URL com urgência (um URL que sabemos ser malicioso) – é expectável que outro tipo de solicitação possa ser realizado para levar a vítima a aceder a um website malicioso e partilhar os seus dados.
b. Recolha de informação em website que personifica a CMD:
Caso a vítima aceda ao URL, encontra um website que personifica a plataforma da CMD, onde é conduzida a partilhar mais dados: o número de telefone associado à CMD e a informação sobre qual o Banco de que a vítima é cliente - informação que não é solicitada pela plataforma legítima da CMD;
Caso a vítima aceda ao URL, encontra um website que personifica a plataforma da CMD, onde é conduzida a partilhar mais dados: o número de telefone associado à CMD e a informação sobre qual o Banco de que a vítima é cliente - informação que não é solicitada pela plataforma legítima da CMD;
c. Recolha de informação em website que personifica uma entidade Bancária:
Ao fornecer a informação sobre qual o Banco de que é cliente, a vítima é redirecionada para uma página que personifica a plataforma deste Banco. Aqui, são solicitados os dados de acesso à conta online do Banco (número de contrato e senha de acesso). Partilhados estes dados, é apresentada uma mensagem que informa a vítima de que será contactada por um técnico nas próximas 24 horas;
Ao fornecer a informação sobre qual o Banco de que é cliente, a vítima é redirecionada para uma página que personifica a plataforma deste Banco. Aqui, são solicitados os dados de acesso à conta online do Banco (número de contrato e senha de acesso). Partilhados estes dados, é apresentada uma mensagem que informa a vítima de que será contactada por um técnico nas próximas 24 horas;
d. Ataque de vishing e spoofing:
Quando a vítima é contactada por telefone, o atacante utiliza um número nacional ou um spoofing do número autêntico do Banco ou da CMD, ocorrendo a personificação por voz de um funcionário que questiona a vítima relativamente a informação privilegiada, como dados pessoais, criando confiança, e solicitando códigos relativos ao Banco (de validação, por exemplo) ou, de novo, da CMD.
Quando a vítima é contactada por telefone, o atacante utiliza um número nacional ou um spoofing do número autêntico do Banco ou da CMD, ocorrendo a personificação por voz de um funcionário que questiona a vítima relativamente a informação privilegiada, como dados pessoais, criando confiança, e solicitando códigos relativos ao Banco (de validação, por exemplo) ou, de novo, da CMD.
Estes métodos ou outros semelhantes podem conduzir ao comprometimento de uma conta bancária com perdas monetárias, à recolha de dados pessoais e sensíveis utilizáveis em furtos de identidade ou à exfiltração de dados comercializáveis em fóruns de cibercriminalidade.
Apesar deste tipo de esquema privilegiar como vítimas os cidadãos e tender a personificar entidades da Banca e do Estado, as técnicas de ataque utilizadas nestas abordagens também podem ser aplicadas noutros contextos, nomeadamente em diferentes setores e envolvendo variados tipos de dados sensíveis. O comprometimento da CMD, por exemplo, permite o acesso a serviços críticos online, nomeadamente do Estado. O spoofing de números de telefone e de mensagens também pode ser utilizado na personificação de entidades do Estado ou de empresas com informação crítica.
3. Recomendações
Considerando a persistência desta campanha, o CNCS recomenda que se adotem as seguintes boas práticas:
a. Não clicar em links e anexos de mensagens com solicitações suspeitas – geralmente, as entidades não solicitam confirmações de códigos por mensagem, apenas enviam códigos como múltiplo fator para validação de operações;
b. Mesmo quando o número de origem de um telefonema ou de uma mensagem de telemóvel corresponde ao de uma entidade fidedigna (spoofing), suspeitar de solicitações de códigos e credenciais de acesso inusitadas sob pretextos de urgência ou falhas de segurança;
c. Nunca partilhar códigos da CMD e credenciais de acesso por mensagem ou por telefone, mesmo que a entidade que os solicita seja aparentemente fidedigna;
d. Caso se clique num link no contexto de contactos deste tipo, verificar a autenticidade dos domínios dos websites para os quais é redirecionado, comparando os termos utilizados no domínio com os da entidade fidedigna;
e. Sempre que é realizada a solicitação de uma ação crítica, como uma transferência bancária ou a partilha de dados pessoais, por telefone, mensagem ou email, confirmar a autenticidade do pedido, junto da entidade, através de outro canal;
f. Ativar o múltiplo fator de autenticação em todas as contas online, sempre que possível, de modo a evitar que o acesso às contas fique dependente apenas de um fator, como uma senha de acesso;
g. Sempre que se é vítima de uma das abordagens descritas, fazer uma denúncia às autoridades e à entidade personificada no ataque. Caso se aplique, denunciar à equipa de segurança informática da organização de que faz parte.
4. Em Caso de Incidente
Caso seja vítima de um ataque deste tipo, aconselha-se que sejam contactados o CERT.PT (equipa de resposta a incidentes do CNCS) (cert@cert.pt) e a Polícia Judiciária (unc3t@pj.pt). Consulte o seguinte tutorial sobre como reportar um incidente: aqui.
Consulte também os seguintes conteúdos de Boas Práticas do CNCS de modo a obter mais informação: aqui. Para uma sensibilização mais completa, o CNCS disponibiliza quatro cursos online gratuitos: aqui.
Caso se aperceba de que foi alvo de um esquema deste género já depois de ter partilhado os seus dados e eventualmente comprometido uma conta, aconselha-se que contacte a entidade responsável pelos dados em questão (e.g. CMD, nomeadamente AMA; Banco), informando sobre o sucedido e solicitando a anulação dos códigos e senhas em questão.
Última atualização em 19-04-2024