Uma nova campanha de phishing personificando o banco ActivoBank está em curso em Portugal.
A campanha segue os moldes das campanhas desta linha. O esquema é disseminado através de email ou smishing (SMSs maliciosas enviadas diretamente para as vítimas através de listas de números na posse dos grupos criminosos).
De forma a iludir os utilizadores, é utilizado um certificado digital assinado pela CA Let’s encrypt. Desse modo, é imperativo verificar toda a vez se o portal com o qual pretendemos interagir é quem se diz ser.
Existem algumas estratégias iniciais de triagem que permitem identificar um esquema malicioso desta natureza, incluindo:
- Comparar se o certificado digital do potencial portal malicioso é igual ou assinado pela mesma CA do portal legítimo do banco.
- Verificar se a fonte (domínio) pertence à organização legítima. Se tiver dúvidas, faça uma pesquisa no Google pelo nome da organização e valide se os domínios são iguais.
- Procure por erros ortográficos nas páginas, visto estes serem comuns neste tipo de esquemas. P.ex., neste esquema podemos encontrar diversos termos pt/br.
- Tente perceber se o domínio se encontra marcado como malicioso p.ex., no 0xSI_F33d.
- Denúncie o esquema, junto da instituição bancária, junto do CNCS ou atráves do formulário de submissão de ameças presente no 0xSI_f33d ou através deste formulário.
Neste esquema em específico, após introduzir o código de utilizador, a vítima é direcionada para próxima landing-page. Aqui são solicitados detalhes adicionais, nomeadamente algumas posições do código multicanal.
Finalmente, os detalhes da vítima são guardados em ficheiros de texto no servidor no formato: ActivoBank – {código_da_vítima} .txt. Para finalizar a cadeia de phishing, a vítima é direcionada para o portal legítimo do banco.
Em geral, pede-se aos utilizadores alguma cautela quando confrontados com cenários desta natureza. Sugere-se mais uma vez alguma sensibilidade e análise deste tipo de situações.
Em caso de suspeita partilhe a situação com as autoridades ou através do formulário disponível aqui, ou submeta a URL maliciosa/suspeita para o 0xSI_f33d – um f33d de phishing/malware de campanhas fraudulentas em Portugal.
Indicadores de Compromisso (IOCs)
hxxps://ind-activobank.]net/activo/
0xSI_F33d submission: https://feed.seguranca-informatica.pt/0xsi_f33d_id.php?id=1753
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.