Uma nova campanha envolvendo o BPI está novamente em marcha. Esta campanha iniciou-se às 01 horas da madrugada do dia 17 de dezembro de 2019.
A mensagem foi-nos enviada por uma das vítimas desta campanha passados alguns minutos depois de receber a mensagem no seu smartphone pessoal.
Uma vez mais os malfeitores utilizam o bitly como meio de mascarar a landing page da campanha maliciosa.
Os criminosos referem que a vítima “tem de aceder à URL para voltar a ativar o seu cartão. Para tal, precisa de registar as suas coordenadas matriz e o seu telemóvel na landing page“.
Esta campanha funciona como as anteriores. Depois de a vítima clicar na short URL, o servidor verifica o dispositivo de acesso. Caso este seja um smartphone, a vítima é direcionada para uma landing page mobile, caso contrário, é direcionada para a landing page web.
A página lerEmail.php é responsável pelo primeiro redirecionamento.
<script language="JavaScript"> function isMobile(){ var a = navigator.userAgent||navigator.vendor||window.opera; if(/android|avantgo|blackberry|blazer|compal|elaine|fennec|hiptop|ip(hone|od|ad)|iris|kindle|lge |maemo|midp|mmp|mobile|o2|opera m(ob|in)i|palm( os)?|p(ixi|re)\/|plucker|pocket|psp|smartphone|symbian|treo|up\.(browser|link)|vodafone|wap|windows ce; (iemobile|ppc)|xiino/i.test(a)||/1207|6310|6590|3gso|4thp|50[1-6]i|770s|802s|a wa|abac|ac(er|oo|s\-)|ai(ko|rn)|al(av|ca|co)|amoi|an(ex|ny|yw)|aptu|ar(ch|go)|as(te|us)|attw|au(di|\-m|r |s )|avan|be(ck|ll|nq)|bi(lb|rd)|bl(ac|az)|br(e|v)w|bumb|bw\-(n|u)|c55\/|capi|ccwa|cdm\-|cell|chtm|cldc|cmd\-|co(mp|nd)|craw|da(it|ll|ng)|dbte|dc\-s|devi|dica|dmob|do(c|p)o|ds(12|\-d)|el(49|ai)|em(l2|ul)|er(ic|k0)|esl8|ez([4-7]0|os|wa|ze)|fetc|fly(\-|_)|g1 u|g560|gene|gf\-5|g\-mo|go(\.w|od)|gr(ad|un)|haie|hcit|hd\-(m|p|t)|hei\-|hi(pt|ta)|hp( i|ip)|hs\-c|ht(c(\-| |_|a|g|p|s|t)|tp)|hu(aw|tc)|i\-(20|go|ma)|i230|iac( |\-|\/)|ibro|idea|ig01|ikom|im1k|inno|ipaq|iris|ja(t|v)a|jbro|jemu|jigs|kddi|keji|kgt( |\/)|klon|kpt |kwc\-|kyo(c|k)|le(no|xi)|lg( g|\/(k|l|u)|50|54|e\-|e\/|\-[a-w])|libw|lynx|m1\-w|m3ga|m50\/|ma(te|ui|xo)|mc(01|21|ca)|m\-cr|me(di|rc|ri)|mi(o8|oa|ts)|mmef|mo(01|02|bi|de|do|t(\-| |o|v)|zz)|mt(50|p1|v )|mwbp|mywa|n10[0-2]|n20[2-3]|n30(0|2)|n50(0|2|5)|n7(0(0|1)|10)|ne((c|m)\-|on|tf|wf|wg|wt)|nok(6|i)|nzph|o2im|op(ti|wv)|oran|owg1|p800|pan(a|d|t)|pdxg|pg(13|\-([1-8]|c))|phil|pire|pl(ay|uc)|pn\-2|po(ck|rt|se)|prox|psio|pt\-g|qa\-a|qc(07|12|21|32|60|\-[2-7]|i\-)|qtek|r380|r600|raks|rim9|ro(ve|zo)|s55\/|sa(ge|ma|mm|ms|ny|va)|sc(01|h\-|oo|p\-)|sdk\/|se(c(\-|0|1)|47|mc|nd|ri)|sgh\-|shar|sie(\-|m)|sk\-0|sl(45|id)|sm(al|ar|b3|it|t5)|so(ft|ny)|sp(01|h\-|v\-|v )|sy(01|mb)|t2(18|50)|t6(00|10|18)|ta(gt|lk)|tcl\-|tdg\-|tel(i|m)|tim\-|t\-mo|to(pl|sh)|ts(70|m\-|m3|m5)|tx\-9|up(\.b|g1|si)|utst|v400|v750|veri|vi(rg|te)|vk(40|5[0-3]|\-v)|vm40|voda|vulc|vx(52|53|60|61|70|80|81|83|85|98)|w3c(\-| )|webc|whit|wi(g |nc|nw)|wmlb|wonu|x700|xda(\-|2|g)|yas\-|your|zeto|zte\-/i.test(a)) return true; else return false; } if (isMobile()) { window.location = "m/index.php"; } else { window.location = "particulares.php?hash=510a3609db773f069c0ae36474cb5646&content=E-TU7gwKS18uHRofsDOfRkWMhQrB-dOPZ29RvOIZ"; }
Nesta campanha, os criminosos voltaram a usar o software HTTrack Website Copier para realizar um clone da página original do banco.
Ao contrário do que aconteceu com campanhas anteriores, os criminosos não estão a carregar recursos web da página do banco. Resolveram todas as dependências e carregaram todos os ficheiros para o servidor malicioso .
Com esta abordagem, evitam que os agentes de monitorização do banco detetem a campanha numa fase ainda prematura, permitindo, assim, atingir um número maior de utilizadores.
Na landing page inicial, apenas existe um recurso dinâmico – o formulário do BPI Net onde a vítima insere o número de adesão.
<form action="BPINET/Login.php?hash=510a3609db773f069c0ae36474cb5646&content=XSHtkgQIV7S2tNumcPJge0xHtG#wfDRcPPM/JDVE" id="login-users-form" method="POST" name="login-users-form" target="_blank">
Após o acesso à área de autenticação, a vítima é então direcionada para uma segunda landing page onde são solicitados o número de adesão e código de acesso.
Após a vítima introduzir os dados, o seguinte pedido é enviado e este conduz a vítima para a seguinte landing page.
USERID=123&PASSWORD=123&b_acesso=Entrar&TipoBrowser=&h_ScreenHeight=&h_ScreenWidth=&h_Linguagem=&h_LinguaEscolha=&h_ImgInfo=&h_MostraImgSeg=0
Nesta landing page, são solicitados detalhes à vitima, nomeadamente:
- Nº de Telemóvel;
- Nº Fiscal/Contribuinte; e
- Data da Nascimento.
Após a introdução dos detalhes, se a vítima prosseguir com o esquema e clicar no botão Continuar, é então levada à página final onde são recolhidos os dados do seu cartão matriz. A página responsável por efetuar esse processo é “VerificaCoordenadas.php“.
POST /BPINet/BPINET/VerificaCoordenadas.php?hash=510a3609db773f069c0ae36474cb5646&content=rL7yc5S6g8wAlDfJQrjVFNZiZUXeUHzJxkjpTMn8 HTTP/1.1
Nesta página é solicitado que a vítima introduza todos os dígitos do seu cartão matriz, e ainda o número do próprio cartão.
Após clicar no botão “Continuar“, todos os dados são enviados e guardados em ficheiros de texto no servidor.
POST /BPINet/BPINET/Sucesso.php?hash=510a3609db773f069c0ae36474cb5646&content=keabSlxksiY6wXf1lhCFldiKMTzLQ86hc/qYHBtM HTTP/1.1 Host: 185.136.232.167 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:71.0) Gecko/20100101 Firefox/71.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: pt-PT,pt;q=0.8,en;q=0.5,en-US;q=0.3 Accept-Encoding: gzip, deflate Content-Type: application/x-www-form-urlencoded Content-Length: 1052 Origin: http://185.136.232.167 Connection: close Referer: http://185.136.232.167/BPINet/BPINET/VerificaCoordenadas.php?hash=510a3609db773f069c0ae36474cb5646&content=rL7yc5S6g8wAlDfJQrjVFNZiZUXeUHzJxkjpTMn8 Cookie: DEVICE_TYPE=desktop; pageLoadedFromBrowserCache=true; RT=s=1576545619735&r=http%3A%2F%2F185.136.232.167%2FBPINet%2FBPINET%2FVerificaCoordenadas.php%3Fhash%3D510a3609db773f069c0ae36474cb5646%26content%3DrL7yc5S6g8wAlDfJQrjVFNZiZUXeUHzJxkjpTMn8 Upgrade-Insecure-Requests: 1 n1=111&chave1=1111&n2=111&chave2=1111&n3=111&chave3=1111&n4=111&chave4=1111&n5=111&chave5=1111&n6=111&chave6=1111&n7=111&chave7=1111&n8=111&chave8=1111&n9=111&chave9=1111&n10=111&chave10=1111&n11=111&chave11=1111&n12=111&chave12=1111&n13=111&cahve13=1111&n14=111&cahve14=1111&n15=111&chave15=1111&n16=111&chave16=1111&n17=111&chave17=1111&n18=111&chave18=1111&n19=111&chave19=1111&n20=111&chave20=1111&n21=111&cahve21=1111&n22=111&chave22=1111&n23=111&chave23=1111&n24=111&cahve24=1111&n25=111&chave25=1111&n26=111&chave26=1111&n27=111&chave27=1111&n28=111&chave28=1111&n29=111&chave29=1111&n30=111&chave30=1111&n31=111&chave31=1111&n32=111&chave32=1111&n33=111&chave33=1111&n34=111&chave34=1111&n35=111&chave35=1111&n36=111&chave36=1111&n37=111&chave37=1111&n38=111&chave38=1111&n39=111&chave39=1111&n40=111&chave40=1111&n41=111&chave41=1111&n42=111&chave42=1111&n43=111&chave43=1111&n44=111&chave44=1111&n45=111&chave45=1111&n46=111&chave46=1111&n47=111&chave47=1111&n48=111&chave48=1111&n49=111&chave49=1111&n50=111&chave50=1111&txtNumCartao=1111111
Esses ficheiros são mais tarde recolhidos pelos criminosos. Como observado abaixo, o ficheiro visitas.txt regista o IP de todas a vítimas que acederam à landing page. Já a diretoria “dados” contém 3 ficheiros por endereço de IP, com os detalhes introduzidos pela vítima.
A diretoria “dados” possui os seguintes ficheiros:
- IP-vítima-2019-12-16(Tabela).txt: Dados do cartão matriz;
- IP-vítima-2019-12-16(Telemovel).txt: Dados do telemóvel e data de nascimento e NIF da vítima; e
- IP-vítima-219-12-16(Utilizador).txt: Dados referentes ao número da conta, data de nascimento e telemóvel.
No momento da partilha desta notícia, sensivelmente 1h depois das primeiras SMSs terem sido recebidas pelas vítimas, apenas 2 acessos ao website foram notados pelo SI-LAB. Nenhum dado sensível ainda havia sido introduzido à exceção da entrada de teste apresentada nesta publicação.
O caso foi reportado às autoridades, no entanto, o website da campanha ainda se encontra online às 02:10 da madrugada do dia 17 de dezembro de 2019.
Aos utilizadores em geral, recomenda-se o máximo de atenção quando confrontados com situações desta natureza. A banca nunca solicita a atualização das coordenadas do cartão matriz e dados confidenciais através de formulários online deste tipo.
Em caso de dúvida, nunca clique! Contacte as autoridades ou o próprio banco.
Este tipo de scams iniciam-se normalmente através de uma simples mensagem de texto enviada para os telemóveis, ou na maior parte das vezes, por emails especialmente criados também eles enviados para a inbox dos utilizadores.
Por fim, é necessário uma forte consciencialização da população para este tipo de esquemas que estão caminhando para um serviço malicioso muito próximo daquilo que é o serviço fidedigno.
Indicadores de Compromisso (IOCs)
hxxp://bitly.com/2rGG3X3 185[.]136.232.167 m/index.php particulares.php lerEmail.php /BPINET/Login.php?hash= /BPINet/BPINET/VerificaTelemovel.php?hash= /BPINet/BPINET/VerificaCoordenadas.php?hash= /BPINet/BPINET/Sucesso.php?hash=</pre>
3 Replies to “Alerta: Novamente campanha fraudulenta do BPI em curso – É a segunda vez este mês de dezembro!”