Está em curso, em Portugal, uma nova campanha maliciosa que utiliza indevidamente o nome da Autoridade Tributária e Aduaneira (Finanças) para enganar as vítimas. Este esquema sofisticado tem como objetivo extorquir dinheiro e recolher informações sensíveis.
Como Funciona a Fraude?
Os criminosos enviam faturas falsas para pagamento, alegando que o destinatário tem uma dívida pendente com as Finanças. A mensagem inclui uma ameaça direta: caso o pagamento não seja efetuado, será emitido um mandado de execução sobre os bens da vítima.
A novidade desta campanha é a inclusão de um chat online no qual a vítima interage diretamente com os atacantes. Veja como a fraude se desenrola:
- Envio de Dados Pessoais: A vítima é incentivada a inserir o nome do seu banco e o número de telefone no chat.
- Ativação de um Bot: Após fornecer essas informações, um bot é ativado e envia uma referência de pagamento para a vítima.
- Confirmação de Pagamento: A vítima é instruída a escrever a palavra “pago” no chat após realizar a transferência.
- Mecanismos de Validação: Caso o sistema detete informações falsas, como um número de telemóvel ou nome de banco inválido, o endereço de IP da vítima é bloqueado.
- Interação com os Criminosos: O esquema é ainda mais sofisticado, permitindo que as vítimas interajam diretamente com os criminosos. Em muitos casos, os atacantes respondem via chat e podem até convencer as vítimas a abrir documentos ou clicar em hiperligações maliciosas, expondo ainda mais os seus dispositivos e dados.
Exemplo da página e fatura apresentada à vitima:
Interação com o chat online
Como observado, o sistema gera de forma automatizada uma referência multibanco para pagamento sobre o valor primeiramente apresentado. Caso algum dos dados introduzidos pela vítima apresente irregularidade, p.ex., nome do banco ou número de telefone, o endereço de IP da vítima é bloqueado.
Se existir interação com o criminoso ele poderá solicitar detalhes adicionais, fazendo p.ex. a vítima a seguir hiperligações, aceder a outras URLs, etc. Neste caso em específico abaixo, foi solicitado o carregamento do comprovativo de pagamento.
Como o chatbot é controlado?
Este chat possuí logica automatizada para validar o pagamento por parte das vítimas. No entanto, também permite ao atacante responder à vitíma; como já referido; com mensagens personalizadas dependendo do contexto. Um exemplo disso é esta segunda tentativa com uma mensagem comum solicitando provas do pagamento.
Todas esta lógica é gerida através de um canal do Telegram como a grande maioria das campanhas desta natureza a operar em Portugal.
Hint: Quanto à origem do criminoso, pode comprovar-se através das expressões utilizadas na sua comunicação que aparenta estar a operar em Portugal ou através de serviços proxy/VPN desde Portugal.
Uma vez efectuado o pagamento, digite “pago” para que possamos processá-lo imediatamente. Pode enviar as provas neste chat?
~Por vezes alguns descuidos também acontecem 🤓~
Medidas de Proteção
Se receber este tipo de comunicação, siga estas recomendações para se proteger:
- Verifique a Legitimidade: A Autoridade Tributária e Aduaneira não utiliza chat online nem solicita informações bancárias ou números de telemóvel por canais não oficiais.
- Não Clique em Links Suspeitos: Evite abrir hiperligações ou anexos em mensagens de origem duvidosa.
- Confirme com a AT: Em caso de dúvida, entre diretamente em contacto com a Autoridade Tributária através dos canais oficiais para confirmar qualquer cobrança.
- Reporte o Caso: Denuncie estas situações à Polícia Judiciária (PJ) ou ao Centro Nacional de Cibersegurança (CNCS).
Esta campanha é um lembrete de que os esquemas de fraude continuam a evoluir, utilizando novas abordagens para enganar as vítimas. A introdução de um chat online e de bots automatizados mostra a sofisticação crescente dos criminosos.
Seja vigilante e partilhe esta informação com familiares, amigos e colegas para que mais pessoas possam proteger-se contra este tipo de ataque. A segurança online é uma responsabilidade de todos nós!
Indicadores de Comprometimento (IoCs)
hxxps:]//autoridade-financas.]com/
https://feed.seguranca-informatica.pt/0xsi_f33d_id.php?id=133868