Aos bancos e à PJ...

Eu enviaria para um dos CERT's (Computer Emergency Response Team) ou CSIRT (Computer Security Incident Response Team) por aí espalhados já que estes se encontram ligados em rede como a rede de CSIRT's europeus.

O português.

O americano: US-CERT.

Se quiseres podes também enviar para os bancos visados.

Já enviei isso á PJ faz alguns meses.

Quanto aos bancos, procurei nos seus sites correios electronicos para poder enviar mas como não encontrei nada, ficam sem saber nada

Epa, eu estou farto de receber isso.
Agora já vai para spam.
Eu tenho consciencia e não cai nessas mas aposto que há muita gente que cai.
Se soubesse para onde enviar até enviava.

Remete ao Banco de Portugal e aos bancos visados.

Era daquelas coisas que eu não me importava nada de pagar os € da carta para denunciar.

É que quem cai nisto são normalmente as pessoas + desfavorecidas.

Reenvia para o teu banco que eles tratam do resto

Respondi em cima.

Os CERT's comunicam entre si e enviam a informação para o CERT do país onde está alojado o site mencionado no email. Depois esses CERT comunicam com os ISP's e autoridades, tal como acontece em Portugal, ou devia acontecer, já que é essa a filosofia de um CERT/CSIRT). Pela PJ o processo deve ser equivalente (PJ->Interpol->PJ lá do sítio) mas parece-me (que estou completamente por fora) que o processo deve ser mais demorado/burocrático.

Se quiseres ser mesmo eficaz vês em que país está alojado o site ( http://ip2country.esymbian.info ) e envias directamente para a polícia ou CERT daquele país (lista de países). É muito mais eficaz já que apresentas o problema junto da fonte.

Enviar para os bancos não adianta de nada, estes não podem fazer mais do que apresentar uma queixa no ministério público...

Se tens um programa se segurança que tenha filtro de phishing (o de spam é inutil para o phishing, só tratará o email que traz a tentativa) começa por marcar esta tentativa, e se tiveres uma opção de reportar situações ao fabricante usa-o, o laboratório do teu fabricante de Anti-Phishing irá estudar o caso e e dará somente a "assinatura do ataque" (dados tecnicos) aos restantes fabricantes de software de segurança.
Vai depois ao site da caixa (ao site da cgd a sério, não ao da mensagem), tira o email deles e reencaminha para eles.
Se quiseres a ajuda da pj tens de fazer queixa, se apenas lhe comunicares eles não poderam agir no teu caso em concreto, mas irá ajudar quem já se queixou.
Os cert penso que serão inuteis, porque a função deles é caçar programas maliciosos como os usados para fazer ataques como os descritos em www.cert.pt/modules.php?name=Content&pa=showpage&pid=11 descodifica-los, e reportarem, ao fabricante de software as vulnerabilidades que estes usam para funcionarem, ao fabricantes de software de segurança a assinatura do ataque, por exemplo...
como não é usado software malicioso (tirando o usado para te enviar o email) no Phishing não vejo como te podem ajudar (mais detalhes em www.cert.pt).

Já agora eu uso o mcafee site advisor, gratis na pagina da mcafee, que bloqueia paginas e dominios perigosos já cadastradas, avisa acerca dos outros (desde que cadastrados) e nas buscas (usando um motor como o yahoo, google, sapo) marca os resultados perigosos (feitas em texto como por exemplo noticias mas não em imagens, filmes que apenas bloqueia se tentares usar o link)

Estas duas últimas soluções parecem um bocado complexas, pelo menos para quem nunca fez isso.

Já agora, quem usa Gmail tem a oportunidade de fazer report de phishing, sendo que isso vai logo para a lista negra deles.

Adicione-se a isso o eficaz filtro de spam, a facilidade de aceder aos dados remotamente a partir de qualquer PC e a possibilidade de fazer convergir várias contas de mail para a conta do Gmail...

... porque não o usas?

Como é que se faz isso?? Estou a receber esses mail's no gmail.
O 1º eliminei sem denunciar spam e os seguintes vejo-os no spam.

O âmbito de um CERT é lidar com qualquer incidente de segurança dentro da rede que gere/monitoriza, investigar e divulgar as suas conclusões bem como implementar medidas correctivas para evitar repetição de ataques. O roubo de identidade é apenas mais um dos muitos incidentes de segurança possíveis e daí dever ser tratado pelos CERTs.

As redes de CERT/CSIRT existem precisamente para o propósito de divulgação de informação entre CERT's acerca de incidentes de segurança como por exemplo os DoS distribuídos que utilizam zombies em dezenas de redes mundiais.

Bem voltando ao tópico existe ainda um workgroup mundial para o combate ao phishing composto por CERT's institucionais e governamentais e centenas de empresas. Mais info em Anti-Phishing Workgroup.

*EDIT
Tem lá um sitio que indica como reportar phishing que passo para aqui:

É lixado... os gatunos mandam isso aos milhares sem custos nenhuns, e há sempre quem caia.

É preciso estar muito atento...

É só abrir o mail, carregar na setinha que abre as opções e escolher "Report phishing".