Alerta fraude: Página de phishing em nome do banco Montepio.

Esquemas de phishing têm sido constantes e com um crescimento acentuado em Portugal desde o final de 2019.

Threat Report Portugal Q1 2020

 

Desde a manhã de hoje (7 de maio 2020) inúmeros utilizadores têm recebido uma SMS nos seus dispositivos móveis com uma URL maliciosa de uma campanha de phishing em nome do banco Montepio.

Campanhas de engenharia social são utilizadas pelos criminosos para fazer chegar mensagens SMS às vítimas. Neste caso em concreto, e como observado em outras campanhas decorridas, os criminosos utilizam campanhas de smishing com short URLs do serviço bit[.]ly.

Ao clicarem na short URL, as vítimas são direcionadas para a landing-page inicial da campanha de phishing.

 

Os phishkits utilizados pelos criminosos são costumizados de forma a permanecerem o mais parecido possível aos portais legítimos das organizações afetadas.

Como pode ser analisado através da imagem abaixo, o software “HTTrack Website Copier/3.x” tem sido para realizar o snapshot das páginas legítimas. Este é um dos indicadores também observados em campanhas desta linha partilhados neste blog.

Ao aceder à landing-page de phishing, é gerado um IDentificador único associado à vítima. Este indicador permite fazer o tracking da infeção e também manter a landing-page disponível por uma curta janela temporal. Os parâmetros PHP: hash e content são responsáveis por criar essa camada extra de proteção.

https://p3plvcpnl353719.prod.phx3.secureserver.net/~ss7hbp8n23fy/Montepio/www.montepio.pt/particulares.php?

hash=0716e27a945c511db600fcc5586dda26&content=PntXxQG53/2xZ#LGQciCZ/a#DhvBPPgLJd1wo8/8

 

Ao introduzir os detalhes de autenticação no formulário, a vítima é direcionada para a próxima landing-page (net24pLoginTVRedir.php).

Nesta página é solicitado o código de acesso ao portal do homebanking. De notar que o nome de utilizador foi recolhido na página anterior, quando a vítima introduz o detalhe para aceder ao portal Net24.

 

Ao introduzir o código de acesso, a vítima é então direcionada para outra landing-page: errorMessage.php. Nesta página é solicitado o preenchimento de um formulário com as coordenadas do cartão matriz.

Ao preencher os campos solicitados, é realizado um novo pedido ao servidor e a vítima é direcionada para a página smsCode.php.

POST /~ss7hbp8n23fy/Montepio/www.montepio.pt/smsCode.php?hash=xxxxx&content=xxxx HTTP/1.1
Host: p3plvcpnl353719.prod.phx3.secureserver.net
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3835.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Referer: https://p3plvcpnl353719.prod.phx3.secureserver.net/~ss7hbp8n23fy/Montepio/www.montepio.pt/errorMessage.php?hash=xxxxxx&content=xxxx
Content-Type: application/x-www-form-urlencoded
Content-Length: 689
Origin: https://p3plvcpnl353719.prod.phx3.secureserver.net
Connection: close
Cookie: dismisscookies=1
Upgrade-Insecure-Requests: 1

tp1=111&tp2=111&tp3=111&tp4=111&tp5=111&tp6=111&tp7=111&tp8=111&tp=111&tp9=111&tp10=111&tp12=111&tp13=111&tp14=111&tp15=111&tp16=111&tp17=111&tp18=111&tp19=111&tp20=111&tp21=111&tp22=111&tp23=111&tp24=111&tp25=111&tp26=111&tp27=111&tp28=111&tp29=111&tp30=111&tp31=111&tp32=111&tp33=111&tp34=111&tp35=111&tp36=111&tp37=111&tp38=111&tp39=111&tp40=111&tp41=111&tp42=111&tp43=111&tp44=111&tp45=111&tp46=111&tp47=111&tp48=111&tp49=111&tp50=111&tp51=111&tp52=111&tp53=111&tp54=111&tp55=111&tp56=111&tp57=111&tp58=111&tp59=111&tp60=111&tp61=111&tp62=111&tp63=111&tp64=111&tp65=111&tp66=111&tp67=111&tp68=111&tp69=111&tp70=111&tp71=111&tp72=111&mamamaa=21212&actualizar=Activar+Cart%C3%A3o+Matriz

É interessante observar nestas landing-pages concebidas à medida pelos criminosos os seus descuidos com o pt/br. Palavras como: “ cadastrado “, “ recebendo ” são identificadas na página, e denuncia a presença do esquema malicioso.

Nesta página são solicitados os seguintes detalhes:

  • Número de telemóvel;
  • Número fiscal;
  • Número de cartão de cidadão; e
  • Data das nascimento.

 

Estes detalhes são cruciais para ques as vítimas possam personificar as vítimas junto de entidades legítimas e também são uma ferramenta de trabalho para futuras campanhas de spear-phishing – phishing direcionado.

De notar que nos últimos dias em Portugal foram identificas mensagens de smishing totalmente direcionadas às vitimas. Era inclusive gerada uma short URL para cada vítima, com o nome de utilizador, email, numero de telefone e localidade presente na URL.

No final, a vítima é enviada para a página successMessage.php.

 

Todos os dados introduzidos pelas vítimas, incluindo o registo de endereço de IP de acesos e detalhes do browser são guardados em ficheiros de texto no servidor.

Os criminosos passam mais tarde a recolher os detalhes através de uma ligação seguro via VPN de forma a anonimizarem o acesso.

Mais tarde estes dados são utilizados para realizarem acessos ilegítmos aos portais homebanking, e para lançarem outras campanhas desta natureza totalmente direcionadas às vitimas.

É importante ainda realçar que os phishkits por trás dos últimos esquemas de phishing analisados são muito similares aos serviços reais a nível gráfico e de experiência de utilização, e por isso muitos utilizadores podem mesmo acreditar estar a usar o serviço legítimo.

Existe uma preocupação evidente na arquitetura destas campanhas, e de notar que a maior parte dos recursos são sempre carregados dos serviços oficiais, o fluxo e interface são user-friendly, e até a fonte utilizada é a mesma.

O mesmo acontece às mensagens e texto, em geral, embebidos nas campanhas. Não tem sido habitual encontrar palavras em pt-br, mas sim pt-pt, o que demostra uma preocupação adicional dos criminosos em aperfeicoar os seus phishkits. No entanto, importa realçar que a origem das campanhas é o Brasil.

Aos utilizadores, sugere-se mais uma vez alguma sensibilidade e análise quando confrontados com situações desta natureza.

Caso tenha sido enganado por este tipo de esquemas, deverá contactar as instituições bancárias para procederem de imediato ao cancelamento dos meios de pagamento ou homebanking. Na existência de transações concretizadas deverá apresentar queixa junto das autoridades policiais.

Em caso de suspeita partilhe a situação com as autoridades ou através do formulário disponível aqui, ou submeta a URL maliciosa/suspeita para o 0xSI_f33d – um f33d de phishing/malware de campanhas fraudulentas em Portugal.

 

Indicadores de Comprometimento (IOCs)

hxxps://p3plvcpnl353719.]prod.phx3.secureserver.]net/~ss7hbp8n23fy/Montepio/www.montepio.pt/
hxxps://bitly.]com/2YGu49T