Cuidado com as fraudes bancárias dos últimos dias: Detetar e proteger-se contra esta ameaça.

Nos últimos dias, três campanhas de phishing ativas em Portugal têm atingido os utilizadores dos bancos MillenniumBCP, Novo Banco e Montepio. O modus operandi deste tipo de esquemas não se tem alterado nos últimos anos, e os canais preferenciais para fazer chegar o gatilho às vítimas é o smishing e o phishing. De notar que erros ortográficos neste primeiro gatilho deverão levantar suspeita imediata, como p.ex: encontrar-se MilleniumBCP ao invés de MillenniumBCP nas SMS, ou ainda textos potencialmente escritos com expressões de origem pt/br.

 

Figura 1: SMS maliciosas endereçadas às vítimas – campanha personificando o MillenniumBCP – e template de email em nome do NovoBanco.

 

O corpo das mensagens maliciosas tem como objetivo levar a vítima a aceder a um website falso e solicitar detalhes de acesso aos portais homebanking, incluindo credenciais de acesso, código de acesso, cartões matriz, número de telefone, entre outros. Em seguida, são apresentados alguns dos ecrãs da campanha maliciosa relativa ao NBnet.

Figura 2: Ecrãs maliciosos extraídos da campanha de phishing personificando o NovoBanco.

 

O phishkit e modus operandi da campanha não foi alterado desde 2020, portanto, segue abaixo a análise detalhada step-by-step desta vaga já aqui publicada.

Fraude: Campanha de phishing personificando o NovoBanco solicitando detalhes da conta, fotografias do cartão matriz e de débito

 

Vaga de phishing – MillenniumBCP

O template das mensagens de texto (SMS) e o próprio modus operandi desta campanha tem sofrido algumas alterações ao longo dos meses, e pode ser consultado aqui o trabalho de consciencialização realizado pelo MillenniumBCP e na doutrina de segurança que este tem endereçado aos seus utilizadores/clientes.

Geralmente disseminada pelos criminosos através de smishing, como pode ser observado na Figura 1, a vítima após clicar na URL disponibilizada é então conduziada até à landing-page maliciosa.

Figura 3: Landing-page maliciosa referente à campanha maliciosa em nome do MillenniumBCP.

Esta landing-page é a página que dá inicio à campanha fraudulenta, e que tem o objetivo de:

  • Identificar e bloquear acessos quando este é feito via serviços de proxy e VPN;
  • Bloquear endereços de IP que já haviam completado ou acedido à página anteriormente; e
  • Recolher dados sensíveis das vítimas.

 

Através do código fonte das páginas desta campanha, facilmente se percebe a origem maliciosa da mesma. Por exemplo, sempre que seja identificada uma combinção: “nome_da_pagina.php& hash=xxxx “, esse indicador deve levantar uma suspeita imediata, pois este parâmetro  hash faz parte do mecanismo que permite aos criminosos identificar a vítima durante o processo malicioso.

Figura 4: Paramêtro malicioso utilizado na campanha para identificar a vítima durante o processo de comprometimento.

 

Em seguida, são entregues outros ecrãs à vítima, com o objetivo de recolher detalhes adicionais, incluindo:

  • Código multi-canal completo
  • Mais detalhes sobre o código multi-canal; e
  • Número de telefone utilizado para o processo de autenticação forte.

 

Figura 5: Ecrãs falsos associados à campanha maliciosa personificando o MillenniumBCP.

 

Ecrãs da campanha maliciosa Montepio

Figura 6: Landing-page maliciosa referente à campanha do Montepio.

 

Aos utilizadores sugere-se uma vez mais, alguma sensibilidade e análise quando confrontados com situações desta natureza.

Todos os endereços foram adicionados ao 0xSI_f33d para que as organizações possam proceder ao bloqueio dos endereços de  IP/domínios de forma eficaz.

Em caso de suspeita de campanhas de phishing ou malware partilhe a situação com as autoridades ou através do formulário disponível aqui, ou submeta a URL maliciosa/suspeita para o 0xSI_f33d – um f33d de phishing/malware de campanhas fraudulentas em Portugal.

 

Indicadores de Compromisso (IoCs)

hxxps://bcp-multicanal.]online
bcp-multicanal.]online
ind-millennium-bcp.]online
hxxps://www.indmillenniumbcp.]online
pt-millennium.]com
hxxps://sec-nbnet.]online/app/
nbnet-novobanco.]online
hxxps://app.montepionet]com/control.php

0xSI_f33d submission IDs

https://feed.seguranca-informatica.pt/0xsi_f33d_id.php?id=2494
https://feed.seguranca-informatica.pt/0xsi_f33d_id.php?id=2492
https://feed.seguranca-informatica.pt/0xsi_f33d_id.php?id=2489
https://feed.seguranca-informatica.pt/0xsi_f33d_id.php?id=2486
https://feed.seguranca-informatica.pt/0xsi_f33d_id.php?id=2485
https://feed.seguranca-informatica.pt/0xsi_f33d_id.php?id=2484
https://feed.seguranca-informatica.pt/0xsi_f33d_id.php?id=2493