Nas últimas semanas, clientes da Caixa Geral de Depósitos (CGD) começaram a relatar um esquema de burla particularmente sofisticado. Trata-se de um caso de smishing, ou seja, phishing através de SMS, mas com um detalhe que o torna mais perigoso do que os habituais. Algumas das mensagens fraudulentas incluem o número de conta à ordem verdadeiro do cliente, o que aumenta a credibilidade e dificulta a desconfiança.
De acordo com o Notícias ao Minuto, esta nova vaga de ataques já atingiu vários utilizadores e explora a confiança que as pessoas têm no histórico oficial de mensagens da CGD, onde os SMS falsos aparecem misturados com as comunicações legítimas do banco.
O que é o smishing
O smishing é uma técnica que combina mensagens de texto com métodos de phishing. O objetivo é simples: levar a vítima a clicar num link fraudulento, que imita a página oficial da instituição bancária, e introduzir dados sensíveis.
No caso da CGD, os burlões procuram sobretudo roubar credenciais de acesso à Caixa Directa, obter códigos de autenticação e recolher dados pessoais que podem ser usados em burlas futuras.
O que torna este ataque diferente
Ao contrário de tentativas anteriores, os SMS fraudulentos conseguem aparecer no mesmo histórico das mensagens oficiais do banco. Isto acontece porque os criminosos forjam o remetente, fazendo surgir apenas “CGD” no ecrã.
Mas o detalhe mais preocupante é outro: algumas mensagens contêm também o número de conta verdadeiro do cliente. Este pormenor mostra que não se trata apenas de ataques em massa, mas sim de campanhas baseadas em bases de dados reais.
De onde vêm os dados?
Não há sinais de fuga de informação a partir da própria CGD. A explicação mais provável, de acordo com especialistas ouvidos pelo Público, é que os dados tenham sido recolhidos através de terceiros, como serviços de subscrição, ginásios ou plataformas digitais que pedem IBAN e número de telemóvel para débitos diretos.
Uma vez comprometidas, estas bases de dados acabam muitas vezes à venda em fóruns ilegais. A informação é depois cruzada com outros elementos, como nome e contacto, permitindo ataques altamente personalizados.
Porque este golpe é tão perigoso
Este esquema junta vários fatores de risco. Primeiro, a credibilidade: ao incluir dados reais, a mensagem parece legítima. Segundo, o contexto: surge no mesmo histórico da CGD, o que confunde o utilizador. Terceiro, a urgência: o texto alerta para “débitos suspeitos” e exige verificação imediata.
Ao clicar no link, a vítima é direcionada para uma página praticamente igual à da Caixa Directa. Ao inserir dados de login e códigos de autenticação, está a entregá-los diretamente aos burlões, que passam a ter acesso imediato à conta.
Exemplos reportados
Um dos SMS falsos recentemente denunciados dizia: “Estimado/a, identificamos débitos suspeitos na sua conta à ordem XXXXXXXX. Solicitamos que se verifique: [link fraudulento]”. O campo “XXXX” correspondia ao número verdadeiro da conta da vítima, aumentando a ilusão de legitimidade.
Como se proteger
As recomendações são claras. Nunca deve clicar em links recebidos por SMS, mesmo que surjam no histórico da CGD. O acesso deve ser feito apenas pela app oficial ou pelo site www.cgd.pt.
Segundo o Notícias ao Minuto, o banco reforça que nunca envia links externos para validação de acessos. É igualmente aconselhável ativar notificações de movimentos, para ser alertado em caso de débitos inesperados.
Se receber uma destas mensagens, deve contactar de imediato a CGD através do número oficial (217 900 790) e reportar a tentativa de fraude. É também importante manter o telemóvel atualizado e evitar partilhar o IBAN em serviços que não sejam de confiança.
Um alerta sobre a sofisticação das burlas
O caso do smishing dirigido à CGD mostra como os ataques digitais estão a evoluir em Portugal. Já não se tratam apenas de mensagens mal traduzidas ou de links facilmente identificáveis.
Estamos perante burlas que recorrem a dados pessoais verdadeiros para aumentar a credibilidade. Para os clientes, fica o alerta: mesmo mensagens que parecem legítimas podem esconder um golpe.
Leia também: Excluída falha técnica ou desvio de aves na queda de helicóptero no rio Douro
