Uma campanha de phishing personificando a marca BPI está em curso desde a manhã do dia 30 de novembro de 2020.

Campanhas desta linha afetando utilizadores de várias organizações da banca em Portugal têm sido recorrentes no último ano. Na manhã de hoje, dia 30 de novembro 2020, uma recém criada campanha tem afetado os utilizadores do banco BPI.

Como habitual, este tipo de esquemas tem sido disseminado através de SMS – um tipo de ataque de engenharia social conhecido e apelidado por smishing.

 

A mensagem enviada com a SMS é sempre um texto chamariz tendo como objetivo que a vítima aceda à URL para depois ser encaminhada para a landing-page maliciosa.

"BPI-NET Alerta": Utilizador
suspenso por seguranca ative agora
<URL malicisa> evite multa
72.52 euros B

 

Por norma, o acesso a este tipo de campanhas não é bloqueado pelos antivirus a agentes EDR anti-malware, uma vez que as páginas não são reconhecidas como maliciosos (e ainda não foram classificadas como tal).

 

Após o clique na URL maliciosa, a vítma é direcionada para a landing-page da campanha – um portal de autenticação muito semelhante ao legítimo.

No formulário de autenticação, são recolhidos dados sensíveis de autenticação – aquele utilizado pela vítima no acesso ao portal ebanking, incluindo:

  • Nº. de Adesão; e
  • Código Secreto de acesso.

 

Depois da vítima introduzir os detalhes solcitados e clicar no botão “Entrar“, um segundo formulário a solicitar o número de telefone é apresentado.

 

É sempre interessante observar o nível de cuidado na implementação dos recursos das campanhas de phishing que temos analisado recentemente. Neste caso, os campos onde a vítima introduz os dados são validados de forma a tornar o sistema malicioso o mais próximo possível do portal original.

 

Após digitar o número de telefone na caixa de texto, o sistema através do seus recursos back-end valida a autenticação no sistema legítimo do banco através de uma chamada HTTP-POST. Enquanto isso, é apresentada uma página de loading à vitíma.

 

Em seguida, e para termino do ciclo de phishing, a vítima é direcionada para a página legitima do banco.

 

Processo back-end da campanha

Durante todo o processo são recolhidos dados adicionais da vítima, incluindo os seus endereços de IP, localização, tipo de navegador Web utilizado, dispositivo (móvel ou desktop), e ainda efetuada a autenticação com o sistema legítimo do banco através dos dados agora disponíveis em backoffice.

Registo dos endereços de IP que acederam à landing-page, tipo de dispositivo e navegador web

 

Back-office controlado pelos criminosos

 

 

 

API – log da verificação dos acessos dos utilizadores ao backoffice

 

Em geral, pede-se aos utilizadores alguma cautela quando confrontados com cenários desta natureza.  Sugere-se mais uma vez alguma sensibilidade e análise deste tipo de situações.

Em caso de suspeita partilhe a situação com as autoridades ou através do formulário disponível aqui, ou submeta a URL maliciosa/suspeita para o 0xSI_f33d – um f33d de phishing/malware de campanhas fraudulentas em Portugal.

 

Indicadores de Compromisso (IOCs)

hxxps://bitly.]com/37k69Qj
legacylubbockrealestate].com

--02-12-2020--
hxxps://bitly.]com/2VojYHT
partyavailable.]com/tj2YjqOc.php?65weq4fq654654fe21365q4564qew4654fewfewfewfwh
circleangle.]com/F5RsIf3Tp3W89SsIJ12q8suSRcK9y1B3xTm5zfOfZldY4MhDEa/

 

0xSI_f33d URL: https://feed.seguranca-informatica.pt/0xsi_f33d_id.php?id=1646