Desde o dia de ontem que têm sido notadas várias mensagens fraudulentas direcionadas à instituição bancária Montepio Geral e enviadas para listas de emails e SMS com o objetivo de obter o acesso às credenciais de acesso e cartão matriz dos utilizadores da plataforma ebanking.
(email da campanha de phishing)
(SMS também recebido pelos utilizadores)
De acordo com o email recebido, os criminosos informam que os utilizadores deverão ativar o seu cartão matriz para continuar a utilizar os serviços Net24 Particulares/Empresas.
Em caso contrário, se o utilizador não atualizar os seus dados, o seu cartão matriz será bloqueado permanentemente e será também cobrada uma taxa de 635.50 EUR para uma nova emissão.
Esta campanha de phishing parece ter sido concebida em pt-br devido a vários indicadores de ortografia presente nas diversas landing pages.
Ao clicar na hiperligação “Activar Cartão Matriz“, a vítima é direcionada para a seguinte página hospedada numa máquina na Amazon Web Services (AWS).
hxxps://wwws.montepio[.]pt.ibxrd.online/acesso/particulares.php?hash=1fb5130a3ab07b48643e0dad22ce4da8&content=ubRzx5-PyQdfPgFORx2z6j#L0u2ZLuO3l4opIbc#
A maior parte das hiperligações presentes na página maliciosa direcionam a vítima para páginas com uma respostas not found (404), no entanto, as URLs presentes na área destacada na imagem acima foram especialmente criadas pelos criminosos.
Ao clicar numa das páginas, a landing page apresentada é alterada, mas o objetivo é exatamente o mesmo: “Fazer com que a vítima intruduza os seus dados ebanking“.
Como pode ser observado na imagem acima, o utilizador é encorajado a introduzir o “utilizador” associado à sua conta. Após clicar no botão avançar “>“, é apresentada a seguinte landing page.
Neste formulário malicioso é solicitado o PIN de acesso ao Montepio24.
Seguidamente, após o PIN ter sido introduzido, este é de imediato enviado para o servidor na posse dos criminosos. Após esse processo, uma outra landing page é apresentada à vítima. Aqui, são solicitadas todas as coordenadas do seu cartão matriz.
Após o preenchimento do cartão matriz na sua totalidade, e clicar no botão “Activar Cartão Matriz“, é apresentada ainda outra landing page.
Essa landing page solicita dados pessoais da vítima, inlcuindo:
- Número de Telemóvel
- Número Fiscal/Contribuinte
- Número Cartão Cidadão
- Data de Nascimento
Após introduzir os dados e clicar em “Confirmar Telemóvel“, é apresentada uma página de sucesso falsa de forma a informar o utilizador que tudo parece ter corrido normalmente.
Ao que parece, o esquema malicioso foi carregado para a máquina na AWS em 18-01-2018, às 22:22, o que denota que esta landing page já foi utilizada noutras campanhas passadas.
O website possui um certificado digital Let’s Encrypt para o domínio malicioso — uma CA que emite certificados digitais gratuitos e bastante utilizado por criminosos em campanhas desta natureza.
Adicionamente, o domínio utilizado na campanha foi registado pelos criminosos no dia 1 de março de 2019 às 14:02.
Os utilizadores deverão estar atentos a todos estes detalhes para que os seus dados não caiam nos tentáculos dos criminosos e sejam utilizados para fins ilícitos como transferências de dinheiro, compras online e personificação.
Se pretender submeter algum indicador sobre esta campanha ou outro scam, p.f. aceda aqui.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.