Phishing - BCI

Acções De Phishing

Os clientes do BCI poderão receber emails que não são enviados pelo BCI, simulando que o são, e que pretendem recolher dados pessoais e confidenciais para posterior utilização fraudulenta. Estes emails enquadram-se em acções criminosas designadas por Phishing que têm sido dirigidas a clientes de várias instituições financeiras em Moçambique e no estrangeiro.

Apesar de, até ao momento, as acções desencadeadas terem conseguido evitar qualquer prejuízo aos Clientes do BCI, alertamos todos os Clientes e em especial os utilizadores do serviço daki via internet (eBanking) para a necessidade de se manterem particularmente atentos à detecção e prevenção deste tipo de fraude

O Que É O Phishing

Phishingé um tipo de acção fraudulenta que recorre ao uso de mensagens de email que aparentam ter origem no banco, mas que efectivamente provêm de impostores.

O golpe de phishing (também conhecido como phishing scam, ou apenas scam) é realizado através da criação de um website falso e/ou do envio de uma mensagem electrónica falsa, geralmente um e-mail ou recado através de scrapbooks, entre outros exemplos. Utilizando de pretextos falsos, tenta enganar o receptor da mensagem e induzi-lo a fornecer informações sensíveis (números de cartões de crédito, senhas, dados de contas bancárias, entre outras).

Tipicamente estes emails induzem o receptor a utilizar um link para uma página web onde é levado a introduzir ou confirmar informação sensível, como por exemplo, códigos de acesso a serviços de eBanking, cartões de crédito e débito, dados sobre contas bancárias, números de cartões de crédito, etc. Apesar destes web sites terem uma aparência legítima (logos, páginas e navegação), efectivamente não o são. O cliente deve prestar sempre atenção ao link no qual se encontra, tendo em conta que os BCI são:“https://www.bci.co.mz”,“https://empresas.bci.co.mz” e “https://particulares.bci.co.mz”. Não são usados outros domínios ou endereços que não seja o acima indicado.

Tipos De Mensagens Electrónica Utilizadas

E-mail
Um estelionatário envia e-mails falsos forjando a identidade de entidades populares consideradas confiáveis, tais como sítios de entretenimento, bancos, empresas de cartão de crédito, lojas, órgãos governamentais, etc.

Geralmente, as mensagens são enviadas para milhões de endereços de e-mail que foram previamente colectados na Internet. A entrega dos e-mails, normalmente, é feita por computadores que estão sob o controle de pessoas mal intencionadas e incluem principalmente servidores web mal configurados e computadores com conexão banda larga infectados com cavalos de Tróia (trojans) propositadamente desenvolvidos para permitir o envio de e-mail em massa (spam).

Roubo de identidade
Uma técnica popular é o roubo de identidade via e-mail. Estelionatários enviam e-mails tentando persuadir os receptores a fornecer dados pessoais sensíveis, tais como nome completo, endereço, nome da mãe, número da segurança social, cartões de crédito, números de conta bancária, entre outros. Se captados, esses dados podem ser usados para obter vantagens financeiras.

A identidade usada nessas mensagens, geralmente, é de órgãos governamentais, bancos e empresas de cartão de crédito. No corpo da mensagem, normalmente, existem ligações que apontam para sítios falsos, normalmente muito parecidos com os sítios verdadeiros, onde existem formulários que a vítima deve preencher com as informações solicitadas. O conteúdo preenchido no formulário é enviado ao estelionatário.

Roubo de informações bancárias
A forma de persuasão é semelhante à do roubo de identidade, porém a mensagem recebida contém ligações que apontam para sítios que contém programas de computador que, se instalados, podem permitir a captura de informações, principalmente números de conta e senhas bancárias. A instalação desses programas é, na maioria absoluta dos casos, feita manualmente pelo usuário. Tecnicamente, pode existir a possibilidade da instalação automática desses programas apenas pela leitura da mensagem, mas isso depende de uma combinação de muitos factores, que raramente acontece (e que não vale a pena ser explicada aqui).

O phishing via e-mail não vem apenas com o nome de entidades famosas. São usados diversos tipos de assuntos com o intuito de atrair a curiosidade e fazer com que o receptor da mensagem clique na ligação contida junto ao corpo do e-mail. Na figura ao lado uma suposta admiradora secreta envia supostas fotos suas. Na verdade, a ligação não contém fotos, mas sim um arquivo executável, que ao ser baixado e executado instala um cavalo de Tróia (trojan) bancário no computador do usuário.

Outro tema muito comum são os cartões virtuais. Eles são um bom chamariz, visto que é comum as pessoas trocarem cartões virtuais via e-mail. Os supostos cartões virtuais, normalmente, têm a sua identidade associada a de algum sítio popular de cartões virtuais. Isso ajuda a tentativa de legitimar o golpe e tenta dar mais credibilidade à farsa. A mensagem tem o mesmo formato e, geralmente, utiliza as imagens originais dos sítios de cartões virtuais. Um detalhe em que o usuário deve prestar a atenção são os erros de gramática que essas mensagens geralmente apresentam.

Outro detalhe fundamental é que ao clicar em ligações contidas nessas mensagens quase sempre é aberta uma janela para download de arquivo. Nenhum site sério de cartões requer que o usuário baixe qualquer arquivo!

Como Detectar Um Phishing

Existem alguns sinais de suspeita a que deverá estar atento:

Linguagem e tom da mensagem
Na maioria das vezes a mensagem fraudulenta apela a uma acção urgente, a pretexto de risco de inibição do acesso às contas. Poderá dizer que se não actualizar, introduzir ou confirmar os seus dados, o acesso ao serviço daki via internet (eBanking) será suspenso.

É também frequente encontrar
… erros grosseiros ou expressões pouco comuns na redacção destes emails, que facilmente excluem a hipótese de se estar perante uma comunicação autêntica do BCI.

Pedido de dados pessoais.
Tipicamente estes emails pretendem a recolha de dados pessoais e confidenciais, tais como números de contas, de cartões de débito e de crédito e códigos de acesso ao serviço daki via internet (eBanking).

Páginas não seguras.
Nos casos mais sofisticados o falso web site pode parecer muito semelhante ao autêntico, incluindo o endereço web (URL) que aparece na janela do browser. Deverá, no entanto, suspeitar do pedido de dados confidenciais através de páginas não seguras (as páginas seguras apresentam um símbolo «cadeado» na barra inferior da janela do browser).

Como Evitar Tornar-Se Vítima De Phishing?

SuOs clientes do BCI poderão receber emails que não são enviados pelo BCI, simulando que o são, e que pretendem recolher dados pessoais e confidenciais para posterior utilização fraudulenta. Estes emails enquadram-se em acções criminosas designadas por Phishing que têm sido dirigidas a clientes de várias instituições financeiras em Moçambique e no estrangeiro.

Suspeite de e-mails com ofertas de qualquer actividade com pouca ocupação de tempo e lucros fáceis e rápidos.

Mesmo que não envolvam solicitações de dados de acesso ao eBanking o objectivo consiste em poder transferir dinheiro, através da sua conta, de modo fraudulento.

Nunca dê os seus números de conta a desconhecidos.
Se tiver créditos nas suas contas cuja proveniência desconheça, contacte qualquer agência do BCI.
Nunca transfira dinheiro, por qualquer meio, para um destinatáue não conheça.

Aprenda Como Detectar os e-Mail Phishing e as Páginas de e-Banking Fraudulentas

Veja aqui alguns exemplos recentes de Phishing

Que Fazer em Caso de Ser Vítima de Phishing?

Contacte-nos imediatamente através dos contactos:

800 224 224

Linha Gratuita

+258 21 224 224

Chamadas internacionais

Faladaki@bci.co.mz

Atendimento 24h todos os dias

Voltar ao Topo

Daki ligamos

Segurança