Segurança e Internet Banking

A segurança e a privacidade dos dados dos nossos clientes é um assunto de extrema importância para o Banco CTT. Utilizamos medidas de segurança e controlos tecnológicos robustos para proteger a sua informação e assim garantir a utilização segura dos nossos serviços homebanking e mobile banking.

Dicas de Segurança
Segurança BCTT
Situações Suspeitas
Equipa CSIRT

Acesso ao Homebanking

  • Nunca aceda ao Homebanking através de hiperligações (links); introduza sempre o endereço completo www.bancoctt.pt ou https://homebanking.bancoctt.pt no browser e navegue a partir daí;
  • Não confie em qualquer mensagem de correio eletrónico, aparentemente enviada pelo Banco CTT, solicitando elementos de caráter pessoal ou confidencial (e.g. nome de utilizador, palavra passe, contacto telefónico); o Banco CTT nunca solicita este tipo de informação aos seus Clientes, quer por correio eletrónico quer por qualquer outro meio;
  • Sempre que aceder ao Homebanking, verifique que o endereço se inicia por https:// em vez do habitual http://, e que a barra de endereço do seu browser contém a seguinte informação:

         

      1. Referência ao BANCO CTT, S.A. ou CTT Correios de Portugal, S.A. 
      2. Texto ou sombreado do endereço a verde
      3. Um cadeado
  • Não utilize uma palavra passe óbvia para o acesso ao Homebanking (e.g. data de nascimento), e altere-a periodicamente;
  • Caso suspeite que a sua palavra passe possa ter sido comprometida, não hesite a alterá-la de imediato ou a solicitar o bloqueio do seu acesso através da Linha de Apoio 707 288 282;
  • O seu nome de utilizador e palavra passe são pessoais e intransmissíveis; nunca os forneça a terceiros e não os escreva para que possam ser acedidos facilmente por terceiros;
  • O acesso ao Homebanking requer a introdução do nome de utilizador e três (3) caracteres aleatórios da palavra passe (que serão sempre os mesmos até que o login seja efetuado com sucesso), pelo que, qualquer informação adicional solicitada poderá constituir uma tentativa de fraude que deverá ser reportada para a Linha de Apoio 707 288 282;
  • Utilize e mantenha atualizado um programa antivírus para proteger o seu computador de ataques, esquemas e mensagens de correio eletrónico maliciosos;
  • Mantenha o sistema operativo, bem como outros programas do seu computador (e.g. browser), atualizados; aplique as atualizações de segurança disponibilizadas pelos devidos fornecedores de software;
  • Confirme a segurança da sua ligação à Internet, evitando a utilização de pontos de acesso Wi-Fi públicos ou sem controlos de segurança robustos (e.g. aeroportos, cibercafés);
  • Caso tenha dúvidas quanto à autenticidade do website que está a aceder, não introduza quaisquer dados pessoais em nenhuma circunstância;
  • Caso tenha dúvidas, necessite de esclarecimentos ou pretenda desativar o acesso aos Canais Digitais do Banco CTT, por favor contacte-nos através da Linha de Apoio 707 288 282.

 

Utilização da Aplicação Mobile

    • Não utilize um código PIN óbvio para acesso ao à aplicação Mobile Banco CTT (e.g. 1234, 1111, data de nascimento, código postal), e não o utilize noutras aplicações;
    • O seu código PIN é pessoal e intransmissível; nunca o forneça a terceiros e não o escreva para que possa ser acedido facilmente por terceiros;
    • Não utilize dispositivos móveis com acesso privilegiado (rooted ou jailbroken);
    • Em caso de roubo ou perda do dispositivo móvel, solicite de imediato o bloqueio do seu acesso através da Linha de Apoio 707 288 282;
    • Ative o sistema de bloqueio automático do dispositivo móvel após um período de inatividade;
    • Proteja o seu dispositivo móvel, efetuando as atualizações periódicas indicadas pelo fornecedor;
    • Recorra a sites e stores oficiais (Apple Store e Play Store) para instalar aplicações; antes de efetuar o download de uma aplicação, leia a opinião de outros utilizadores e verifique a que funcionalidades e permissões terá de dar acesso no seu equipamento (e.g. leitura e envio de SMS, acesso aos seus contactos, localização);
    • Nunca clique em hiperligações (links) enviados por SMS com origem num contacto desconhecido, e nunca responda a SMS a solicitar os seus dados pessoais;
    • Confirme a segurança da sua ligação à Internet, evitando a utilização de pontos de acesso Wi-Fi públicos ou sem controlos de segurança robustos (e.g. aeroportos, cibercafés);
    • Evite manter o Bluetooth e outros meios de comunicação sem fios ativados se não estiverem em uso (e.g. NFC, hotspot Wi-Fi); o seu dispositivo móvel ficará menos vulnerável ciberataques;
    • Caso tenha dúvidas, necessite de esclarecimentos ou pretenda desativar o acesso aos Canais Digitais do Banco CTT, por favor contacte-nos através da Linha de Apoio 707 288 282.

     

    Esquemas de Phishing

    O que é o Phishing?

    O phishing deve a sua designação à palavra inglesa “fishing”, cujo significado é “pescar”. Consiste num tipo de fraude que combina a utilização de meios tecnológicos com engenharia social, e tem como objetivo persuadir um utilizador a revelar dados pessoais e financeiros.

    Este tipo de ataques é geralmente baseado em mensagens de email enviadas de forma massiva para vários utilizadores, contendo uma hiperligação (link) para um website falso ou para descarregar software malicioso.

    A informação pretendida diz respeito a contas bancárias, credenciais de acesso ao Homebanking, contacto telefónico ou outras informações confidenciais.

    Como reconhecer emails de Phishing?

    Os emails de phishing apresentam características que, por norma, permitem diferenciá-los dos enviados pelo Banco CTT, de forma oficial.

    • Verifique o endereço de email do remetente:
        Habitualmente os emails de phishing são remetidos a partir de endereços de email que não estão relacionados com a entidade referida no email; no caso do Banco CTT, o endereço remetente termina sempre com @bancoctt.pt;
    • Verifique se o email lhe é dirigido:
        Por norma os emails de phishing são enviados de forma massiva e simultânea para vários utilizadores, ou ocultam os endereços de email do campo "Destinatário";
    • Verifique se a comunicação é habitual ou lhe parece legítima:
        Pedidos urgentes para evitar constrangimentos no acesso ao Homebanking, a solicitar qualquer ação ou interação, são exemplos típicos de esquemas de phishing;
    • Identifique erros ortográficos ou gramaticais, bem como palavras que normalmente não são utilizadas numa comunicação institucinal:
        Habitualmente os emails de phishing recorrem ao uso de expressões pouco comuns ou inexistentes na língua Portuguesa (e.g. "usuário", "celular", "cadastramento");
    • Verifique as hiperligações (links) existentes no corpo do email:
        Ao colocar o ponteiro do rato sobre a hiperligação, sem clicar, é possível verificar para que website remeterá o link. Algumas dicas:
        • Não clique em links suspeitos ou que sejam enviados de fontes que não conhece ou confia;
        • Se alguma das imagens ou hiperligações o remeter para um website que não corresponde ao website oficial do Banco CTT, é provável que se trate de um esquema de phishing;
        • Verifique a barra do navegador assim que a página carregar para se assegurar que o endereço do website e o certificado digital correspondem ao oficial;
        • Para mais informações, consulte a secção Acesso ao Homebanking.
    • Verifique se o email contém ficheiros anexos: 
        Muitos esquemas de phishing pedem-lhe para abrir anexos que podem infetar o seu computador com um vírus ou outro software malicioso; não abra ficheiros com extensão .exe, .pdf, .docx, etc. antes de se certificar que não contêm vírus;
    • Sempre que tenha dúvidas quanto à autenticidade do email, por favor contacte-nos através da Linha de Apoio 707 288 282. Nunca utiliza os contactos indicados no email.

    Como proteger-se contra emails de Phishing?

    A forma de proteção contra esquemas de phishing segue as regras comuns para utilização segura da Internet descritas na secção Acesso ao Homebanking.

     

    O Banco CTT garante-lhe a segurança nos serviços Homebanking e Mobile.

    O que fazemos por si:

    • Proteção das comunicações Internet entre o cliente e os serviços Homebanking e Mobile, através da utilização de protocolos seguros (TLS, Transport Layer Security);
    • Implementação de certificados digitais, emitidos por entidades de referência na Internet, de forma a permitir que os nossos clientes e visitantes possam validar e confiar nos serviços Homebanking e Mobile;
    • Utilização de sistemas para deteção de fraude online, para identificação de acessos e transações suspeitas;
    • Proteção dos serviços Homebanking e Mobile por sistemas firewall, para identificação e prevenção de acessos não autorizados;
    • Implementação de tecnologia avançada para autenticação forte do cliente, através de códigos temporários e descartáveis (OTP, One Time Password) e processos criptográficos robustos;
      • Término automático da sessão dos serviços Homebanking e Mobile, após um período mínimo de inatividade;
      • Desenvolvimento e manutenção dos serviços Homebanking e Mobile efetuados de acordo com standards de código seguro e testados regularmente para identificação e eliminação de vulnerabilidades de segurança.

      Contacte a nossa Linha de Apoio 707 288 282 sempre que:

      • Tenha dúvidas ou necessite de esclarecimentos, nomeadamente para o ajudar identificar situações de fraude;
      • Pretender reportar tentativas de fraude ou situações suspeitas.

      Casos relacionados com segurança:

      Alerta de e-mails falsos utilizando o nome do Banco CTT – 21/10/2019

      Estão a ser enviados e-mails fraudulentos a Clientes do Banco CTT, a referir um pedido de autorização de transferência de na sua conta bancária.

      Caso receba um e-mail desta natureza não deve clicar em qualquer link e deverá apagá-lo de imediato e reportar a situação, através da Linha de Apoio Banco CTT 707 288 282.

      Recordamos que o Banco CTT nunca solicita informações sensíveis dos seus clientes através de e-mail. Suspeite e não responda a e-mails onde lhe peçam dados pessoais ou confidenciais, como a sua palavra-passe, códigos de acesso ou número de telemóvel.

      Alerta de SMSs falsos utilizando o nome do Banco CTT – 30/04/2019

      Estão a ser enviados SMSs falsos a Clientes do Banco CTT, a informar que o código de utilizador e palavra passe do Homebanking se encontram desativados por questões de segurança.

      Tratam-se de mensagens fraudulentas que visam recolher os códigos de utilizador do Mobilebanking, permitindo o acesso não autorizado às contas dos Clientes.

      Não deve clicar em qualquer link, uma vez que será direcionado para um site fraudulento ou para um conteúdo que poderá comprometer a segurança da sua Conta.


      Exemplo de SMS enviado: 

      Ao carregar no link do SMS, o utilizador é redirecionado para um site fraudulento, personificando o nosso mobile banking:

      Recordamos que o Banco CTT nunca solicita informações sensíveis dos seus clientes através de e-mail. Suspeite e não responda a e-mails onde lhe peçam dados pessoais ou confidenciais, como a sua palavra-passe, códigos de acesso ou número de telemóvel.

      Alerta de e-mails falsos utilizando o nome do Banco CTT – 03/08/2018

      Estão a ser enviados e-mails falsos a Clientes do Banco CTT, a informar que o código de utilizador do Homebanking se encontra desativado e como tal o acesso à conta foi bloqueado.

      Tratam-se de e-mails fraudulentos que visam recolher os códigos de utilizador do Homebanking, acedendo desta forma à conta dos Clientes.

      Não deve clicar em qualquer link, uma vez que será direcionado para um site falso do Banco ou para um conteúdo que poderá comprometer a segurança da sua Conta.

      Caso receba um e-mail desta natureza deverá apagá-lo de imediato e reportar a situação, através da Linha de Apoio Banco CTT 707 288 282. Se clicou no link, não tente aceder ao seu Homebanking e contacte-nos de imediato.

      Recordamos que o Banco CTT nunca solicita informações sensíveis dos seus clientes através de e-mail. Suspeite e não responda a e-mails onde lhe peçam dados pessoais ou confidenciais, como a sua palavra-passe, códigos de acesso ou número de telemóvel.

      RFC 2350
      Versão: 0.4
      Data: 2019/07/27 10:00:00 +0000
      Autor: Ricardo Evangelista

      1. Informação acerca deste documento
      Este documento descreve o serviço de resposta a incidentes de segurança do Banco CTT, de acordo com o RFC 2350.
      1.1. Data da última atualização
      Versão 0.4 publicada em 2019/07/27.
      1.2. Listas de distribuição para notificações
      Não existe um canal de distribuição para notificar alterações a este documento.
      1.3. Acesso a este documento
      A versão atualizada deste documento está disponível na página institucional do Banco CTT, em https://www.bancoctt.pt/home/seguranca.html
      1.4. Autenticidade deste documento
      Para fins de validação, este documento foi assinado com PGP, cuja chave se descreve na secção 2.8.

      2. Informação de contacto
      2.1. Nome da equipa
      CSIRT.BancoCTT – Computer Security Incident Response Team do Banco CTT.
      2.2. Endereço postal
      CSIRT.BancoCTT
      Direção de Segurança
      Av. D. João II, 13 - Piso: 11
      1999-001 Lisboa
      Portugal
      2.3. Zona horária
      Portugal/WEST (GMT+0, GMT+1 em horário de verão)
      2.4. Telefone
      +351 212 697 179
      2.5. Fax
      Não existente.
      2.6. Outras telecomunicações
      Não existentes.
      2.7. Endereços de correio eletrónico
      Correio eletrónico para notificação de incidentes de segurança: csirt@bancoctt.pt
      2.8. Chaves públicas e informação de cifra
      User ID: CSIRT.BancoCTT <csirt@bancoctt.pt>
      Key ID: 0x51C6F6E5  Type:RSA
      Key Size: 4096 b  Expires: 2022-07-27
      Fingerprint: E97A 05EA 1416 A1BD 7B0B 950D 185B A7A2 51C6 F6E5
      Download
      2.9. Membros da equipa
      Coordenação: Ricardo Evangelista
      Membros: Pedro Rodrigues Sousa, Luís Guilherme Bairros
      2.10. Outra informação
      Informação adicional sobre os serviços disponibilizados pelo CSIRT.BancoCTT pode ser encontrada em https://www.bancoctt.pt/home/seguranca.html
      2.11. Meios de contacto para utilizadores
      O CSIRT.BancoCTT dispõe dos meios de contacto elencados nas secções 2.4 e 2.7.

      3. Guião
      3.1. Missão
      O CSIRT.BancoCTT tem como missão assegurar um serviço eficiente de resposta a incidentes de segurança informática. As principais tarefas incluem:
      - Estabelecer e manter uma estrutura organizacional para identificar e classificar incidentes de segurança que permita uma eficiente resposta a incidentes;
      - Tratamento e coordenação de incidentes de segurança;
      - Execução de iniciativas para prevenir, de forma proativa, incidentes de segurança, ou que minimizem o impacto de eventuais incidentes;
      - Promoção de uma cultura de segurança informática através de ações de sensibilização.
      3.2. Comunidade servida
      O CSIRT.BancoCTT responde a incidentes de segurança no contexto da comunidade do Banco CTT, sistemas, aplicações e redes de comunicação.
      As gamas de endereços IP públicos abrangidos no âmbito da atuação do CSIRT.BancoCTT são os seguintes:
      - 62.28.56.3
      - 62.28.56.4
      - 62.48.175.208/29
      - 62.48.185.56/29
      - 62.48.188.8/29
      - 85.88.136.83
      - 85.88.153.192
      3.3. Filiação
      O CSIRT.BancoCTT é membro da Rede Nacional de CSIRT, o qual mantém contactos com várias equipas nacionais e internacionais de CSIRT e CERT.
      3.4. Autoridade
      O CSIRT.BancoCTT é um serviço integrante da Direção de Segurança do Banco CTT, cuja competência de autoridade se encontra definida nas políticas internas.

       4. Políticas
      4.1. Tipos de incidente e nível de suporte
      O CSIRT.BancoCTT responde a diferentes tipos de incidentes de segurança, com especial enfoque nos seguintes:
      - Código malicioso;
      - Disrupção de serviço;
      - Exploração de vulnerabilidades;
      - Acesso não autorizado;
      - Perda, roubo ou utilização abusiva de informação;
      - Violação de dados pessoais;
      - Fraude online.
      O nível de suporte dado pelo CSIRT.BancoCTT é proporcional ao tipo e gravidade de cada incidente.
      4.2. Cooperação, interação e política de privacidade
      O CSIRT.BancoCTT coopera e interage com autoridades e equipas nacionais e internacionais de CSIRT e CERT, cumprindo com as regras e boas práticas de privacidade e proteção de dados.
      4.3. Comunicação e autenticação
      Dos meios de comunicação disponibilizados pelo CSIRT.BancoCTT, o telefone e o correio eletrónico não cifrado são considerados suficientes para a transmissão de informação não sensível. Para a transmissão de informação sensível é obrigatório o uso de cifra PGP enumerada na secção 2.8.

      5. Serviços
      5.1. Resposta a incidentes
      O CSIRT.BancoCTT coordena e apoia na gestão de aspetos técnicos e organizacionais de cada incidente, fornecendo assistência e aconselhamento nas diferentes fases da gestão de incidentes.
      5.2. Atividades
      O CSIRT.BancoCTT realiza diversas atividades a fim de reduzir a probabilidade e o impacto de um incidente, nomeadamente através de:
      - Proteção e monitorização ativa dos canais web e mobile contra ataques de DoS, DDoS, e exploração de vulnerabilidades aplicacionais;
      - Desenvolvimento de use-cases para correlação de eventos e alarmística em tempo real;
      - Execução de testes de segurança periódicos e em formato persistente;
      - Produção de alertas e recomendações de segurança internos e para clientes.

      6. Formulários de reporte de incidentes
      Não existem disponíveis formulários para o efeito.

      7. Salvaguarda de responsabilidade
      Embora todas as precauções sejam tomadas na preparação da informação divulgada quer no portal Internet, quer através das listas de distribuição, o CSIRT.BancoCTT não assume qualquer responsabilidade por erros ou omissões, ou por danos resultantes do uso dessa informação.