Esta semana, vários utilizadores receberam nos telemóveis mensagens que parecem partir do canal oficial da Chave Móvel Digital, mas não é bem assim. Na verdade, tudo parte de hackers que tentam fraude por smishing.

Assim, smishing é um ataque que usa mensagens de texto falsas em telemóveis para induzir as pessoas a fazer download de um malware através de um link ou a partilhar informações confidenciais, bem como enviar dinheiro para cibercriminosos.

Além disso, é também utilizada a técnica de spoofing, já que o hacker finge ser uma instituição ou pessoa da confiança do utilizador, através de uma "cópia" de um número institucional.

Neste caso, a mensagem que os utilizadores podem ler nos seus telemóveis refere que estes terão ativado a autenticação da Chave Móvel Digital num outro dispositivo. Depois, é indicado que se não o fizeram devem entrar numa hiperligação — e é aí que estará o problema, já que o site não é o oficial deste serviço do Estado. Por isso, o link não deve ser aberto.

De acordo com a Iniciativa CpC: Cidadãos pela Cibersegurança, esta fraude terá começado em abril, altura em que surgiu um alerta do Millenium BCP aos seus clientes. Desde aí, têm sido várias as entidades a emitir o mesmo aviso, pelo que tudo aparenta que esta técnica de smishing esteja a crescer.

Em maio, a DECO Proteste alertava para esta prática e lembrava que estas fraudes "chegam ao telemóvel por SMS ou WhatsApp e parecem ser procedentes de bancos, dos serviços alfandegários dos CTT ou do CMD (serviço de chave móvel digital), entre outras. Comum a todas está um link, apresentado em cor diferente (normalmente um azul-claro), a apelar ao clique urgente de formas diferentes".

Como identificar uma mensagem falsa?

Ler o site indicado com atenção. A única hiperligação oficial do Estado para este serviço da Chave Móvel Digital é https://www.autenticacao.gov.pt/a-chave-movel-digital;

Ter atenção aos alertas oficiais. No início destas burlas, o portal ePortugal veio esclarecer que nunca solicita dados pessoais ou relativos a contas bancárias por SMS. Assim, deve bloquear o remetente e marcar a mensagem como spam;

Formulação da mensagem. Muitas vezes, as mensagens fraudulentas estão escritas em português do Brasil. Erros ortográficos são também outro indicador a considerar;

Atenção às palavras usadas. Deve desconfiar se mensagem contiver termos como “urgente”, “segurança”, “ativar”, “atualizar”, “cartão”, “reativar”, “conta” ou “bloqueio”;

Confirme com alguém. Falar do assunto com outras pessoas antes de fazer alguma coisa pode ser uma boa estratégia para ficar alerta. Neste caso, se conhecer alguém que tenha recebido uma mensagem deste tipo vai perceber que a marca e modelo do dispositivo referido no SMS é exatamente o mesmo;

Ligar para os bancos. No caso de a mensagem fazer referência à conta bancária, o melhor é ligar para o seu banco e confirmar se de facto estão a tentar entrar em contacto consigo por algum motivo;

Links com https:// nem sempre são seguros. Hoje em dia, links que começam desta forma apenas significam que a informação segue por um canal encriptado, não havendo garantias sobre o destinatário da informação. Mas há ferramentas que ajudam na identificação.

Os hackers não precisam de resposta. Não deve cair na tentação de responder às mensagens fraudulentas, já que caso o faça continua em risco de fornecer dados pessoais a quem está do outro lado.

Como apresentar queixa?

Deixar o caso passar não contribui para que seja resolvido. Por isso, apresentar queixa às autoridades competentes é sempre uma forma de alertar oficialmente para o número crescente de burlas.

Segundo a DECo, "para apresentar queixa, entre em contacto com uma autoridade policial ou com o Ministério Público. O Gabinete de Cibercrime permite apresentar queixa online".

Além disso, "por serem uma matéria de cibersegurança, os ataques de smishing devem ser reportados à Unidade Nacional de Combate ao Cibercrime e à Cibercriminalidade Tecnológica, através de queixa eletrónica à Polícia Judiciária".