2021/02/01

SMS de vacinação Covid-19 facilmente falsificado

O coordenador do plano de vacinação para a Covid-19 anunciou que o processo será comunicado através de SMS enviado do número 2424, aparentemente desconhecendo a facilidade com que um remetente de SMS pode ser falsificado.

Francisco Ramos, coordenador do plano de vacinação para a Covid-19 terá muito em que pensar nesta altura, entre garantir que as vacinas continuam a chegar, que são usadas sem desperdício, e que quem recebeu a primeira dose poderá receber a segunda dose a tempo e horas para garantir a eficácia da vacina. Talvez por isso não esteja informado quanto aos riscos de usar SMS para informar os cidadãos a respeito deste processo.

Anunciou que o processo de vacinação irá ser comunicado à população através de SMS enviados do número 2424, e que se trata do único número "fiável e fidedigno" para informação quanto à vacinação; algo que é uma receita para um potencial desastre.



Há mais de um ano referíamos os riscos de se utilizarem os SMS para os alertas da Protecção Civil, por poderem ser facilmente falsificados; e na prática isso expande-se a todo e qualquer SMS recebido, já que é extremamente fácil fazer o chamado "SMS Spoofing" para enviar uma mensagem com qualquer número de remetente à escolha. É isso que vai facilitando e promovendo todo o tipo de fraudes e campanhas de phishing espalhadas via SMS (que por esta altura já terão chegado, em maior ou menor volume, aos telemóveis de quase todos os portugueses) e que também se tornará num chamariz irresistível para que sejam lançadas campanhas fraudulentas que se façam passar por SMS do 2424.

Depois de muitos portugueses terem ouvido aquelas palavras de que os SMS do 2424 são fiáveis e fidedignos, o que acham que poderá acontecer se / quando alguém receber um SMS a dizer algo como "Foi seleccionado para receber a vacina Covid-19. Por favor introduza os seus dados pessoais no seguinte site para confirmar a presença no posto de vacinação mais próximo." ou "Para efeitos de garantir a comparência, faça o pagamento de um valor simbólico de €5 que lhe será devolvido após a vacinação"?


Resta ainda a possibilidade de efectivamente o senhor coordenador saber do que fala e existir de facto um procolo entre os operadores nacionais de telecomunicações para impedir que sejam enviados SMS com o remetente 2424 se não vierem da origem devidamente autenticada. Mas, se não o fizeram para os SMS da Protecção Civil, não sei se desta vez será diferente...

11 comentários:

  1. E há mais algum pormenor que queiram ensinar aos potenciais "brincalhões"?
    Não era melhor limitarem-se a transmitir estas informações à Proteção Civil?

    ResponderEliminar
    Respostas
    1. Este tema tem sido alertado há anos.

      Eliminar
    2. Os "brincalhões", como lhes chama, não precisam de ser ensinados pois fazem isto há anos.
      Quem decide é que pelos vistos não sabe.

      Eliminar
    3. Está malta está a ver-se grega para dar uma resposta decente à pandemia, que é das competências deles, e estão à espera que percebam de segurança de redes de telecomunicações?
      Certamente que algum acessor ligado às TIs terá sentido um pouco de cringe ao saber que isso foi dito, mas vá, foi com boa intenção "coitado". Tipo o Trump que ouvir dizer que os detergentes eram bons a eliminar o vírus e num devaneio egocentrista decidiu partilhar que estavam a pensar usá-lo, injetando no corpo por exemplo, para combater o vírus. :D

      Eliminar
    4. Ensinar? 30 segundos no Google abrem milhares de portas para potenciais brincalhões, censura não é opção.

      Eliminar
  2. Espero que haja alguém por trás que saiba o que está a fazer. Caso contrário vai dar asneira da grossa...

    ResponderEliminar
  3. O anúncio de mais um desastre evitável ... (esperemos que não)

    ResponderEliminar
  4. Este comentário foi removido pelo autor.

    ResponderEliminar
  5. Afinal, parece que pode ser seguro:
    https://tek.sapo.pt/noticias/telecomunicacoes/artigos/anacom-disponibiliza-numero-dedicado-exclusivamente-a-vacinacao-de-covid-19-para-envio-de-sms?

    ResponderEliminar
    Respostas
    1. Isso só diz que o nº foi atribuído, não impede que seja usado indevidamente por campanhas de fraudes e afins...

      Eliminar