Há vários anos que temos alertado para o perigo dos serviços oficiais usarem SMS com sender IDs que podem ser facilmente falsificados. Fizemo-lo em 2019 a propósito dos SMS da Protecção Civil, e também este ano a propósito dos SMS de vacinação Covid-19.
Felizmente, após estes alertas, a Protecção Civil passou a usar um sender ID protegido, que impede a sua utilização por entidades "falsas"; mas o problema persiste para todas as outras designações, incluindo o nome CMD usado pelas mensagens da Chave Móvel Digital.
A @ama_gov_pt e @CNCSgovpt devem contactar as operadoras (cc @VodafonePT @MEOpt ) para bloquearem SMS com o senderID CMD tal como estão a fazer com o senderId AvisosPROCIV https://t.co/8LekmspOvV
— Tomahock (@tomahock) December 14, 2021
No caso acima temos um exemplo facilmente detectável, de uma mensagem fraudulenta que se faz passar pela DHL para tentar convencer a vítima a pagar pela entrega; mas facilmente se pode imaginar o caos se se tratassem de mensagens melhor concebidas para se camuflarem de acordo com o sender ID em questão, incluindo o muito sério risco de direccionarem um processo de login e autenticação da Chave Móvel Digital para um site fraudulento.
Há muitos anos que os especialistas de segurança alertam para que não se utilizem os SMS para qualquer efeito de segurança - talvez esteja na altura de começar a ouvi-los antes que se assista a um mega-ataque de grandes proporções por esta via.
e a NOS porque também não deve ser contactada?
ResponderEliminarJá agora devem bloquear os senders id "Order" e "Verify". É fraude de certeza absoluta.
Impossível semelhante assunto nunca ter sido referido nas reuniões de gestão da ANACOM...
ResponderEliminar🤔🤔🤔
Alguém têm de fazer algo para os deter, seja aqui ou seja no estrangeiro. Não esquecer que eles usam o telemóvel dos seus países aqui, ou usam telefones generados online para fazer chamadas grátis aqui no nosso país. Tudo agora é possível, até com apps para receber e atender chamadas sem pagar nada por isso.
ResponderEliminar