O esquema malicioso em curso é muito similar a campanhas passadas.
Atualmente os criminosos não estão a recolher dados massivos das vítimas, ao invés disso, eles recolhem apenas os códigos de acesso ao portal homebanking que, via um processo manual/semi-automatizado, lhes confere o acesso ao portal dobanco fazendo assim o bypass ao segundo fator de autenticação exigido durante a autenticação.
Até ao momento, ainda é desconhecida a forma como as mensagens de phishing estão a ser distribuídas, o que geralmente acontece através de mensagens de email ou SMS.
A vítima ao aceder à landing-page maliciosa, é direcionada para a área “Particulares” ou “Empresas“.
Como analisado em campanhas desta natureza nos últimos meses, o código fonte da landing-page parece ser de origem brasileira (“Acessar“), e os ficheiros Javascript carregados por cada página, em específico, são exatamente aqueles também encontrados em campanhas passadas.
Os próprios nomes de domínio sugeram quanto à origem da ameaça: “cgd-cadastro“.
Nesta segunda página, a vítima é encorajada a introduzir os dados de acesso, nomeadamente o nº. de contrato e respetivo código de acesso.
A partir desse momento, os dados são enviados para um backoffice gerido pelos criminosos, que de forma manual/semi-automatizada validam o acesso dos dados da vítima na página oficial do banco.
Caso os dados introduzidos pela vítima sejam os corretos, os criminosos autenticam com sucesso no sistema em segundo plano, e solicitam informações adicionais às vitimas.
O serviço malicioso possui instalado um certificado SSL Let’s Encript usualmente utilizados pelos criminosos como meio para aumentar a confiança do serviço perante as vítimas.
Aos utilizadores, sugere-se mais uma vez alguma sensibilidade e análise quando confrontados com situações desta natureza.
Em caso de suspeita partilhe a situação com as autoridades ou através do formulário disponível aqui.
Indicadores de Compromisso (IOCs)
cgdparticulares[.]online https://cgd-cadastro}.site/site/choose[.php cgdparticulares[.]site cgd-cadastro}.site
6 Replies to “Campanha de phishing em nome da CGD em curso”