A Polícia de Segurança Pública (PSP) emitiu um novo alerta, no site oficial e redes sociais, sobre uma fraude que tem vindo a propagar-se através do WhatsApp, rede social utilizada por milhares de portugueses. A mensagem chega de um número desconhecido e promete uma atualização da aplicação, mas o verdadeiro objetivo é roubar dados bancários e informações pessoais dos utilizadores.
De acordo com as autoridades, a mensagem surge com o texto “Você recebeu uma mensagem, mas a sua versão do WhatsApp não é compatível”, acompanhado de um link que sugere “atualizar o WhatsApp”.
À primeira vista, o aviso parece legítimo, mas ao clicar no link, a vítima é redirecionada para uma página maliciosa. Nessa página, os criminosos instalam programas que permitem aceder ao dispositivo, recolher dados pessoais e até realizar operações bancárias em nome do utilizador.
Como atua a fraude
O esquema utiliza ficheiros SVG (Scalable Vector Graphics), um formato habitualmente usado para imagens vetoriais, mas que, por ser baseado em código, pode conter elementos como HTML ou JavaScript.
Isso permite que estes anexos aparentem ser simples imagens, quando na verdade funcionam como programas capazes de executar ações perigosas.
Entre os métodos identificados estão anexos SVG disfarçados de folhas de Excel com formulários de login. Assim que o utilizador introduz as suas credenciais e envia o formulário, os dados seguem diretamente para os cibercriminosos.
Há também ficheiros que simulam pedidos de download e, ao serem abertos, instalam malware, ou ainda aqueles que redirecionam automaticamente para páginas de phishing concebidas para roubar informações sensíveis.
Conselhos para evitar o risco
Para reduzir a probabilidade de ser vítima deste tipo de fraude, a PSP recomenda manter o sistema operativo e as aplicações sempre atualizadas, utilizar antivírus com proteção ativa contra malware e evitar efetuar operações bancárias em redes Wi-Fi públicas.
É igualmente importante verificar se os sites visitados utilizam o protocolo seguro “https” e nunca clicar em links ou anexos provenientes de remetentes desconhecidos.
Segundo a mesma fonte, é também aconselhável ativar a autenticação de dois fatores em todas as contas digitais e alterar a palavra-passe padrão do router doméstico, substituindo-a por uma mais forte e exclusiva.
A PSP volta a reforçar que, em caso de dúvida, os utilizadores devem apagar imediatamente a mensagem e reportar o incidente às autoridades competentes.
