Uma campanha fraudulenta em nome do SAPO recolhe dados de cartão de crédito das vítimas.

O número de campanhas de phishing tem vindo a aumentar em Portugal desde o início do confinamento causado pela pandemia Covid-19.

Inúmeras campanhas de phishing têm afetado os cidadãos portugueses, e desta vez o alvo é a marca Sapo.

Desde o dia 03 de maio de 2020 que tem sido observada uma campanha de phishing em nome da marca Sapo, com o objetivo de exfiltrar os dados de autenticação da plataforma (email e palavra-passe) e ainda detalhes do cartão de crédito das vítimas e número de telefone.

As mensagens maliciosas têm sido disseminadas através de email spoofing como apresentado na seguinte imagem e têm sido direcionadas a utilizadores da própria plataforma.

 

A mensagem informa as vítimas que a sua conta foi limitada por motivos de segurança, e que são solicitadas algumas etapas extra para proteção adicional da conta Sapo. Ao clicarem no botão “Proteger minha conta“, as vítimas são direcionadas para a landing-page, disponível em: hxxp://1oficioverde.]com.br/mail.sapo.]pt/.con.

Como pode ser identificado através do texto entregue com a campanha, esta é mais uma campanha de originária do Brasil.

Ao introduzir os dados “email” e “password“, a vítima é direcionada para a página myaccount.php responsável por armazenar os dados da vítima e apresentar a próxima landing-page.

 

De notar que esta página utiliza os recursos do serviço legítimo, nomeadamente ficheiros de estilo (CSS), JavaScript (JS) e carrega diretamente algumas imagens também da página oficial. A prova disso é o popup de cookies apresentado quando a página é carreada pelo navegador de Internet da vítima.

Este indicador pretende aproximar o esquema malicioso ao serviço legítimo e ao mesmo tempo aumentar a sua confiança diante as vítimas.

Em detalhe, pode ser também observado no código fonte da página que algum texto está codificado em HTML ASCII, uma forma de fazer bypass a mecanismos automáticos de deteção de ameaças, permitindo assim aos criminosos manterem as campanhas fraudulentas ativas por um maior período de tempo.

 

Ao aceder à segunda landing-page (myaccount.php), é apresentado um novo formulário solicitando detalhes adicionais do cartão de crédito, o email e número de telefone.

De notar que os dados relativos à recuperação de Password não são mandatórios – o que não acontece com outras campanhas de phishing desta linha. Este tipo de indicador não força a vítima a preencher obrigatoriamente todos os campos do formulário, e poderá contribuir, assim, para o sucesso da campanha do ponto de vista malicioso.

Como já realçado, grande parte dos recursos utilizados na campanha são carregados diretamente do serviço legítimo. No entanto, existe uma diretoria no servidor “SAPO“, que possui recursos adicionais.

Recursos carregados do diretório “SAPO”:

 

Finalmente, depois de a vítima introduzir os seus detalhes na landing-page, os dados são enviados para os criminosos através da página PHP dadosRegisto.php.

 

Aos utilizadores, sugere-se mais uma vez alguma sensibilidade e análise quando confrontados com situações desta natureza.

Caso tenha sido enganado por este tipo de esquemas, deverá contactar as instituições bancárias para procederem de imediato ao cancelamento dos meios de pagamento ou homebanking. Na existência de transações concretizadas deverá apresentar queixa junto das autoridades policiais.

Em caso de suspeita partilhe a situação com as autoridades ou através do formulário disponível aqui, ou submeta a URL maliciosa/suspeita para o 0xSI_f33d – um f33d de phishing/malware de campanhas fraudulentas em Portugal.

 

 

Indicadores de Compromisso (IOCs)

hxxp://1oficioverde.com.]br/mail.sapo.]pt/.con
hxxp://1oficioverde.com.]br/mail.sapo.]pt/.con/pt/Login.]php
hxxp://1oficioverde.com.]br/mail.sapo.]pt/.con/pt/myaccount.]php
hxxp://1oficioverde.com.]br/mail.sapo.]pt/.con/pt/dadosRegisto.]php

 

 


2 Replies to “Campanha fraudulenta em nome do SAPO recolhe dados de cartão de crédito

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *