O ActivoBank está a notificar os seus clientes sobre uma potencial falha de segurança que permitiu a terceiros mal-intencionados obterem o IBAN completo de contas bancárias, utilizando apenas o número de telemóvel associado às mesmas. A vulnerabilidade está relacionada com o sistema SPIN, implementado em 2024.
O sistema SPIN na mira dos atacantes
O sistema SPIN, disponível em várias entidades bancárias em Portugal desde 2024, foi criado para simplificar as transferências, permitindo que estas sejam realizadas com o número de telemóvel do destinatário, sem necessidade de partilhar o IBAN.
No entanto, segundo a comunicação enviada pelo ActivoBank, foi detetado que este sistema foi explorado de forma maliciosa. Através da simulação de transferências, os atacantes conseguiam que a plataforma revelasse o IBAN completo associado a um determinado número de telefone, contornando o propósito de privacidade do serviço.
O perigo real: a engenharia social
O banco faz questão de salientar que a falha não permitiu o acesso a qualquer informação adicional sobre os clientes ou as suas contas. O risco principal reside na utilização destes IBANs para esquemas de engenharia social.
Com o IBAN da vítima em sua posse, um criminoso pode contactá-la, fazendo-se passar por um funcionário do banco e usando o dado como prova de legitimidade. O objetivo é ganhar a confiança do cliente para que este partilhe as suas credenciais de acesso ou outros dados sensíveis, resultando em possíveis fraudes.
Recomendações do ActivoBank
Na sua comunicação, o ActivoBank alerta os clientes que possam ter sido afetados para que redobrem a atenção. A entidade reforça que nunca se deve transmitir dados pessoais ou bancários a quem quer que seja por telefone, mesmo que a pessoa afirme ser do banco. É igualmente crucial nunca aceder ao homebanking através de links recebidos por email, SMS ou outras aplicações de mensagens.
Adicionalmente, o banco recomenda a configuração de alertas na aplicação, que notificam o utilizador sempre que ocorrem transações na conta, permitindo um controlo mais apertado e imediato de qualquer atividade suspeita.
De momento, desconhece-se a dimensão total da falha ou se outros bancos que utilizam o sistema SPIN poderão estar vulneráveis a um método de ataque semelhante.
(TT)