Reading Time: 2 minutes

Alerta: Está em curso uma campanha de phishing direcionada a clientes da instituição bancária Montepio Geral.

Desde o dia de ontem que têm sido notadas várias mensagens fraudulentas direcionadas à instituição bancária Montepio Geral e enviadas para listas de emails e SMS com o objetivo de obter o acesso às credenciais de acesso e cartão matriz dos utilizadores da plataforma ebanking.

phishing-montepio

(email da campanha de phishing)

 

(SMS também recebido pelos utilizadores)

 

De acordo com o email recebido, os criminosos informam que os utilizadores deverão ativar o seu cartão matriz para continuar a utilizar os serviços Net24 Particulares/Empresas.

Em caso contrário, se o utilizador não atualizar os seus dados, o seu cartão matriz será bloqueado permanentemente e será também cobrada uma taxa de 635.50 EUR para uma nova emissão.

Esta campanha de phishing parece ter sido concebida em pt-br devido a vários indicadores de ortografia presente nas diversas landing pages.

Ao clicar na hiperligação “Activar Cartão Matriz“, a vítima é direcionada para a seguinte página hospedada numa máquina na Amazon Web Services (AWS).

hxxps://wwws.montepio[.]pt.ibxrd.online/acesso/particulares.php?hash=1fb5130a3ab07b48643e0dad22ce4da8&content=ubRzx5-PyQdfPgFORx2z6j#L0u2ZLuO3l4opIbc#

 

 

A maior parte das hiperligações presentes na página maliciosa direcionam a vítima para páginas com uma respostas not found (404), no entanto, as URLs presentes na área destacada na imagem acima foram especialmente criadas pelos criminosos.

Ao clicar numa das páginas, a landing page apresentada é alterada, mas o objetivo é exatamente o mesmo: “Fazer com que a vítima intruduza os seus dados ebanking“.

 

Como pode ser observado na imagem acima, o utilizador é encorajado a introduzir o “utilizador” associado à sua conta. Após clicar no botão avançar “>“, é apresentada a seguinte landing page.

 

Neste formulário malicioso é solicitado o PIN de acesso ao Montepio24.

 

Seguidamente, após o PIN ter sido introduzido, este é de imediato enviado para o servidor na posse dos criminosos. Após esse processo, uma outra landing page é apresentada à vítima. Aqui, são solicitadas todas as coordenadas do seu cartão matriz.

 

Após o preenchimento do cartão matriz na sua totalidade, e clicar no botão “Activar Cartão Matriz“, é apresentada ainda outra landing page.

 

Essa landing page solicita dados pessoais da vítima, inlcuindo:

  • Número de Telemóvel
  • Número Fiscal/Contribuinte
  • Número Cartão Cidadão
  • Data de Nascimento

 

 

Após introduzir os dados e clicar em “Confirmar Telemóvel“, é apresentada uma página de sucesso falsa de forma a informar o utilizador que tudo parece ter corrido normalmente.

 

Ao que parece, o esquema malicioso foi carregado para a máquina na AWS em 18-01-2018, às 22:22, o que denota que esta landing page já foi utilizada noutras campanhas passadas.

O website possui um certificado digital Let’s Encrypt para o domínio malicioso — uma CA que emite certificados digitais gratuitos e bastante utilizado por criminosos em campanhas desta natureza.

 

Adicionamente, o domínio utilizado na campanha foi registado pelos criminosos no dia 1 de março de 2019 às 14:02.

 

Os utilizadores deverão estar atentos a todos estes detalhes para que os seus dados não caiam nos tentáculos dos criminosos e sejam utilizados para fins ilícitos como transferências de dinheiro, compras online e personificação.

 

Se pretender submeter algum indicador sobre esta campanha ou outro scam, p.f. aceda aqui.