Cuidado com as fraudes bancárias dos últimos dias: Detetar e proteger-se contra esta ameaça.

Nos últimos dias, três campanhas de phishing ativas em Portugal têm atingido os utilizadores dos bancos MillenniumBCP, Novo Banco e Montepio. O modus operandi deste tipo de esquemas não se tem alterado nos últimos anos, e os canais preferenciais para fazer chegar o gatilho às vítimas é o smishing e o phishing. De notar que erros ortográficos neste primeiro gatilho deverão levantar suspeita imediata, como p.ex: encontrar-se MilleniumBCP ao invés de MillenniumBCP nas SMS, ou ainda textos potencialmente escritos com expressões de origem pt/br.

Figura 1: SMS maliciosas endereçadas às vítimas – campanha personificando o MillenniumBCP – e template de email em nome do NovoBanco.

O corpo das mensagens maliciosas tem como objetivo levar a vítima a aceder a um website falso e solicitar detalhes de acesso aos portais homebanking, incluindo credenciais de acesso, código de acesso, cartões matriz, número de telefone, entre outros. Em seguida, são apresentados alguns dos ecrãs da campanha maliciosa relativa ao NBnet.

Figura 2: Ecrãs maliciosos extraídos da campanha de phishing personificando o NovoBanco.

O phishkit e modus operandi da campanha não foi alterado desde 2020, portanto, segue abaixo a análise detalhada step-by-step desta vaga já aqui publicada.

Fraude: Campanha de phishing personificando o NovoBanco solicitando detalhes da conta, fotografias do cartão matriz e de débito

Vaga de phishing – MillenniumBCP

O template das mensagens de texto (SMS) e o próprio modus operandi desta campanha tem sofrido algumas alterações ao longo dos meses, e pode ser consultado aqui o trabalho de consciencialização realizado pelo MillenniumBCP e na doutrina de segurança que este tem endereçado aos seus utilizadores/clientes.

Geralmente disseminada pelos criminosos através de smishing, como pode ser observado na Figura 1, a vítima após clicar na URL disponibilizada é então conduziada até à landing-page maliciosa.

Figura 3: Landing-page maliciosa referente à campanha maliciosa em nome do MillenniumBCP.

Esta landing-page é a página que dá inicio à campanha fraudulenta, e que tem o objetivo de:

Identificar e bloquear acessos quando este é feito via serviços de proxy e VPN;
Bloquear endereços de IP que já haviam completado ou acedido à página anteriormente; e
Recolher dados sensíveis das vítimas.

Através do código fonte das páginas desta campanha, facilmente se percebe a origem maliciosa da mesma. Por exemplo, sempre que seja identificada uma combinção: “nome_da_pagina.php& hash=xxxx “, esse indicador deve levantar uma suspeita imediata, pois este parâmetro hash faz parte do mecanismo que permite aos criminosos identificar a vítima durante o processo malicioso.

Figura 4: Paramêtro malicioso utilizado na campanha para identificar a vítima durante o processo de comprometimento.

Em seguida, são entregues outros ecrãs à vítima, com o objetivo de recolher detalhes adicionais, incluindo:

Código multi-canal completo
Mais detalhes sobre o código multi-canal; e
Número de telefone utilizado para o processo de autenticação forte.

Figura 5: Ecrãs falsos associados à campanha maliciosa personificando o MillenniumBCP.

Ecrãs da campanha maliciosa Montepio

Figura 6: Landing-page maliciosa referente à campanha do Montepio.

Aos utilizadores sugere-se uma vez mais, alguma sensibilidade e análise quando confrontados com situações desta natureza.

Todos os endereços foram adicionados ao 0xSI_f33d para que as organizações possam proceder ao bloqueio dos endereços de IP/domínios de forma eficaz.

Em caso de suspeita de campanhas de phishing ou malware partilhe a situação com as autoridades ou através do formulário disponível aqui, ou submeta a URL maliciosa/suspeita para o 0xSI_f33d – um f33d de phishing/malware de campanhas fraudulentas em Portugal.

Indicadores de Compromisso (IoCs)

hxxps://bcp-multicanal.]online
bcp-multicanal.]online
ind-millennium-bcp.]online
hxxps://www.indmillenniumbcp.]online
pt-millennium.]com
hxxps://sec-nbnet.]online/app/
nbnet-novobanco.]online
hxxps://app.montepionet]com/control.php

0xSI_f33d submission IDs

https://feed.seguranca-informatica.pt/0xsi_f33d_id.php?id=2494
https://feed.seguranca-informatica.pt/0xsi_f33d_id.php?id=2492
https://feed.seguranca-informatica.pt/0xsi_f33d_id.php?id=2489
https://feed.seguranca-informatica.pt/0xsi_f33d_id.php?id=2486
https://feed.seguranca-informatica.pt/0xsi_f33d_id.php?id=2485
https://feed.seguranca-informatica.pt/0xsi_f33d_id.php?id=2484
https://feed.seguranca-informatica.pt/0xsi_f33d_id.php?id=2493

Pedro Tavares

Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.

In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.