Desde o dia de ontem que têm sido notadas várias mensagens fraudulentas direcionadas à instituição bancária Montepio Geral e enviadas para listas de emails e SMS com o objetivo de obter o acesso às credenciais de acesso e cartão matriz dos utilizadores da plataforma ebanking.
(email da campanha de phishing)
(SMS também recebido pelos utilizadores)
De acordo com o email recebido, os criminosos informam que os utilizadores deverão ativar o seu cartão matriz para continuar a utilizar os serviços Net24 Particulares/Empresas.
Em caso contrário, se o utilizador não atualizar os seus dados, o seu cartão matriz será bloqueado permanentemente e será também cobrada uma taxa de 635.50 EUR para uma nova emissão.
Esta campanha de phishing parece ter sido concebida em pt-br devido a vários indicadores de ortografia presente nas diversas landing pages.
Ao clicar na hiperligação “Activar Cartão Matriz“, a vítima é direcionada para a seguinte página hospedada numa máquina na Amazon Web Services (AWS).
hxxps://wwws.montepio[.]pt.ibxrd.online/acesso/particulares.php?hash=1fb5130a3ab07b48643e0dad22ce4da8&content=ubRzx5-PyQdfPgFORx2z6j#L0u2ZLuO3l4opIbc#
A maior parte das hiperligações presentes na página maliciosa direcionam a vítima para páginas com uma respostas not found (404), no entanto, as URLs presentes na área destacada na imagem acima foram especialmente criadas pelos criminosos.
Ao clicar numa das páginas, a landing page apresentada é alterada, mas o objetivo é exatamente o mesmo: “Fazer com que a vítima intruduza os seus dados ebanking“.
Como pode ser observado na imagem acima, o utilizador é encorajado a introduzir o “utilizador” associado à sua conta. Após clicar no botão avançar “>“, é apresentada a seguinte landing page.
Neste formulário malicioso é solicitado o PIN de acesso ao Montepio24.
Seguidamente, após o PIN ter sido introduzido, este é de imediato enviado para o servidor na posse dos criminosos. Após esse processo, uma outra landing page é apresentada à vítima. Aqui, são solicitadas todas as coordenadas do seu cartão matriz.
Após o preenchimento do cartão matriz na sua totalidade, e clicar no botão “Activar Cartão Matriz“, é apresentada ainda outra landing page.
Essa landing page solicita dados pessoais da vítima, inlcuindo:
- Número de Telemóvel
- Número Fiscal/Contribuinte
- Número Cartão Cidadão
- Data de Nascimento
Após introduzir os dados e clicar em “Confirmar Telemóvel“, é apresentada uma página de sucesso falsa de forma a informar o utilizador que tudo parece ter corrido normalmente.
Ao que parece, o esquema malicioso foi carregado para a máquina na AWS em 18-01-2018, às 22:22, o que denota que esta landing page já foi utilizada noutras campanhas passadas.
O website possui um certificado digital Let’s Encrypt para o domínio malicioso — uma CA que emite certificados digitais gratuitos e bastante utilizado por criminosos em campanhas desta natureza.
Adicionamente, o domínio utilizado na campanha foi registado pelos criminosos no dia 1 de março de 2019 às 14:02.
Os utilizadores deverão estar atentos a todos estes detalhes para que os seus dados não caiam nos tentáculos dos criminosos e sejam utilizados para fins ilícitos como transferências de dinheiro, compras online e personificação.
Se pretender submeter algum indicador sobre esta campanha ou outro scam, p.f. aceda aqui.