Aviso de Reembolso? Nova fraude usa nome da Autoridade Tributária

Numa altura em que se inicia a entrega da declaração de IRS, a Autoridade Tributária e Aduaneira lançou um novo alerta de segurança relativo a uma mensagem de correio de eletrónico enviado a diversos contribuintes em nome daquele organismo governamental. No email refere-se que, o contribuinte terá direito a um eventual reembolso de cerca de duzentos e cinquenta euros.  

O email é falso, tratando-se, aliás, de uma tentativa de phishing, uma técnica de ciberataque em que os ciberatacantes se fazem passar por entidades conhecidas da vítima com o objetivo de obter acesso a dados privados. Neste artigo, analisamos à lupa o conteúdo do email divulgado pela Autoridade Tributária e, explicamos como pode identificar e agir perante uma possível fraude. 

Créditos: Adobe Stock 

Anualmente são vários os alertas de segurança que a Autoridade Tributária (AT) emite, com o intuito de alertar para conteúdos fraudulentos remetidos aos contribuintes em nome daquela entidade. O último, o terceiro desde o início do ano, publicado na última semana no Portal, dá conta da circulação de uma mensagem de correio eletrónico referente a um suposto reembolso de cerca de duzentos e cinquenta euros (250,20€), que será efetivado após o preenchimento de um formulário, para tal, os atacantes solicitam ao destinatário que carregue numa hiperligação, conforme a imagem abaixo. 

Imagem 1: Exemplar de email fraudulento remetido aos contribuintes

1. Conteúdo do email à lupa: Comunicações Fraudulentas vs Comunicações Oficiais 

Embora pareça uma comunicação fidedigna, existem vários aspetos que nos conduzem a concluir o contrário. Atente nos detalhes: 

• Remetente: <mail8F1F2D05-B3BB-2832-8B62AF609F034FC7@aloja.com> 

• Linguagem utilizada: “Estimado cliente”; “você”; “seu reembolso”. 

• Ausência de dados de identificação do contribuinte: nome e número de identificação fiscal (NIF).   

Repare agora na aparência e conteúdo do corpo de email das comunicações oficiais da AT. Utilizando os mesmos critérios: 

Imagem 2: Exemplar de email oficial remetido aos contribuintes 

• Remetente: <info@at.gov.pt> 

• Linguagem utilizada: “Caro(a) Contribuinte”; “o seu pedido de informação”; “Com os melhores cumprimentos Autoridade Tributária e Aduaneira”. 

• Presença dos dados de identificação do contribuinte: Nome e Número de Identificação Fiscal (NIF).
  

2. Phishing: o que é, como detetar e agir

Apesar de não ser um fenómeno novo, já que o termo foi cunhado na década de 80 por Jerry Felix e Chris Hauck, o phishing é uma das técnicas mais utilizadas de ciberataque. Em Portugal, segundo dados estatísticos do Centro Nacional de Cibersegurança (CNCS) entre 2016 e 2022 foram identificados 2807 incidentes deste tipo.  

• O que é? 

O phishing como o próprio nome indica significa “pescar”, ou seja, os atacantes lançam o “isco” à vítima fazendo-se passar por entidades que habitualmente esta última conhece e nas quais confia totalmente, - bancos, instituições públicas, correios, entre outras – com o objetivo de obter acesso a credenciais pessoais, logo, às respetivas contas. Embora este tipo de ataque seja disseminado primordialmente por meio de mensagens de correio eletrónico, são também utilizadas técnicas como o vishing (chamadas telefónicas) ou o smishing (mensagens SMS).  

• Como detetar? 

Não há crimes perfeitos, certo? Habitualmente os hackers cometem erros simples que podem facilmente ser detetados, mas nem sempre é assim. Saber identificar os sinais de um email fraudulento é por isso um “passo de gigante” na proteção dos dados e infraestruturas da potencial vítima.  

Eis algumas dicas que julgamos essenciais na deteção deste tipo de ameaça:  

a) Verifique sempre o remetente da mensagem 

O primeiro passo para detetar um email de phishing é examinar o endereço de correio eletrónico que remeteu a mensagem. De um modo geral, os atacantes utilizam 3 métodos distintos para camuflar a sua verdadeira identidade. 

Num primeiro caso, o email é enviado através de um provedor genérico como Gmail, Hotmail, Outlook ou Yahoo!, o que torna a deteção bastante mais simplificada.  

Imagem 3: Exemplar de email fraudulento remetido por provedor genérico 

No segundo, a mensagem é enviada de um domínio registado que não coincide com o da empresa que alegadamente está a comunicar com o destinatário. 

Imagem 4: Exemplar de email fraudulento remetido por domínio registado 

Já no terceiro e último caso, a comunicação é enviada de um domínio perfeitamente legitimo, sem que, contudo, o conteúdo da mesma seja coerente com a correspondência habitual daquela entidade.  

Imagem 5: Exemplar de email fraudulento remetido por domínio registado

Em todos os casos acima, ou seja, quer nos casos de endereços de email criados nos provedores convencionais, quer naqueles que apesar de aparentarem ser fidedignos, a existência de carateres aleatórios deve ser motivo de suspeita.  

Imagem 6: Exemplar de email fraudulento com carateres aleatórios 

b) Avalie a saudação e o tom utilizado no email  

Regra geral, os emails de phishing utilizam saudações genéricas como “Prezado Cliente” ou “Estimado Cliente” ao invés do nome do destinatário. Por outro lado, o tipo de linguagem utilizado apela tendencialmente a uma ação rápida através de alegações como “a sua conta está bloqueada” ou “ganhou um prémio”.  

Empresas ou entidades fidedignas com as quais mantém uma relação institucional não só são conhecedoras dos seus dados pessoais, como evitam linguagem que apele à urgência.  

Imagem 7: Exemplar de email fraudulento com linguagem informal

c) Examine as hiperligações antes de clicar 

Por norma, as hiperligações (links) presentes em emails de pshisng parecem legítimas, contudo, podem conduzir para páginas onde as informações privadas do destinatário são roubadas. Neste sentido, antes de clicar em qualquer link, passe o cursor sobre ele e observe se é condizente com a entidade que alegadamente lhe está a enviar email.

Imagem 8: Exemplar de email fraudulento com redireccionamento para página maliciosa 

d) Evite abrir ou fazer download de anexos 

Frequentemente, os emails de phishing incluem ficheiros anexados - arquivos como “.pdf”; “.docx”; “.xlsx”; “.pptx” ou “.exe”. Estes habitualmente são apenas a “máscara” utilizada para esconder um ficheiro malicioso, que após clique fará correr no sistema um malware tipo “Trojan” ou “Cavalo de Tróia”. 

Assim, se não conhece o remetente, ou o documento em anexo não foi requerido ou não é parte da comunicação institucional entre si e a entidade em causa, pode estar a ser alvo de uma tentativa de phishing, pelo que, não deve abrir ou fazer download do documento em causa. 

e) Verifique a existência de erros ortográficos e gramaticais 

A ausência de rigor, a existência de erros ortográficos ou de coesão frásica, deve ser um fator de desconfiança. Deste modo, sempre que detete erros ortográficos, falta de coerência na sintaxe de frases ou expressões não habituais no assunto ou corpo do email, são indicadores de que o texto poderá ter sido automaticamente traduzido. 

Empresas ou organismos governamentais tendem a ter um especial cuidado na redação dos textos remetidos, pelo que, é pouco comum a deteção de erros ortográficos ou gramaticais nas comunicações enviadas. 

f) Utilize o Dr. Google 

Se o conteúdo recebido parecer suspeito, o melhor é abrir o Dr. Google e pesquisar partes do texto endereçado. Se estiver perante um esquema conhecido, é provável que encontre alertas de outras pessoas que também receberam a mesma ou uma comunicação semelhante. 

g) Contacte sempre a entidade em causa 

Caso receba um email de uma empresa ou organismo governamental, mas suspeite da sua veracidade, verifique se os detalhes de contacto que lhe são apresentados são iguais aos que lhe são fornecidos no website das entidades. Se mesmo assim não estiver confiante, entre em contacto ou dirija-se pessoalmente à instituição em questão e confirme se o contacto foi de facto realizado por esta. 

Lembre-se: nunca utilize os números, endereços de correio eletrónico ou outros dados de contacto fornecidos no email, já que, muito provavelmente serão falsos. 

h) Esteja atento à solicitação de informação sensível 

É comum os atacantes solicitarem informações pessoais, como passwords, números de cartão de crédito ou dados relativos a contas bancárias. Sempre que lhe for pedida cedência de alguma destas informações, desconfie e entre em contacto com a empresa ou organismo público que alegadamente está a enviar-lhe email, de modo a confirmar a veracidade do pedido. 

Lembre-se: empresas ou instituições legitimas nunca solicitam este tipo de informação por email, SMS, WhatsApp, outras mensagens escritas ou por chamada telefónica. 

i) Não responda ou reencaminhe um email que considere fraudulento 

Sempre que suspeitar que a mensagem de correio eletrónico recebido possa ser fraudulenta, não responda ou reencaminhe o mesmo, uma vez que, ao fazê-lo estará indiretamente a tornar o remetente credível para o algoritmo do servidor de email, o que em última instância resultará em mais spam.  

j) Verifique se o logótipo é fidedigno 

Geralmente, de modo a aumentar a probabilidade de sucesso, os hackers tendem a utilizar os logótipos das entidades pelas quais se fazem passar, sem que, contudo, tenham o cuidado de fazer o download e aplicação correta da identidade corporativa no email. Ou seja, numa mensagem fraudulenta a imagem utilizada tende a ter uma proporção errada ou ser de baixa resolução. 

Deste modo, se não conseguir visualizar corretamente o logótipo, isto é, se os elementos que o compõem são pouco nítidos quer pela dimensão da imagem quer pela sua focagem, então é provável que seja uma mensagem de phishing. 

• Como agir? 

Se desconfia ter sido vítima de phishing, existem evidências que podem indicar que realmente mordeu o isco. Em seguida apresentamos alguns sinais de que o ataque pode ter sido bem-sucedido: 

• Movimentações anormais na sua conta bancária; 

• Bloqueio das contas bancárias ou dos acessos ao homebanking; 

• Pedidos de redefinição de passwords não solicitados; 

• Spam vindo da sua conta de email; 

• Roubo de identidade. 

Após esta verificação, se os requisitos acima descritos forem total ou parcialmente preenchidos, mantenha a calma e execute os seguintes passos: 

• Entre em contacto com a entidade envolvida de modo a alertar para o sucedido. Assim, esta poderá tomar medidas não só para sanar a sua situação como também para evitar futuras ameaças. 

• Altere a password da conta que terá sido comprometida, bem como, de todas as suas contas que possam a mesma senha de acesso ou semelhantes à roubada pelo hacker; 

• Desconecte os seus dispositivos da internet, isto porque, em alguns casos o ataque é executado em associação com a disseminação de malware; 

• Utilize um software antivírus para rastrear a presença de ficheiros maliciosos. Embora este pareça um passo insignificante, é essencial para garantir a segurança e privacidade dos seus dispositivos, evitando de igual modo a ocorrência de situações idênticas no futuro; 

• Participe a ocorrência às autoridades: PSP, GNR ou ao Ministério Público.