Campanhas personificando serviço Chave Móvel Digital em curso com o objetivo de obter credenciais do seu homebanking.

Nos últimos meses, Portugal tem sido alvo de uma campanha maliciosa crescente que personifica o serviço Chave Móvel Digital, uma ferramenta essencial para a autenticação em serviços públicos e privados online. Esta campanha, sofisticada e bem orquestrada, visa enganar os utilizadores ao fazer-se passar por comunicações oficiais do serviço, induzindo-os a revelar informações sensíveis, como dados pessoais e credenciais de acesso. Utilizando táticas de engenharia social, os atacantes enviam e-mails, mensagens de texto (SMS) e notificações que aparentam ser legítimos, mas que redirecionam as vítimas para sites fraudulentos. Esta ameaça realça a necessidade de uma vigilância constante e de medidas de segurança robustas para proteger os cidadãos contra fraudes digitais.

A campanha inicia-se essencialmente através de SMS similares às que são apresentadas abaixo.

Burlas e SMS fraudulentas em nome de “Chave Móvel Digital”, “ePortugal” ou “Autenticação.gov” - ePortugal.gov.ptRui Pinho on X: "Alerta burla! ‼️ ⚠️ SMS da CMD- chave móvel digital, com um alerta para aceder ao site, semelhante ao original, onde pedem para colocar o número de telemóvel

 

Como pode ser observado, o nome do remetente é “CMD” – um ataque conhecido como SMS spoofing. No SMS spoofing, os atacantes conseguem enganar os sistemas de telecomunicações para que aceitem e transmitam a mensagem com o remetente falsificado (CMD).

Mais, através desta técnica a SMS maliciosa é também agrupada com as mensagens legítimas do remetente CMD, o que pretende aumentar a confiança junto da vítima.

De um modo geral, este tipo de campanha é conhecida como smishing (phishing via SMS). No smishing, os atacantes enviam mensagens de texto fraudulentas para as vítimas, fazendo-se passar por uma entidade confiável. No caso específico da campanha que personifica o serviço Chave Móvel Digital (CMD), os atacantes utilizam o nome “CMD” no remetente da SMS, igual ao original, para aumentar a credibilidade da mensagem e enganar os destinatários. Essas mensagens geralmente contêm links para sites falsos ou solicitam que a vítima forneça informações sensíveis diretamente na resposta à SMS.

Esse método de ataque explora a confiança que os utilizadores têm nos serviços legítimos e a urgência ou importância das mensagens recebidas, levando-os a agir rapidamente sem verificar a autenticidade da comunicação. É crucial que os usuários sejam educados sobre os riscos do smishing e saibam como identificar e evitar essas tentativas de fraude.

 

Detalhes técnicos sobre a campanha

Sempre que aceder ao URL disponibilizado na SMS e este o remeter para uma página vermelha indicando que o website é perigoso: desconfie!

CMD

 

Por outro lado, sempre que lhe for apresentada uma página em nome da Chave Móvel Digital verifique se o endereço é o oficial: https://www.autenticacao.gov.pt. Caso contrário: desconfie!

Neste caso em particular o endereço: cmdautenticacao.]com é um domínio falso. Para comprovar se o domínio já está marcado como malicioso, pode ser consultado o serviço 0xsi_f33d online onde pode ser efetuada uma pesquisa e validar que está marcado na feed.

O 0xsi_f33d é um feed que compila diariamente dezenas de campanhas fraudulentas em curso em Portugal, reunindo indicadores que são recolhidos e depois aplicados de forma efetiva na proteção ativa por várias entidades e fornecedores globais. A partilha e submissão dessas campanhas são cruciais para aumentar a segurança digital dos utilizadores finais, pois permitem a identificação e neutralização rápida de ameaças emergentes, contribuindo para um ambiente digital mais seguro e resiliente.

Continuando com a análise técnica, pode ver-se que ao atualizar a página um repetido número de vezes a seguinte informação relativa a dispositivos autorizados é alterada dinamicamente como meio de assustar a vítima e promover uma ação imediata (chamariz).

 

Outro indicador forte de suspeita é o seguinte.

Essa mensagem indica que uma cópia do site autenticacao-gov.pt-verif.]com foi criada usando o HTTrack Website Copier, uma ferramenta de software para copiar sites. O HTTrack permite realizar um espelho de um site da Internet para um diretório local, recriando todas as páginas, links e ficheiros. Obviamente, “autenticacao-gov.pt-verif.]com” diz respeito a um outro domínio malicioso criado dentro desta campanha massiva.

A mensagem “Mirrored from autenticacao-gov.pt-verif.]com/ by HTTrack Website Copier/3.x [XR&CO’2014], Wed, 28 Feb 2024 19:17:39 GMT” fornece algumas informações importantes:

  1. Origem: O site autenticacao-gov.pt-verif.com foi a fonte da cópia.
  2. Ferramenta: O HTTrack Website Copier, versão 3.x, foi usado para criar a cópia.
  3. Data e Hora: A cópia foi feita na quarta-feira, 28 de fevereiro de 2024, às 19:17:39 GMT.

 

Interação com o sistema fraudulento

Após seguir com a landing-page maliciosa é possível identificar que é solicitado um número de telemóvel.

Olhando para o código fonte é possível verificar parte da lógica do código JavaScript incluindo os comentários em pt/br de cada uma das funções.

Após a introdução de um número de telefone respeitado o formato de 9 dígitos de operadoras portuguesas (um dos requisitos  validados via JavaScript) é apresentada a seguinte página. Aqui a vítima escolhe uma das instituições bancárias (tipicamente o seu banco).

Como observável, a campanha maliciosa tem o objetivo o roubo de credenciais bancárias. Seguem abaixo alguns exemplos de landing-pages seguinte apresentadas à vitima.

 

Após a introdução dos dados a vítima é direcionada para a página oficial do MBWay.

Os dados recolhidos são enviados diretamente de uma API em PHP do Telegram para um grupo controlado pelos criminosos.

Num dos domínios maliciosos foi possível observar os templates utilizados pelos criminosos. Como observado grande parte da banca portuguesa é alvo desta mega campanha a decorrer há largas semanas em Portugal.

 

Aos utilizadores sugere-se uma vez mais, alguma sensibilidade e análise quando confrontados com situações desta natureza. Quanto às organizações alvo neste tipo de investidas, sugere-se também algum controlo no tipo de acessos às contas dos utilizadores, nomeadamente através:

    • Controlo de acesso por endereço de IP; temos observado que alguns grupos criminosos realizam os acessos através de endereços de IP geo-localizados no Brasil, e em alguns casos, sem VPN e através dos endereços de IP residenciais de forma a evitar firewalls.
    • criação de honey-accounts, de forma a que os criminosos pensem estar a realizar a operação maliciosa numa conta legítima. Ao mesmo tempo este tipo de abordagem permite capturar indicadores do grupo malicioso, incluindo a sua geolocalização, tipo de dispositivo de acesso etc.

Todos os endereços foram adicionados ao 0xSI_f33d para que as organizações possam proceder ao bloqueio dos endereços de IP/domínios de forma eficaz.

Em caso de suspeita de campanhas de phishing ou malware partilhe a situação com as autoridades ou através do formulário disponível aqui, ou submeta a URL maliciosa/suspeita para o 0xSI_f33d.

 

Indicadores de Compromisso (IOCs)

atualizar-cmd].com
autenticacao-cmd].com
autenticacao-govpt].com
chavemovel-cmd].com
chavemovelcmd].com
cmd-agov].com
cmd-apagar].com
cmd-assistencia].com
cmd-atualizar].com
cmd-aut].com
cmd-autenticacao].com
cmd-autenticar].com
cmd-autorizar].com
cmd-avaliar].com
cmd-bloquear].com
cmd-cancelar].com
cmd-cc].com
cmd-confirmar].com
cmd-consultar].com
cmd-digital].com
cmd-entrar].com
cmd-gov].com
cmd-govp].com
cmd-govpt].com
cmd-particular].com
cmd-particulares].com
cmd-regularizar].com
cmd-remover].com
cmd-restringir].com
cmd-sec].com
cmd-u].com
cmd-verificar].com
cmdautenticacao].com
cmdpt-bloquear].com
m24empresas].xyz
millenium].testingcasino].com
nbalerta].sbs
nbaviso].sbs
nbnotificacao].sbs
novo].cttpt-tracking].com
novobank].online
nvobco].com
particulares-cmd].com
validar-cmd].com
verificar-cmd].com

 


Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *