Nas últimas semanas, tem-se multiplicado em Portugal um esquema de burla particularmente preocupante que afeta clientes da Caixa Geral de Depósitos (CGD). Trata-se de um caso de smishing, phishing através de SMS, mas com uma diferença que o torna ainda mais perigoso: em alguns casos, as mensagens fraudulentas incluem o número de conta à ordem verdadeiro do cliente. Este detalhe é suficiente para enganar até os mais atentos. Afinal, se o SMS contém dados que só o banco deveria conhecer, como desconfiar?
O que é o smishing?
O termo smishing junta as palavras “SMS” e “phishing”. É uma técnica usada por criminosos para enganar as vítimas, levando-as a clicar em links falsos que imitam sites legítimos de bancos, empresas ou instituições.
No caso da CGD, o objetivo é claro:
- Roubar as credenciais de acesso à Caixa Directa.
- Conseguir códigos de autenticação para movimentar dinheiro.
- Obter dados pessoais que podem ser usados em burlas futuras.
Normalmente, os smishing são relativamente fáceis de identificar: erros ortográficos, remetentes suspeitos ou links claramente estranhos. Mas este novo ataque vai muito além disso.
O que torna este ataque da SMS da CGD diferente
Os SMS fraudulentos aparecem no mesmo histórico de mensagens oficiais da CGD. Isso acontece porque os criminosos conseguem forjar o remetente para que surja apenas “CGD” no ecrã. Até aqui, nada de novo.
O problema é que, em alguns casos, o SMS falso contém também o número de conta à ordem verdadeiro do cliente.
Isto significa que os burlões não estão apenas a enviar mensagens em massa. Eles têm acesso a bases de dados com informação real dos utilizadores.
A consequência é óbvia: o grau de credibilidade aumenta brutalmente. Muitos clientes, ao verem o seu próprio número de conta na mensagem, assumem tratar-se de uma comunicação legítima do banco.
Como podem ter obtido estes dados?
Não há indícios de que a CGD tenha sofrido uma fuga de informação. A explicação mais plausível é outra:
Bases de dados de terceiros: comerciantes, serviços de subscrição, ginásios ou até plataformas online que pedem IBAN + número de telemóvel para débitos diretos podem ter sido alvo de ataques.
Recolha em massa: uma vez expostos, estes dados podem ter sido vendidos em fóruns ilegais.
Cruzamento de informação: os criminosos juntam IBAN, telemóvel e nome e usam-nos para personalizar ataques.
Ou seja, mesmo que nunca tenhas partilhado diretamente o teu IBAN com estranhos, um simples serviço ao qual aderiste pode ter sido comprometido.
Porque este golpe é tão perigoso
Credibilidade máxima: ao incluir dados reais (número de conta), o SMS parece legítimo.
Mistura com mensagens oficiais: como surge no mesmo histórico da CGD, é quase impossível distinguir de imediato.
Urgência emocional: a mensagem fala em “débitos suspeitos” e pede confirmação imediata, levando a vítima a agir sem pensar.
Acesso direto: quem clicar no link vai para uma página falsa, mas idêntica à da CGD, onde introduz dados de login.
Em segundos, os criminosos ficam com o utilizador, a palavra-passe e até os códigos de autenticação, podendo movimentar a conta.
Exemplos reais
Um dos SMS falsos recentemente reportados dizia:
“Estimado/a, identificamos débitos suspeitos na sua conta à ordem XXXXXXXX. Solicitamos que se verifique: [link fraudulento]”
Note-se que o campo “XXXXX” correspondia ao número de conta verdadeiro da vítima.
Este detalhe faz com que a maioria das pessoas baixe a guarda. Afinal, como poderia um burlão saber o número exato da conta se não fosse mesmo o banco?
Como se proteger
Para evitar cair neste esquema, siga estas recomendações:
Nunca clique em links recebidos por SMS. Mesmo que apareçam no histórico da CGD, aceda sempre pela app oficial ou site (www.cgd.pt).
Confirme o remetente. O banco nunca envia links externos para validar acessos.
Ative notificações de movimentos. Assim, é alertado em tempo real caso haja algum débito estranho.
Entretanto reporte sempre. Se receber uma destas mensagens, contacte de imediato a CGD através do número oficial (217 900 790).
Reforce a segurança digital. Utilize autenticação forte, mantenha o telemóvel atualizado e evite partilhar o seu IBAN desnecessariamente.
O caso do smishing da CGD com números de conta reais mostra como os ataques digitais estão a tornar-se cada vez mais sofisticados. Já não se trata apenas de mensagens mal traduzidas ou links óbvios. Estamos perante burlas que usam informação pessoal verdadeira para ganhar credibilidade.
