Alerta: Campanhas de phishing em nome do Montepio e Millennium BCP em curso.

Durante a manhã do dia de hoje (20 de janeiro de 2020) duas campanhas de phishing personificando os bancos Montepio e Millennium BCP foram detetadas.

Os criminosos estão a utilizar mais uma vez o serviço bit[.]ly para disseminar a URL maliciosa via SMS.

 

À semelhança dos incidentes registados no dia 14 de janeiro, as landing pages desta nova campanha apenas são apresentadas à vitítima se o acesso for concretizado através de um dispositivo móvel. Em caso contrário, a vítima é direcionada para a página google[.].br.

Este é um indicador que demonstra a origem geográfica dos criminosos, e que o objetivo é unicamente exfiltrar detalhes das vítimas que acedem ao serviço através de dispositivos móveis.

No momento da publicação desta notícia, 277 utilizadores haviam acedido à página maliciosa em nome do banco Millennium BCP.

 

Quanto à campanha em nome do banco Montepio, não é possível obter o número de acessos.

 

No entanto, desta vez os criminosos estão a utilizar uma abordagem diferente para recolher os detalhes das vítimas. Quando solicitam os detalhes do cartão matriz, permitem à vitima enviar uma fotografia do próprio cartão ao invés da introdução manual da matriz.

 

Depois da introdução do “utilizador” e “PIN do montepio“, a vítima é direcionada para próxima landing page: telemovel.php.

Neste formulário são solicitados detalhes adicionais, nomeadamente:

  • Número de telemóvel;
  • Número Fiscal (NIF);
  • Número Cartão Cidadão (CC); e
  • Data de Nascimento.

 

Esses detalhes são enviados via uma solicitação HTTP-POST para a próxima landing page: matriz.php.

 

Desta vez os criminosos estão a solicitar à vitíma o upload de uma imagem ao invés do tradicional método de preenchimento de uma matriz.

 

Todos os detalhes, incluindo:

  • Utilizador;
  • PIN de acesso;
  • Número de telemóvel;
  • Número Fiscal (NIF);
  • Número Cartão Cidadão (CC); e
  • Data de Nascimento.

são guardados em caixas de texto escondidas no formulário que são enviadas para a página “message.php” após o upload da imagem com o cartão matriz.

 

Após a submissão da imagem com o suposto cartão matriz, todos os dados são enviados através de uma solicitação HTTP-POST (ver exemplo abaixo).

POST /home-mobile/clientes/message.php HTTP/1.1
Host: particularesnet24-mobile56452314-online.umbler.net
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:72.0) Gecko/20100101 Firefox/72.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Referer: http://particularesnet24-mobile56452314-online.umbler.net/home-mobile/clientes/matriz.php
Content-Type: multipart/form-data; boundary=---------------------------208422415918226139671016607316
Content-Length: 960
Origin: http://particularesnet24-mobile56452314-online.umbler.net
Connection: close
Upgrade-Insecure-Requests: 1
Pragma: no-cache
Cache-Control: no-cache

-----------------------------208422415918226139671016607316
Content-Disposition: form-data; name="username"
teste

-----------------------------208422415918226139671016607316
Content-Disposition: form-data; name="password"
teste123

-----------------------------208422415918226139671016607316
Content-Disposition: form-data; name="telemovel"

999999999
-----------------------------208422415918226139671016607316
Content-Disposition: form-data; name="nif"

99999999
-----------------------------208422415918226139671016607316
Content-Disposition: form-data; name="nasc"

11/12/1111
-----------------------------208422415918226139671016607316
Content-Disposition: form-data; name="cartao_cidadao"

99999
-----------------------------208422415918226139671016607316
Content-Disposition: form-data; name="arquivo"; filename="test.gif"
Content-Type: image/gif

GIF89a
echo "hey dude!"
-----------------------------208422415918226139671016607316--

 

Finalmente, é apresentada uma página, indicando que o processo foi realizado com sucesso. Os criminosos direcionam em seguida a vítima para a página legítima do banco.

 

Mais uma vez os dados são guardados no servidor e encontram-se disponíveis em ficheiros de texto.

 

Aos utilizadores, sugere-se mais uma vez alguma cautela e análise quando confrontados com situações desta linha.

Em caso de suspeita partilhe a situação com as autoridades ou através do formulário disponível aqui.

 

Indicadores de Compromisso (IOCs)

hxxps[://bitly{.}com/2RDspg2
hxxps[:]//bitly[.]com/2R7RuRg

particularesnet24-mobile56452314-online[.]umbler.net
hxxp://particularesnet24-mobile56452314-online].umbler[.net/home-mobile/clientes/telemovel.php
hxxp://particularesnet24-mobile56452314-online[.umbler.]net/home-mobile/clientes/matriz.php
POST /home-mobile/clientes/message.php 

hxxps://www.mobilebcp].online

 

 


Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *