Uma recente campanha em nome da Autoridade Tributária e Aduaneira está a ser disseminada em Portugal. Os criminosos estão a solicitar dados pessoais incluindo detalhes associados a cartões de crédito para o reembolso associado ao IVA (uma farsa) e a enviar os dados para um canal do Telegram.
Como habitual, a mensagem maliciosa está a ser distribuída através de uma campanha de phishing massiva utilizando o seguinte template.
A landing-page está então hospedada no domínio apresentado abaixo, já flagado no 0xSI_f33d.
https://at-autoridade.]com/portaldasfinancas/
O servidor que hospeda esta campanha maliciosa 66.165.236.]146 tem sido também utilizado pelos malfeitores para alojar campanhas afetando outras entidades em Portugal, incluindo:
net24-pt.com banco-montepio.net24.me net24.me www-banco.montepio.de banco-montepio.pt-net24.com montepio-entrar.com banco.montepio.de b-montepio.net bancomontepio-entrar.pt-m24.com pt-m24.com
Quando o utilizador acede à landing-page, são solicitados detalhes pessoais incluindo:
- NIF
- telefone
- Número cartão de crédito, data e código de segurança
Ao analisar o código fonte da página, é possível observar trechos de código em JavaScript responsáveis por validarem os dados introduzidos no formulário. Abaixo, fica um exemplo referente aos campos relativos ao cartão de crédito.
Após introduzir dados ficticios no formulário, a página “sender/s1.php” é invocada. Esta é responsável por armazenar os dados da vítima e direcionar a vítima para uma página denominada “aguarde.html“.
Em seguida, é solicitado o código 3D SECURE num formulário personificando a “SIBS”. Finalmente, a vítima é direcionada para a página da política de privacidade do site do portal das finanças.
O processo termina com os detalhes da vítima enviados pela landing-page para um canal do Telegram controlado pelos malfeitores.
Aos utilizadores sugere-se uma vez mais, alguma sensibilidade e análise quando confrontados com situações desta natureza. Quanto às organizações alvo neste tipo de investidas, sugere-se também algum controlo no tipo de acessos às contas dos utilizadores, nomeadamente através:
- Controlo de acesso por endereço de IP; temos observado que alguns grupos criminosos realizam os acessos através de endereços de IP geo-localizados no Brasil, e em alguns casos, sem VPN e através dos endereços de IP residenciais de forma a evitar firewalls.
- criação de honey-accounts, de forma a que os criminosos pensem estar a realizar a operação maliciosa numa conta legítima. Ao mesmo tempo este tipo de abordagem permite capturar indicadores do grupo malicioso, incluindo a sua geolocalização, tipo de dispositivo de acesso etc.
Todos os endereços foram adicionados ao 0xSI_f33d para que as organizações possam proceder ao bloqueio dos endereços de IP/domínios de forma eficaz.
Em caso de suspeita de campanhas de phishing ou malware partilhe a situação com as autoridades ou através do formulário disponível aqui, ou submeta a URL maliciosa/suspeita para o 0xSI_f33d.
Indicadores de Compromisso (IoCs)
https://at-autoridade.]com/portaldasfinancas/ net24-pt.com banco-montepio.net24.me net24.me www-banco.montepio.de banco-montepio.pt-net24.com montepio-entrar.com banco.montepio.de b-montepio.net bancomontepio-entrar.pt-m24.com pt-m24.com