Uma nova campanha de phishing personificando o banco ActivoBank está em curso em Portugal.
A campanha segue os moldes das campanhas desta linha. O esquema é disseminado através de email ou smishing (SMSs maliciosas enviadas diretamente para as vítimas através de listas de números na posse dos grupos criminosos).
De forma a iludir os utilizadores, é utilizado um certificado digital assinado pela CA Let’s encrypt. Desse modo, é imperativo verificar toda a vez se o portal com o qual pretendemos interagir é quem se diz ser.
Existem algumas estratégias iniciais de triagem que permitem identificar um esquema malicioso desta natureza, incluindo:
- Comparar se o certificado digital do potencial portal malicioso é igual ou assinado pela mesma CA do portal legítimo do banco.
- Verificar se a fonte (domínio) pertence à organização legítima. Se tiver dúvidas, faça uma pesquisa no Google pelo nome da organização e valide se os domínios são iguais.
- Procure por erros ortográficos nas páginas, visto estes serem comuns neste tipo de esquemas. P.ex., neste esquema podemos encontrar diversos termos pt/br.
- Tente perceber se o domínio se encontra marcado como malicioso p.ex., no 0xSI_F33d.
- Denúncie o esquema, junto da instituição bancária, junto do CNCS ou atráves do formulário de submissão de ameças presente no 0xSI_f33d ou através deste formulário.
Neste esquema em específico, após introduzir o código de utilizador, a vítima é direcionada para próxima landing-page. Aqui são solicitados detalhes adicionais, nomeadamente algumas posições do código multicanal.
Finalmente, os detalhes da vítima são guardados em ficheiros de texto no servidor no formato: ActivoBank – {código_da_vítima} .txt. Para finalizar a cadeia de phishing, a vítima é direcionada para o portal legítimo do banco.
Em geral, pede-se aos utilizadores alguma cautela quando confrontados com cenários desta natureza. Sugere-se mais uma vez alguma sensibilidade e análise deste tipo de situações.
Em caso de suspeita partilhe a situação com as autoridades ou através do formulário disponível aqui, ou submeta a URL maliciosa/suspeita para o 0xSI_f33d – um f33d de phishing/malware de campanhas fraudulentas em Portugal.
Indicadores de Compromisso (IOCs)
hxxps://ind-activobank.]net/activo/
0xSI_F33d submission: https://feed.seguranca-informatica.pt/0xsi_f33d_id.php?id=1753