A Polícia de Segurança Pública (PSP) lançou um alerta sobre uma nova mensagem fraudulenta que está a circular pelo WhatsApp e que tem como objetivo instalar malware e aceder a dados pessoais e bancários dos utilizadores.
A mensagem chega de números desconhecidos com o texto: “você recebeu uma mensagem, mas a sua versão do Whatsapp não é compatível”, seguido de um link que convida o utilizador a “atualizar o WhatsApp”. A PSP explica que, ao clicar nesse link, a vítima é redirecionada para uma página criada pelos criminosos com o propósito de aceder ao dispositivo, instalar vírus e obter acesso a informações sensíveis.
Além do falso link de atualização, os cibercriminosos recorrem a ficheiros em formato SVG (Scalable Vector Graphics) para veicular ataques. Embora à primeira vista se pareçam com imagens, os ficheiros SVG são baseados em XML e podem conter código (HTML, JavaScript e outros) — o que os torna capazes de executar ações maliciosas. A PSP descreve exemplos de utilização destes anexos:
-
SVGs que simulam uma folha de Excel com um formulário de login embutido; ao preencher o formulário, as credenciais são enviadas diretamente aos criminosos.
-
SVGs disfarçados de pedidos de download que, quando clicados, instalam malware.
-
SVGs que, quando abertos, redirecionam automaticamente para páginas de phishing.
Conselhos de segurança (PSP):
A força de segurança recomenda as seguintes medidas para reduzir o risco de infeção e roubo de dados:
-
Mantenha o sistema operativo e as aplicações sempre atualizadas.
-
Utilize um antivírus com proteção ativa contra malware.
-
Evite realizar operações bancárias em redes Wi-Fi públicas.
-
Aceda apenas a links que comecem por https:// em vez de http://.
-
Não clique em links ou abra anexos provenientes de fontes desconhecidas.
-
Ative a autenticação de dois fatores sempre que possível.
-
Altere a palavra-passe padrão do router Wi-Fi e utilize uma senha forte.
A PSP sublinha que anexos aparentemente inocentes podem ocultar código perigoso e aconselha prudência redobrada perante mensagens e ficheiros enviados por números ou entidades não confirmadas. Se receber conteúdos suspeitos, não clique, não preencha formulários e proceda à eliminação da mensagem.