Como tem acontecido em outras campanhas de phishing desta linha, os malfeitores estão a realizar o envio massivo de SMS (smishing) aos utilizadores com a página alvo da campanha.
Ao que parece pela SMS recebida, os malfeitores estão a utilizar uma lista de detalhes que lhes confere a possibilidade e enviar o nome da pessoa alvo junto com a mensagem.
Em detalhe, este esquema pretende apenas recolher dados pessoais das vítimas (PII), nomeadamente:
- Primeiro e Último Nome
- Código Postal
- Data de Nascimento
- Email.
É possível validar que a landing-page principal da campanha possui alguns comentários em português nativo, o que poderá indicar quanto à potencial origem dos autores.
A landing-page foi equipada com o recapchav3 do Google, e a vítima para prosseguir necessita de aceitar a política de privacidade apresentada.
• PROMOSMS (Doravante SITE), é gerido por Cherryblue, Lda com domicílio no Centro Empresarial Torres de Lisboa, Rua Tomás da Fonseca, Torre G, 1600-029 Lisboa (endereço de e-mail: [email protected]), e responsável pelos ficheiros automáticos derivados do mesmo, garante a integridade e cumprimento integral das obrigações ao abrigo da Lei Orgânica 15/1999 de 13 de Dezembro, de Protecção de Dados Pessoais, bem como as previstas no seu Regulamento, e demais regulamentos aplicáveis. O site encontra-se registado na Comissão Nacional de Protecção de Dados (CNPD) com o número 8869/2017.
Adicionalmente, podem ser visualizados que os campos dos detalhes solicitados durante a cadeia de infeção estão escondidos na própria landing-page, o que permite, desde logo, uma deteção eficiente quanto ao objetivo desta campanha.
Ao prosseguir com o processo de infeção, os dados são solicitados na landing-page à vitima, e finalmente, esta é enviada para a página oficial do SNS24.
Finalmente, os dados pessoais da vítima são enviados para o serviço remoto sob o controlo dos malfeitores.
Não é conhecido até ao momento, o número de vítimas da campanha fraudulenta.
Aos utilizadores, sugere-se mais uma vez alguma sensibilidade e análise quando confrontados com situações desta natureza.
Em caso de suspeita partilhe a situação com as autoridades ou através do formulário disponível aqui, ou submeta a URL maliciosa/suspeita para o 0xSI_f33d – um f33d de phishing/malware de campanhas fraudulentas em Portugal.