Ir para conteúdo

Alerta CERT.PT: Campanhas de engenharia social

21 Ago 2023

Alerta CERT.PT: Campanhas de engenharia social

Alerta CNCS, Sensibilização, Administração Pública , Cidadão, Organizações, Profissionais TI

O CERT.PT tem registado diversas campanhas de engenharia social, através do envio de emails, que visam a alteração de dados bancários relacionados com pagamentos correntes de várias entidades.

Estes emails são — ou aparentam ser — enviados de contas de correio eletrónico conhecidas dos destinatários (como fornecedores de produtos e serviços mais habituais), surgindo, por vezes, como resposta a conversas anteriores. Nalguns casos são apresentados ficheiros comprovativos de alteração de contas bancárias.

Caso receba um email a solicitar a alteração de dados bancários:

  • Confirme se o endereço coincide com o remetente com o qual normalmente contacta ou se corresponde, efetivamente, à entidade anunciada;
  • Não realize operações bancárias solicitadas por email, nem altere dados bancários, sem antes verificar através de outros canais a veracidade do pedido, confirmando (por exemplo, telefonicamente) se realmente está a ser solicitado esse procedimento (nota: não utilizar o contacto telefónico mencionado no conteúdo do email, mas sim o contacto habitualmente utilizado da entidade ou pessoa);
  • Aplique a mesma regra caso lhe solicitem dados sensíveis e/ou pessoais (por exemplo, a palavra-passe de uma conta). Por regra, evite partilhar estes dados através de email ou colocá-los em plataformas partilhadas em links de emails não verificados por si.
  • Desconfie de emails com erros formais de linguagem, mas também não confie em todos os emails, apenas porque não apresentam estes erros;
  • Não clique nos links ou nos anexos existentes em emails suspeitos;
  • Denuncie junto dos responsáveis de segurança informática da organização ou junto das autoridades competentes, sempre que é alvo ou vítima de um email suspeito;
  • Aplique estas regras também aos contactos telefónicos, aos SMS e às mensagens instantâneas.

Por último, notificar o CERT.PT (cert@cert.pt) ou através do formulário, caso recebam emails deste género para que possamos registar a evolução da campanha e indicar as medidas de mitigação a adotar.

Saiba mais sobre boas práticas contra o Phishing, o Smishing e o Vishing.

Última atualização em 08-09-2022