Durante os dias 5 e 6 de dezembro, o Banco BPI foi novamente alvo de uma campanha de phishing.

Durante os dias 5 e 6 de dezembro múltiplos utilizadores receberam SMSs referente a uma recente vaga de phishing e mais uma vez envolvendo o banco BPI.

As SMSs recebidas pelas vítimas alertavam que o seu cartão BPINet, Nome e número de acesso haviam sido bloqueados. Para ativar novamente o cartão, a vítima teria que voltar a reativar o cartão indicando alguns detalhes pessoais, como nome, número de telefone e as coodenadas do cartão matriz.

 

Ao aceder através da URL do bit.ly, a vítima era direcionada para a landing page principal.

URL: hxxps[:]//montepiore.sslblindado[.]com/bpi (187[.]17[.]111[.]96)

 

Em detalhe, a landing page verificava se a vítima estava a aceder ao serviço através de um dispositivo móvel ou simplesmente através de um navegador de Internet. O redirecionamento era realizado com base no tipo de dispositivo de forma a apresentar o conteúdo alvo de acordo com as definições do dispositivo origem.

(...)
if (isMobile()) {
    window.location = "m/index.php";
} else {
  window.location = "particulares.php?hash=5e2238f6adeaea92008f6035e14eeef3&content=F8z/nY-quQ2Qx2cgdYotN2M8mrb2kpkDgMt/GELD";
}
(...)

 

Após a validação do serviço, a vítima era direcionada para a landing page principal da campanha maliciosa.

 

Como é natural em campanhas desta natureza, a página usa um certificado digital para aumentar a confiança da vítima no serviço.

Como é possivel observar, o certificado digital foi assinado pela CN RapidSSL RSA CA 2018 (www.digicert.com) em 20 de dezembro de 2018.

Através deste claro indicador é possível inferir que este é um dos certificado wildcard (*.sslblindado[.]com) utilizado em campanhas desta linha à escala global.

À primeira vista, as hiperligações presentes na landing page levam o utilizador para:

  • A própria landing page;
  • O motor de pesquisa google; ou
  • Algumas delas (a grande minoria) respondem com “Page not Found – 404”.

 

Este indicador demonstra que os scamers tiverem o máximo de cuidado a preparar esta campanha. Muitas hiperligações quebradas foram resolvidas de forma a aumentar a potencial confiança das vítimas neste serviço malicioso.

A prova disso é que grande parte dos recursos utilizados pela landing page são obtidos diretamente do servidor oficial e legítmo do próprio banco.

 

O SI-Lab ao analisar o código-fonte da landing page, identificou a ferramenta utilizada pelas vítimas para efetuar uma cópia offline do website legítimo do banco (HTTPTrack Website Copier).

 

Mais ainda, a data exata do clone da página foi num domingo, dia 08 de Julho de 2018, as 22:06:17 GMT. Este artefacto confirma que a landing page aqui utilizada é a mesma utilizada em outras campanhas envolvendo o banco (ver abaixo).

Nova campanha de phishing, desta vez em nome do BPI

 

Analisando os detalhes da campanha, ao introduzir um número BPI Net totalmente aleatório, fomos levados para uma outra landing page onde é solicitada informação sensível à vitima – o seu código secreto de acesso ao portal ebanking.

 

Landing page seguinte, onde é sólicitado o número e código secreto.

 

 

Ao introduzir os dados, a vítima e direcionada para uma outra landing page. Na imagem abaixo é possivel observar o pedido onde são enviados os detalhes “USERID” e “PASSWORD“.

URL: https[:]//montepiore[.]sslblindado.com/bpi/BPINET/VerificaTelemovel.php?hash=#

 

Nesta landind page, são solicitados dados adicionais para a  “Autorização por SMS“, nomeadamente:

  • Nº de telemóvel;
  • Nº Fiscal/Contribuinte; e
  • Data de Nascimento.

 

 

Ao preencher o formulário, a vítima é conduzida para a landing page final (VerificaCoordenadas.php) onde são então solicitadas, por fim, as coordenadas do cartão matriz.

URL: hxxps[:]//montepiore[.]sslblindado.com/bpi/BPINET/VerificaCoordenadas.php

 

 

Ao preencher o formulário, as coordenadas e todas as restantes informações serão guardadas em ficheiros de texto, com o nome da conta BPI Net da vítima no próprio servidor. Também as coordenadas do cartão matriz são guardadas num outro ficheiro de texto no servidor.

 

Por fim, depois deste último passo, a vítima é congratulada com uma mensagem de ativação com sucesso.

 

Aos utilizadores em geral, recomenda-se o máximo de atenção quando confrontados com situações desta natureza. A banca nunca solicita a atualização das coordenadas do cartão matriz e dados confidenciais através de formulários online deste tipo.

Em caso de dúvida, nunca clique! Contacte as autoridades ou o próprio banco.

Este tipo de scams iniciam-se normalmente através de uma simples mensagem de texto enviada para os telemóveis, ou na maior parte das vezes, por emails especialmente criados também eles enviados para a inbox dos utilizadores.

Por fim, é necessário uma forte consciencialização da população para este tipo de esquemas que estão caminhando para um serviço malicioso muito próximo daquilo que é o serviço fidedigno.

Depois de algumas horas ativo, o servidor foi interrompido pelas autoridades e o domínio marcado como não seguro pelo próprio Google.

 

 

IOCS

hxxps[:]//montepiore.sslblindado.com/acesso/BPINET/VerificaCoordenadas.php
hxxps[:]//montepiore.sslblindado.com/bpi/BPINET/VerificaTelemovel.php
hxxps[:]//montepiore.sslblindado.com/bpi/BPINET/Login.php
/bpi/particulares.php
/m/index.php
hxxps[:]//montepiore.sslblindado.com/bpi
https://bit.ly/2LqVNUu
187.17.111.96

 

 


Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *