Soube-se hoje (04.10.2024) que existiu um certo número de casos em que o IBAN associado a contas da Segurança Social Direta foi alterado sem o consentimento dos beneficiários. Esta situação, além de ser preocupante, deve ter levado a perdas financeiras para uma quantidade indeterminada de cidadãos.

Em resposta, a Segurança Social adoptou as seguintes medidas:
1. Bloqueio temporário em que foi suspensa a possibilidade de alterar o IBAN online, de forma a evitar novas ocorrências.
2. A partir de agora, qualquer alteração terá de ser feita presencialmente, com apresentação de comprovativo bancário.
3. A Segurança Social está a desenvolver novas formas de robustecer o sistema.

Recomendações da CpC aos utilizadores da Segurança Social Directa:
2. Entre no https://app.seg-social.pt/sso/login?service=https%3A%2F%2Fapp.seg-social.pt%2Fptss%2Fcaslogin e introduza uma nova password. Não reutilize a password com outra que usa algures mas gere uma password forte num gestor de passwords como o Bitwarden (gratuito e com protecção biométrica)
3. Se agora entrarmos o site pede a mudança da password:
Isto indica que houve comprometimento de credenciais em algumas contas (quantas? Segurança pela Obscuridade Não é Segurança…):
Tenhamos em conta que o username é o nº de segurança social que não sendo um valor público é tão “confidencial” como o NIF (usado pelo AforroNet como uma forma de “autenticação”)
Regras de construção de palavra-passe agora implementadas:
mínimo 13 caracteres e máximo 30 caracteres
minúsculas
maiúsculas
algarismos
caracteres especiais
(nota o AforroNet suporta entre 8 a 12 caracteres)
4. Utilize o serviço disponibilizado pela Segurança Social para verificar se o IBAN associado à sua conta está correcto: Aceda a https://app.seg-social.pt/ptss/ci/gestao-bancaria?frawmenu=1&dswid=-1 e verifique se o IBAN é mesmo o seu.
5. Não forneça dados pessoais ou bancários a estranhos, mesmo que pareçam ser entidades oficiais: Esteja particularmente atento a SMS que alegam ser da Segurança Social Directa.
6. Mantenha o seu computador e dispositivos móveis actualizados com os últimos patches de segurança e utilize um bom antivírus (comercial).
7. Caso detecte alguma actividade suspeita na sua conta (ao entrar marque a opção “Avise-me quando entrar noutros serviços relacionados com a Segurança Social” e contacte imediatamente as autoridades (PSP, GNR ou Polícia Judiciária) e a própria Segurança Social.
8. Sempre que possível use (neste e noutros serviços públicos) o acesso via Chave Móvel Digital.

Propostas da CpC à Segurança Social Directa:
1. Realizar uma campanha de sensibilização junto da população, alertando para os riscos associados a este tipo de fraude e fornecendo dicas de como se proteger.
2. Lance uma acção formativa no próprio site e com avaliação obrigatória a todos os utilizadores do sistema.
3. Aumente a colaboração com os bancos para identificar e prevenir este tipo de fraudes.
4. Em cada acesso ao site implemente um sistema de autenticação por múltiplo factor através do uso de uma aplicação de autenticação como o Google Authenticator ou o Microsoft Authenticator. (na activação da conta o site já usa um sistema por email ou por SMS.
5. A cada acesso ao site envie por email um alerta indicando o dia, hora, local e dispositivo usado no acesso.
6. Usar um username que não seja o número de Segurança Social (que está disponível em várias bases de dados na Darkweb)

A situação é preocupante, mas a Segurança Social está a tomar medidas para proteger os cidadãos. É importante que todos estejamos atentos e sigamos as recomendações para evitar sermos vítimas deste tipo de fraude.
A segurança dos nossos dados é uma responsabilidade de todos: a começar por si!

Nota:
É intrigante e certamente desnecessário que o site da Segurança Social Directa tenha um tracking cookie para o Youtube:
“Privacy Badger (privacybadger.org) is a browser extension that automatically learns to block invisible trackers. Privacy Badger is made by the Electronic Frontier Foundation, a nonprofit that fights for your rights online.
Privacy Badger blocked 1 potential trackers on app.seg-social.pt:
www.youtube.com“