Está activo em Portugal um Scam em que está a ser enviado em grande quantidade uma mensagem de SMS onde se avisa o receptor para uma encomenda que este tem que desalfandegar. Se o receptor estiver – de facto – à espera de uma encomenda as possibilidades de acreditar no SMS e clicar no URL na mensagem são elevadas e embora não se conheçam ainda casos concretos é altamente provável que já existam vítimas com danos financeiros.

Esta mensagem é falsa – com indiciam os erros de português e, sobretudo, o endereço do domain que termina em .app (algo que não é usado por praticamente nenhuma empresa legítima em Portugal). Quem clicar no URL recebe um pedido de um pagamento por Visa ou por referência Multibanco fraudulenta.

O grande factor que credibiliza e faz cair tantas vítimas neste logro é a confiança que hoje em dia os portugueses têm no sistema de SMS e na informação da origem das mensagens: algo que vem dos “CTTEXPRESSO” e que, ainda por cima, surge encadeado noutros SMSs que se sabem serem legítimos induz à confiança e faz com que os receptores cliquem no URL enviado no SMS cedendo os seus dados ou fazendo transferências das verbas requeridas.

Este Scam explora aquilo que já abordámos em https://cidadaospelaciberseguranca.com/2023/11/19/tacticas-de-fraude-cibernetica-em-portugal-a-campanha-cgd-de-outubro-chamadas-de-alerta-e-medidas-preventivas/ (com propostas de solução) e porque, em Portugal, os “senders” não passam por nenhum processo de validação ou verificação de origem. É fácil enviar um SMS com a descrição que quisermos e tal não tem – nem sequer – consequências legais quanto mais técnicas…

Variantes deste esquema decorrem agora em Portugal com SMSs falsos da CGD e do Cartão Universo.

O que deve fazer:
1. Não confie no sender de um SMS: verifique sempre antes – noutra forma . de tomar qualquer acção.
2. Contacte a empresa (CGD, CTT, etc) e peça-lhes para pararem de enviar SMSs com URLs.
3. Desconfie de mail SMS com erros de português: Por norma as grandes empresas não os cometem no envio de SMS em bulk ou nos que são personalizados.

O que devia ser feito:
1. As empresas deviam parar de enviar SMS com URLs
2. Os operadores não deviam aceitar a comercialização de pacotes de envios de SMS em que é possível alterar a descrição da origem dos SMSs.
3. As propostas em https://cidadaospelaciberseguranca.com/2023/11/19/tacticas-de-fraude-cibernetica-em-portugal-a-campanha-cgd-de-outubro-chamadas-de-alerta-e-medidas-preventivas/ deviam ser implementadas.
4. Em particular, a ANACOM devia ser mais lesta na “proposta de projeto de regulamento o qual será objeto de consulta pública de acordo com o procedimento legalmente estabelecido para o efeito, e terá em linha de conta as boas práticas e as normas adotadas por organizações nacionais, da União Europeia ou internacionais” e o Parlamento nas medidas legislativas que se impõem para travar este tipo de burla.