Duas campanhas de phishing em nome das companhias GALP e CTT em curso em Portugal no dia 20 de maio de 2020.
As campanhas maliciosas têm sido distribuídas via email e estão atualmente a impactar utilizadores portugueses.
Campanha maliciosa – CTT
Ao clicar na hiperligação distribuída via email, a vítima é direcionada para a landing-page.
A campanha em nome dos CTT convida o utilizador a pagar os portes para receber um prémio “Telefone ganho em competição“. Após o pagamento, o telefone será enviado – uma farsa.
Para esse efeito, são solicitados à vitima alguns detalhes, como:
- Nome completo;
- Número cartão de crédito;
- Data de validade do cartão; e
- Código de verificação.
Campanha maliciosa – GALP
A campanha inicia-se geralmente a partir de um email de phishing ou smishing.
A campanha maliciosa em nome da companhia GALP tem o mesmo objetivo: exfiltração de detalhes do cartão de crédito. Neste caso, são recolhidos detalhes pessoais da vítima, e detalhes do cartão nomeadamente:
- Titular do cartão;
- Número cartão de crédito;
- Mês e ano;
- Número de verificação;
- Endereço de email; e
- Número de telefone.
Após a submissão dos detalhes, eles são enviados para a função orquestradora “funcs/denx.php” – um indicador já conhecido de outras campanhas passadas em nome de outras entidades.
Este detalhe indica que o phishkit utilizado é o mesmo usado em outras campanhas, e que apenas o layout da página para a marca target foi desenhado em cima da mesma lógica de código pelos malfeitores.
De notar que a visualização do código fonte é bloqueado, para prevenir que os mais curiosos identifiquem a campanha como maliciosa (ou pelo menos, os criminosos têm esse objetivo).
Depois da submissão dos dados, é solicitado o SMS token enviado pelo banco para o telefone da vítima quando o cartão é utilizado para efetuar compras online.
Aos utilizadores, sugere-se mais uma vez alguma sensibilidade e análise quando confrontados com situações desta natureza.
Caso tenha sido enganado por este tipo de esquemas, deverá contactar as instituições bancárias para procederem de imediato ao cancelamento dos meios de pagamento ou homebanking. Na existência de transações concretizadas deverá apresentar queixa junto das autoridades policiais.
Em caso de suspeita partilhe a situação com as autoridades ou através do formulário disponível aqui, ou submeta a URL maliciosa/suspeita para o 0xSI_f33d – um f33d de phishing/malware de campanhas fraudulentas em Portugal.
Indicadores de Comprometimento (IOCs)
--GALP-- http[://galponline-pt.]com --CTT-- http://elitzelenograd.]ru/ctt/CTTEXPRESSO/ https://mntungwa.]co.]za/i/