Reading Time: 3 minutes
Alerta: Está a decorrer uma campanha enganosa personificando a cadeia de supermercados Continente.

Campanhas fraudulentas personificando cadeias de supermercados não são novas. No corrente ano temos assistido a diversas campanhas de phishing e smishing personificando as gigantes cadeias de supermercados Continente, Pingo Doce e Lidl desde o início do ano 2019.

Também a banca durante o mês de março tem visto o seu nome associado a campanhas desta natureza.

O BPI e o banco Montepio foram alvo de uma campanha de phishing em larga escala. Essas campanhas  foram inicialmente endereçadas via email e SMS às vítimas, com mensagens enganosas e finalidade de obter dados confidenciais, nomeadamente dados de acesso à plataforma ebanking e as coordenadas do cartão matriz sob pena de o cartão matriz ser bloqueado permanentemente.

Deste o ínicio do mês de março que tem sido notada atividade exponencial relativa a outra campanha. Desta vez, os malfeitores estão a personificar o Continente (ver imagem abaixo).

continente

 

Este tipo de campanha utiliza publicidade enganosa e que permite a fulanos mal intencionados ganhar dinheiro com a visita dos utilizadores — advertising (ads). Durante o acesso, as vítimas são conduzidas para páginas de publicidade enganosa, onde são também solicitados dados pessoais (Personally Identificable Information – PII) e que poderão ser utilizadas a posteriori para fins maliciosos, p.ex., campanhas de phishing direcionado (spear-phishing).

Ao clicar na hiperligação distribuída no ads, os utilizadores são direcionados para a seguinte página web.

hxxps://eu.itshouldbeyours.co[.]uk/wingames/supermarket-930-500/PT/step1

 

Como pode ser observado abaixo, o domínio associado à campanha maliciosa não está ainda classificado ainda como “suspeito” pelo VirusTotal. No entanto, o website associado é, de facto, suspeito — como pode ser comprovado por outra campanha também detetada e destacada adiante.

 

Pode ser ainda observado que este domínio é utilizado também para distribuir outras campanhas desta natureza atualmente ativas, como é o caso, da seguinte, onde a vítima é confrontada com a mensagem “Ganhe o iPhoneX“; o seu modo de funcionamento é uma réplica da campanha do Continente descrita ao longo deste artigo.

 

Voltando à campanha do Continente, a landing page apresentada aos utilizadores assim que estes clicam nas URLs maliciosas é a seguinte.

 

Em detalhe, é importante notar alguns pontos interessantes:

  1. É apresentada uma política básica sobre proteção de dados à vitima.
  2. É exibida uma politica de cookies.
  3. A vítima é aliciada com um cartão de 500 euros em compras se fornecer os seus dados e participar na campanha.
  4. O certificado digital utilizado na campanha foi obtiado através da CA Let’s Encrypt — frequentemente utilizada pelos malfeitores para alavancar atividades com mau intuito.

 

Na landing page, os autores de ameça mencionam o seguinte no formulário onde é solicitado o email da vítima:

Apenas os utilizadores que completem o seu registo com dados verdadeiros podem participar na promoção. Ao clicar em registar, está a concordar que a ALDANITI INTERNATIONAL NETWORK, LTD entre em contacto consigo por email para lhe enviar promoções comerciais de terceiros que pertençam aos sectores referidos na Política de Privacidade. Para entrar sem receber mensagens de marketing, clique aqui.

Uma vez registado, o utilizador terá de completar um pequeno questionário com perguntas de âmbito geral sobre o seu estilo de vida, algumas das quais patrocinadas por empresas que o poderão contactar por telefone, email, postal ou sms, sempre sujeito ao seu opt-in e consentimento prévio no questionário.

 

No final da página é ainda mencionado que o Continente näo é organizador nem patrocinador deste sorteio.

Após a introdução de um email, é apresentado um outro formulário à vitima onde são solicitados diversos dados pessoais.

 

Nesse formulário são uma vez mais solicitados dados confidenciais da vítima (PII), incluindo:

  • Nome e apelido
  • Telefone
  • Código postal
  • Data de nascimento.

 

Interessante que ao preencher o código postal, o website faz uma validação referente ao código postal.

 

Finalmente, os dados são então enviados para o servidor.

{"form_name":"Registro Desktop PT GDPR MODELO 1","fields":{"title":{"value":"Sr."},"email":{"value":"[email protected]"},"first_name":{"value":"Test"},"last_name":{"value":"Test"},"phone":{"value":"912356478"},"zipcode1":{"value":"1111"},"zipcode2":{"value":"111"},"dob_day":{"value":"1"},"dob_month":{"value":"1"},"dob_year":{"value":"1983"},"conditions":{"value":"1"},"legal_publicity":{"value":"1"},"legal_communication":{"value":"1"},"regalo":{"value":"Supermarket"}},"sp_exclude":[]}

 

Em seguida, é ainda despoletada uma outra mensagem à vítima, fazendo-a acreditar que este comportamento é parte de uma campanha legítima do Continente.

 

Confirmando os seus dados, a vítima é redirecionada para uma última página onde é apresentado um anúncio.

Pelo caminho são também realizados diversos redirecionamentos e o tracking da vítima através de serviços de ads.

 

Aos utilizadores sugere-se alguma cautela e análise quando confrontados com situações desta natureza. Informações pessoais e confidenciais nunca deverão ser introduzidas em formulários onde são oferecidos cartões de promoções de cadeias de supermercados, solicitadas informações bancárias, etc. Tudo isso não passará de uma farsa.

Um descuidado colocará a informação pessoal dos utilizadores nas mãos erradas. A informação hoje em dia é considerada, por muitos, como o novo petróleo. Malfeitores poderão usá-la para denegrir a imagem das vítimas, fazer-se passar pelas próprias vítimas e utilizar os seus dados pessoais para os fins mais desfavoráveis.

A cadeia de supermercados Continente já está a par da situação mas não efetuou qualquer comunicado até ao momento.

Se desejar reportar-nos alguma situação desta linha ou qualquer tipo de scam, poderá fazê-lo através deste formulário.