Durante a manhã do dia de hoje (20 de janeiro de 2020) duas campanhas de phishing personificando os bancos Montepio e Millennium BCP foram detetadas.
Os criminosos estão a utilizar mais uma vez o serviço bit[.]ly para disseminar a URL maliciosa via SMS.
À semelhança dos incidentes registados no dia 14 de janeiro, as landing pages desta nova campanha apenas são apresentadas à vitítima se o acesso for concretizado através de um dispositivo móvel. Em caso contrário, a vítima é direcionada para a página google[.].br.
Este é um indicador que demonstra a origem geográfica dos criminosos, e que o objetivo é unicamente exfiltrar detalhes das vítimas que acedem ao serviço através de dispositivos móveis.
No momento da publicação desta notícia, 277 utilizadores haviam acedido à página maliciosa em nome do banco Millennium BCP.
Quanto à campanha em nome do banco Montepio, não é possível obter o número de acessos.
No entanto, desta vez os criminosos estão a utilizar uma abordagem diferente para recolher os detalhes das vítimas. Quando solicitam os detalhes do cartão matriz, permitem à vitima enviar uma fotografia do próprio cartão ao invés da introdução manual da matriz.
Depois da introdução do “utilizador” e “PIN do montepio“, a vítima é direcionada para próxima landing page: telemovel.php.
Neste formulário são solicitados detalhes adicionais, nomeadamente:
- Número de telemóvel;
- Número Fiscal (NIF);
- Número Cartão Cidadão (CC); e
- Data de Nascimento.
Esses detalhes são enviados via uma solicitação HTTP-POST para a próxima landing page: matriz.php.
Desta vez os criminosos estão a solicitar à vitíma o upload de uma imagem ao invés do tradicional método de preenchimento de uma matriz.
Todos os detalhes, incluindo:
- Utilizador;
- PIN de acesso;
- Número de telemóvel;
- Número Fiscal (NIF);
- Número Cartão Cidadão (CC); e
- Data de Nascimento.
são guardados em caixas de texto escondidas no formulário que são enviadas para a página “message.php” após o upload da imagem com o cartão matriz.
Após a submissão da imagem com o suposto cartão matriz, todos os dados são enviados através de uma solicitação HTTP-POST (ver exemplo abaixo).
POST /home-mobile/clientes/message.php HTTP/1.1 Host: particularesnet24-mobile56452314-online.umbler.net User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:72.0) Gecko/20100101 Firefox/72.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8 Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate Referer: http://particularesnet24-mobile56452314-online.umbler.net/home-mobile/clientes/matriz.php Content-Type: multipart/form-data; boundary=---------------------------208422415918226139671016607316 Content-Length: 960 Origin: http://particularesnet24-mobile56452314-online.umbler.net Connection: close Upgrade-Insecure-Requests: 1 Pragma: no-cache Cache-Control: no-cache -----------------------------208422415918226139671016607316 Content-Disposition: form-data; name="username" teste -----------------------------208422415918226139671016607316 Content-Disposition: form-data; name="password" teste123 -----------------------------208422415918226139671016607316 Content-Disposition: form-data; name="telemovel" 999999999 -----------------------------208422415918226139671016607316 Content-Disposition: form-data; name="nif" 99999999 -----------------------------208422415918226139671016607316 Content-Disposition: form-data; name="nasc" 11/12/1111 -----------------------------208422415918226139671016607316 Content-Disposition: form-data; name="cartao_cidadao" 99999 -----------------------------208422415918226139671016607316 Content-Disposition: form-data; name="arquivo"; filename="test.gif" Content-Type: image/gif GIF89a echo "hey dude!" -----------------------------208422415918226139671016607316--
Finalmente, é apresentada uma página, indicando que o processo foi realizado com sucesso. Os criminosos direcionam em seguida a vítima para a página legítima do banco.
Mais uma vez os dados são guardados no servidor e encontram-se disponíveis em ficheiros de texto.
Aos utilizadores, sugere-se mais uma vez alguma cautela e análise quando confrontados com situações desta linha.
Em caso de suspeita partilhe a situação com as autoridades ou através do formulário disponível aqui.
Indicadores de Compromisso (IOCs)
hxxps[://bitly{.}com/2RDspg2 hxxps[:]//bitly[.]com/2R7RuRg particularesnet24-mobile56452314-online[.]umbler.net hxxp://particularesnet24-mobile56452314-online].umbler[.net/home-mobile/clientes/telemovel.php hxxp://particularesnet24-mobile56452314-online[.umbler.]net/home-mobile/clientes/matriz.php POST /home-mobile/clientes/message.php hxxps://www.mobilebcp].online