A Autoridade Tributária e Aduaneira (AT) emitiu um aviso a informar os cidadãos de que está a circular uma mensagem de email fraudulenta “supostamente” proveniente das Finanças para convencer os destinatários de que têm de entregar a declaração de rendimentos de 2021 porque, no tal cenário ficcionado pelos atacantes, o fisco estaria a fazer um controlo inspectivo e detectara que o comprovativo desse ano não fazia parte da base de dados.

“Estas mensagens são falsas e devem ser ignoradas. O seu objectivo é convencer o destinatário a aceder a páginas maliciosas carregando nos links sugeridos”, explica a AT no alerta de segurança publicado no Portal das Finanças na quarta-feira.

Numa réplica do email que está a circular, e que a AT divulgou, é possível ver que o atacante se dirige ao contribuinte dizendo o seguinte: “A Autoridade Tributária e Aduaneira está a proceder ao controlo do cumprimento da obrigação de entrega da declaração de rendimentos Modelo 3, do ano de 2021. Na sequência desse procedimento foi detectado que a sua declaração de IRS relativa a esse ano não consta da nossa base de dados, pelo que brevemente lhe será remetida, via CTT, uma notificação dando-lhe conhecimento formal dessa situação”.

A seguir, como chamariz, o atacante indica que o processo que teria dado origem a este pedido se encontrava abaixo e, de seguida, disponibiliza um URL que nada tem a ver com o Portal das Finanças.

Como a a data de ntrega das declarações de IRS está a chegar (arranca a 1 de Abril) e, nestas semanas anteriores há prazos para cumprir determinadas obrigações, o falso email pode gerar confusão junto de quem o receba e não se aperceba de que se trata de uma tentativa de ataque. A linguagem usada tem algum formalismo: cita-se a declaração Modelo 3, que efectivamente diz respeito à entrega do IRS, mas, na verdade, o ano a que o atacante se refere é o anterior ao que diz respeito a entrega que se avizinha (em 2023, entregam-se as declarações referentes aos rendimentos auferidos ao longo do ano passado; a entrega relativa ao ano de 2021 já ocorreu em 2022, embora a mensagem possa gerar dúvidas, uma vez que o atacante simula uma situação em que a AT teria ido verificar as suas bases de dados).

Se uma pessoa estiver atenta ao nome do remetente verificará que se trata de uma fraude, porque, apesar de o nome ser “AtendimentoFinancas”, o correio electrónico refere o nome de uma pessoa, possivelmente falso, que acaba em “@terra.com.br”. O email aparece assinado por uma suposta chefe do serviço de Finanças cujo nome se encontra na Internet e que se percebe ser efectivamente funcionária da AT, mas cujo nome foi utilizado indevidamente.

A AT lembra que aos cidadãos em caso algum devem “efectuar” a operação de carregar naquele link e sugere a leitura do “folheto informativo sobre segurança informática disponível no Portal das Finanças”.

O imaginário de quem faz tentativas de fraude online é grande e, neste caso, os remetentes confundem conceitos, misturando duas declarações distintas. Apesar do corpo do texto do email se referir à declaração de rendimentos Modelo 3 — ou seja, à declaração anual de comprovação do IRS, o assunto do email refere-se a outra distinta, a uma suposta “Declaração Mensal de Remunerações”, expressão à qual se segue um extenso número “240577921271324”, com o qual atacante procurará criar a aparência de que se trata de um procedimento legal do fisco. No fim do email aparece outra referência, com outra sequência igualmente longa.

Nas tentativas de phishing, o remetente procura enganar os destinatários levando-o a clicar num link ou num anexo para aí partilharem informação pessoal sensível. Para isso, explica no seu site o Centro Nacional de Cibersegurança, é habitual o atacante simular “uma marca credível ou personifica alguém de confiança” — e foi isso que aconteceu neste caso, com o atacante a simular ser a Autoridade Tributária e Aduaneira, serviço público que é um alvo recorrente deste tipo de acções, tal como acontece outras tantas vezes com os CTT ou com a Segurança Social.

Em situações como estas, explica a AT no folheto de segurança informática, os cidadãos “em caso algum deverá fornecer a informação solicitada. A AT recomenda ainda que cada pessoa “verifique se tem instalado um antivírus actualizado e efectue uma pesquisa no seu computador ou no seu telemóvel”, que “suspeite de links e ficheiros enviados por mensagens electrónicas ou SMS”, que “confirme junto da fonte sempre que, através de mensagens electrónicas de SMS ou de sites da Internet, seja pedida qualquer acção ou interacção”, que “em caso de dúvida, não responda às mensagens, não clique em links, nem descarregue ou abra ficheiros”, que “não forneça ou divulgue as suas credenciais para acesso ao Portal das Finanças” e que “apague as mensagens de origem desconhecida ou de conteúdo duvidoso”.