Nos últimos dias, três campanhas de phishing ativas em Portugal têm atingido os utilizadores dos bancos MillenniumBCP, Novo Banco e Montepio. O modus operandi deste tipo de esquemas não se tem alterado nos últimos anos, e os canais preferenciais para fazer chegar o gatilho às vítimas é o smishing e o phishing. De notar que erros ortográficos neste primeiro gatilho deverão levantar suspeita imediata, como p.ex: encontrar-se MilleniumBCP ao invés de MillenniumBCP nas SMS, ou ainda textos potencialmente escritos com expressões de origem pt/br.
Figura 1: SMS maliciosas endereçadas às vítimas – campanha personificando o MillenniumBCP – e template de email em nome do NovoBanco.
O corpo das mensagens maliciosas tem como objetivo levar a vítima a aceder a um website falso e solicitar detalhes de acesso aos portais homebanking, incluindo credenciais de acesso, código de acesso, cartões matriz, número de telefone, entre outros. Em seguida, são apresentados alguns dos ecrãs da campanha maliciosa relativa ao NBnet.
Figura 2: Ecrãs maliciosos extraídos da campanha de phishing personificando o NovoBanco.
O phishkit e modus operandi da campanha não foi alterado desde 2020, portanto, segue abaixo a análise detalhada step-by-step desta vaga já aqui publicada.
Vaga de phishing – MillenniumBCP
O template das mensagens de texto (SMS) e o próprio modus operandi desta campanha tem sofrido algumas alterações ao longo dos meses, e pode ser consultado aqui o trabalho de consciencialização realizado pelo MillenniumBCP e na doutrina de segurança que este tem endereçado aos seus utilizadores/clientes.
Geralmente disseminada pelos criminosos através de smishing, como pode ser observado na Figura 1, a vítima após clicar na URL disponibilizada é então conduziada até à landing-page maliciosa.
Figura 3: Landing-page maliciosa referente à campanha maliciosa em nome do MillenniumBCP.
Esta landing-page é a página que dá inicio à campanha fraudulenta, e que tem o objetivo de:
- Identificar e bloquear acessos quando este é feito via serviços de proxy e VPN;
- Bloquear endereços de IP que já haviam completado ou acedido à página anteriormente; e
- Recolher dados sensíveis das vítimas.
Através do código fonte das páginas desta campanha, facilmente se percebe a origem maliciosa da mesma. Por exemplo, sempre que seja identificada uma combinção: “nome_da_pagina.php& hash=xxxx “, esse indicador deve levantar uma suspeita imediata, pois este parâmetro hash faz parte do mecanismo que permite aos criminosos identificar a vítima durante o processo malicioso.
Figura 4: Paramêtro malicioso utilizado na campanha para identificar a vítima durante o processo de comprometimento.
Em seguida, são entregues outros ecrãs à vítima, com o objetivo de recolher detalhes adicionais, incluindo:
- Código multi-canal completo
- Mais detalhes sobre o código multi-canal; e
- Número de telefone utilizado para o processo de autenticação forte.
Figura 5: Ecrãs falsos associados à campanha maliciosa personificando o MillenniumBCP.
Ecrãs da campanha maliciosa Montepio
Figura 6: Landing-page maliciosa referente à campanha do Montepio.
Aos utilizadores sugere-se uma vez mais, alguma sensibilidade e análise quando confrontados com situações desta natureza.
Todos os endereços foram adicionados ao 0xSI_f33d para que as organizações possam proceder ao bloqueio dos endereços de IP/domínios de forma eficaz.
Em caso de suspeita de campanhas de phishing ou malware partilhe a situação com as autoridades ou através do formulário disponível aqui, ou submeta a URL maliciosa/suspeita para o 0xSI_f33d – um f33d de phishing/malware de campanhas fraudulentas em Portugal.
Indicadores de Compromisso (IoCs)
hxxps://bcp-multicanal.]online bcp-multicanal.]online ind-millennium-bcp.]online hxxps://www.indmillenniumbcp.]online pt-millennium.]com hxxps://sec-nbnet.]online/app/ nbnet-novobanco.]online hxxps://app.montepionet]com/control.php
0xSI_f33d submission IDs
https://feed.seguranca-informatica.pt/0xsi_f33d_id.php?id=2494 https://feed.seguranca-informatica.pt/0xsi_f33d_id.php?id=2492 https://feed.seguranca-informatica.pt/0xsi_f33d_id.php?id=2489 https://feed.seguranca-informatica.pt/0xsi_f33d_id.php?id=2486 https://feed.seguranca-informatica.pt/0xsi_f33d_id.php?id=2485 https://feed.seguranca-informatica.pt/0xsi_f33d_id.php?id=2484 https://feed.seguranca-informatica.pt/0xsi_f33d_id.php?id=2493
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.