Site icon Segurança Informática

Alerta: Campanha usando Autoridade Tributária e Aduaneira como alvo em curso

Pedro Tavares

Campanha fraudulenta em curso em portugal com um chat controlado via Telegram com o objetivo de extorquir dinheiro e recolher informações sensíveis.

Está em curso, em Portugal, uma nova campanha maliciosa que utiliza indevidamente o nome da Autoridade Tributária e Aduaneira (Finanças) para enganar as vítimas. Este esquema sofisticado tem como objetivo extorquir dinheiro e recolher informações sensíveis.

 

Como Funciona a Fraude?

Os criminosos enviam faturas falsas para pagamento, alegando que o destinatário tem uma dívida pendente com as Finanças. A mensagem inclui uma ameaça direta: caso o pagamento não seja efetuado, será emitido um mandado de execução sobre os bens da vítima.

A novidade desta campanha é a inclusão de um chat online no qual a vítima interage diretamente com os atacantes. Veja como a fraude se desenrola:

  1. Envio de Dados Pessoais: A vítima é incentivada a inserir o nome do seu banco e o número de telefone no chat.
  2. Ativação de um Bot: Após fornecer essas informações, um bot é ativado e envia uma referência de pagamento para a vítima.
  3. Confirmação de Pagamento: A vítima é instruída a escrever a palavra “pago” no chat após realizar a transferência.
  4. Mecanismos de Validação: Caso o sistema detete informações falsas, como um número de telemóvel ou nome de banco inválido, o endereço de IP da vítima é bloqueado.
  5. Interação com os Criminosos: O esquema é ainda mais sofisticado, permitindo que as vítimas interajam diretamente com os criminosos. Em muitos casos, os atacantes respondem via chat e podem até convencer as vítimas a abrir documentos ou clicar em hiperligações maliciosas, expondo ainda mais os seus dispositivos e dados.

 

Exemplo da página e fatura apresentada à vitima:

 

Interação com o chat online

Como observado, o sistema gera de forma automatizada uma referência multibanco para pagamento sobre o valor primeiramente apresentado. Caso algum dos dados introduzidos pela vítima apresente irregularidade, p.ex., nome do banco ou número de telefone, o endereço de IP da vítima é bloqueado.

 

 

Se existir interação com o criminoso ele poderá solicitar detalhes adicionais, fazendo p.ex. a vítima a seguir hiperligações, aceder a outras URLs, etc. Neste caso em específico abaixo, foi solicitado o carregamento do comprovativo de pagamento.

 

Como o chatbot é controlado?

Este chat possuí logica automatizada para validar o pagamento por parte das vítimas. No entanto, também permite ao atacante responder à vitíma; como já referido; com mensagens personalizadas dependendo do contexto. Um exemplo disso é esta segunda tentativa com uma mensagem comum solicitando provas do pagamento.

 

Todas esta lógica é gerida através de um canal do Telegram como a grande maioria das campanhas desta natureza a operar em Portugal.

Hint: Quanto à origem do criminoso, pode comprovar-se através das expressões utilizadas na sua comunicação que aparenta estar a operar em Portugal ou através de serviços proxy/VPN desde Portugal.

Uma vez efectuado o pagamento, digite “pago” para que possamos processá-lo imediatamente.

Pode enviar as provas neste chat?

~Por vezes alguns descuidos também acontecem 🤓~

 

 

Medidas de Proteção

Se receber este tipo de comunicação, siga estas recomendações para se proteger:

Esta campanha é um lembrete de que os esquemas de fraude continuam a evoluir, utilizando novas abordagens para enganar as vítimas. A introdução de um chat online e de bots automatizados mostra a sofisticação crescente dos criminosos.

Seja vigilante e partilhe esta informação com familiares, amigos e colegas para que mais pessoas possam proteger-se contra este tipo de ataque. A segurança online é uma responsabilidade de todos nós!

 

Indicadores de Comprometimento (IoCs)

hxxps:]//autoridade-financas.]com/

https://feed.seguranca-informatica.pt/0xsi_f33d_id.php?id=133868

 

Exit mobile version