Alerta: Phishing personificando o ActivoBank em curso em Portugal.

Uma nova campanha de phishing personificando o banco ActivoBank está em curso em Portugal.

A campanha segue os moldes das campanhas desta linha. O esquema é disseminado através de email ou smishing (SMSs maliciosas enviadas diretamente para as vítimas através de listas de números na posse dos grupos criminosos).

De forma a iludir os utilizadores, é utilizado um certificado digital assinado pela CA Let’s encrypt. Desse modo, é imperativo verificar toda a vez se o portal com o qual pretendemos interagir é quem se diz ser.

Existem algumas estratégias iniciais de triagem que permitem identificar um esquema malicioso desta natureza, incluindo:

  1. Comparar se o certificado digital do potencial portal malicioso é igual ou assinado pela mesma CA do portal legítimo do banco.
  2. Verificar se a fonte (domínio) pertence à organização legítima. Se tiver dúvidas, faça uma pesquisa no Google pelo nome da organização e valide se os domínios são iguais.
  3. Procure por erros ortográficos nas páginas, visto estes serem comuns neste tipo de esquemas. P.ex., neste esquema podemos encontrar diversos termos pt/br.
  4. Tente perceber se o domínio se encontra marcado como malicioso p.ex., no 0xSI_F33d.
  5. Denúncie o esquema, junto da instituição bancária, junto do CNCS ou atráves do formulário de submissão de ameças presente no 0xSI_f33d ou através deste formulário.

 

Neste esquema em específico, após introduzir o código de utilizador, a vítima é direcionada para próxima landing-page. Aqui são solicitados detalhes adicionais, nomeadamente algumas posições do código multicanal.

 

Finalmente, os detalhes da vítima são guardados em ficheiros de texto no servidor no formato: ActivoBank – {código_da_vítima} .txt. Para finalizar a cadeia de phishing, a vítima é direcionada para o portal legítimo do banco.

 

Em geral, pede-se aos utilizadores alguma cautela quando confrontados com cenários desta natureza.  Sugere-se mais uma vez alguma sensibilidade e análise deste tipo de situações.

Em caso de suspeita partilhe a situação com as autoridades ou através do formulário disponível aqui, ou submeta a URL maliciosa/suspeita para o 0xSI_f33d – um f33d de phishing/malware de campanhas fraudulentas em Portugal.

 

Indicadores de Compromisso (IOCs)

hxxps://ind-activobank.]net/activo/

 

0xSI_F33d submission: https://feed.seguranca-informatica.pt/0xsi_f33d_id.php?id=1753