O esquema começa com um texto que avisa as vítimas de atividade suspeita na sua conta. O objetivo é obter os dados de acesso dos utilizadores.
Novo ano, novos esquemas. Não é isto que costumamos dizer, mas pode ser uma nova tendência, tendo em conta todas as burlas novas que vão surgindo. A ESET, empresa de cibersegurança, acaba de informar que está a circular uma nova campanha de phishing através de SMS que tem em vista a obtenção de credenciais de acesso a contas de PayPal.
A campanha consiste em mensagens via SMS que simulam serem enviadas pelo PayPal e que “informam” as potenciais vítimas de que as suas contas foram “permanentemente limitadas” devido a atividade suspeita, razão pela qual deverão verificar a sua identidade, seguindo o link enviado nesse SMS.
À primeira vista, este é o tipo de mensagem que não parece ser imediatamente suspeita, uma vez que o PayPal impõe efetivamente limites ao envio e levantamento de dinheiro. E isto é feito sempre que existe uma suspeita de que a conta possa ter sido acedida por terceiros sem autorização, quando sejam detetadas “atividades de alto risco” na conta ou quando um utilizador viola a chamada Política de Utilização Aceitável (AUP – Acceptable Use Policy).
Contudo, neste caso, trata-se efetivamente de uma campanha de phishing baseada em SMS, também conhecida por smishing. E, quando clicamos no link incluído na mensagem, somos redirecionados para uma página de login falsa que irá requerer a introdução das nossas credenciais de utilizador do PayPal.
Mas como já vos avisámos vezes sem conta, devem sempre analisar os links enviados. Neste caso, não faz qualquer sentido existir uma hiperligação pyplvryzs.com. Nem sequer dá para entender do que se trata ao certo. Logo, é fraude.
Caso caiam na esparrela, as credenciais serão imediatamente enviadas para o autor do ciberataque, ao mesmo tempo que, na mesma página, haverá a tentativa de obter dados pessoais adicionais, tais como o nome completo, a data de nascimento e, até, detalhes da conta bancária.
Se se deixarem enganar, os dados obtidos pelos atacantes poderão ser usados para compras fraudulentas, fraude bancária ou até roubo de identidade. Os dados poderão também ser compilados em listas valiosas que são depois vendidas a outros cibercriminosos em lojas na dark web.
E há mais. Caso utilizem as mesmas credenciais para aceder a outros serviços online, como tantas vezes acontece, os cibercriminosos poderão usar os dados obtidos para obterem acesso a outros contas, incluindo banca online, redes sociais e contas de email.
De forma a evitarem este tipo de ataques, devem, primeiro que tudo, ter sempre em atenção qualquer mensagem que contenha um link. Em caso de dúvida, contactem diretamente a entidade que supostamente enviou a mensagem, pois conseguirão determinar se é, de facto, legítima, ou se, pelo contrário, se trata de uma tentativa de roubo de dados pessoais.
Devem, também, ativar métodos de autenticação de dois fatores (os quais requerem o envio de um código temporário além da combinação de nome de utilizador e password). De forma a não “reciclar” dados de acesso entre diferentes serviços, deverão ainda considerar a utilização de uma aplicação de gestão de passwords.
