Reading Time: 3 minutes

Alerta: Campanha de phishing em nome do BPI está a ser distribuída via email e os criminosos estão a guardar os dados em plain-text no próprio servidor em ficheiros de texto.

Nós últimos dias os utilizadores portugueses têm recebido inúmeros emails de phishing em nome da banca portuguesa. Vários bancos têm sido atingidos por campanhas desta natureza.

Na segunda feira passada, dia 11 de março, foi notada uma primeira wave de phishing em nome do Montepio-Geral que foi endereçada aos utilizadores através de email e SMS.

Desta vez, o esquema utilizado é o mesmo, mas a campanha de phishing é direcionada ao banco BPI e os criminosos estão a guardar os dados dos utilizadores em ficheiros de texto no servidor.

bpi1

 

A campanha de phishing é despoletada na mesma linha da campanha anterior referente ao Montepio. A URL maliciosa utilizada pelos atacantes é a seguinte:

hxxps://www[.]banco.bpi.support/acesso/particulares.php?hash=1fb5130a3ab07b48643e0dad22ce4da8&content=LjvHVmywIMfnqYJPuRb9Atxej9x/k78BA7NqmlSb

 

A lading page usada é um clone da página oficial do banco, com o objetivo de obter dados confidenciais do utilizador e as coordenadas do seu cartão matriz na totalidade.

Caso não o utilizador afetado não efetue o processo de activação, o seu Cartão Matriz este será cancelado permanentemente, e será também cobrada uma taxa de 635,50 EUR para uma nova emissão.

 

Como pode ser observado, a campanha também tem sido distribuída via SMS.

 

Voltando ao email malicioso, e após clicar na hiperligação “Activar Cartão Matriz” disponibilizada no email, o utilizador é direcionado para a landing page maliciosa. A maior parte das hiperligações presentes nessa página não são resolvidas; retornando um erro 404.

Ao analisarmos a página de phishing foi possível validar que apenas a secção de autenticação no portal ebanking foi customizada pelos atacantes. O objetivo é fazer com que o utilizador se autentique na plataforma maliciosa de ebanking na esperança de obter os seus dados de acesso.

Screenshot-bpi

 

Após introduzir uma conta falsa “teste123”, a página de phishing redireciona a vítima para a seguinte hiperligação:

bp4

 

Esta é a primeira landing page que permite alavancar a recolha de dados confidenciais da vítima. Aqui, é solicitada a conta de utilizador (já introduzida no formulário anterior), e também é solicitado o seu código secreto.

Após clicar em “Entrar” , a vítima é encaminhada para a págna “VerificaTelemovel.php“, para onde também é transferida a combinação conta de utilizador e código secreto.

POST /acesso/BPINET/VerificaTelemovel.php?hash=1fb5130a3ab07b48643e0dad22ce4da8&content=VwuUfVb4uZWQ93CvCVmGW2UL-ma0C4TNf0-pPDRr HTTP/1.1
Host: www.banco.bpi.support
(...)
USERID=teste123&PASSWORD=12312&b_acesso=Entrar&TipoBrowser=&h_ScreenHeight=&h_ScreenWidth=&h_Linguagem=&h_LinguaEscolha=&h_ImgInfo=&h_MostraImgSeg=0

 

Neste nova página são solicitados dados confidenciais da vítima, incluindo:

  • Nº de Telemóvel
  • Nº Fiscal/Contribuinte
  • Data de Nascimento

 

 

De notar que ao preencher os dados solicitados, o campo “Data de Nascimento” possui um erro de validação que poderá inviabilizar que a campanha de phishing tenha total sucesso.

Ao introduzir um valor p.e.x, “12/12/90”, a página de phishing não permite o utilizador avançar.

Após alguma perícia, foi possível continuar para o próximo passo, a página “VerificarCoordenadas.php” onde são solicitadas as coordenas do cartão matriz.

POST /acesso/BPINET/VerificaCoordenadas.php?hash=1fb5130a3ab07b48643e0dad22ce4da8&content=G05OHs-rduR8F6tyKDq2DJ6i-PEmSHoWRHK8yVbr HTTP/1.1

Screenshot

 

Após o preenchimento do cartão matriz com dados falsos, podemos ver que a vítima é conduzida até ao último formulário “Sucesso.php” — uma página de sucesso que informa o utilizador que tudo parece ter corrido normalmente (na verdade, uma farsa).

POST /acesso/BPINET/Sucesso.php?hash=1fb5130a3ab07b48643e0dad22ce4da8&content=loxYWPtKg2hPJWv3RGdsRtaKzr11nSytDm5h0XyM HTTP/1.1

 

Em detalhe, é possível validar que a campanha de phishing parece ter sido preparada em 17-07-2018 (de acordo com a imagem abaixo).

 

Ao validarmos com mais algum cuidado, foi possivel observar que os atacantes estão a guardar em ficheiros de texto, no próprio servidor, e sem antenticação:

  • Os endereços de IP das vítimas que acedem à campanha.
  • Os dados da conta e respetivo código secreto.
  • Os dados do cartão matriz na totalidade.

 

 

Como pode ser observado na seguinte imagem, os endereços de IP das vítima são guardados no ficheiro de texto visitas.txt.

 

Já na diretoria “dados“, podem ser observados inúmeros ficheiros de texto com dos dados introduzidos pelos utilizadores nas respetivas landing pages da campanha maliciosa.

(dados introduzidos pelos utilizadores – n de conta, código secreto, telemóvel, NIF, data de nascimento e cartão matriz)

 

(cartão matriz)

 

(Telemóvel, NIF, data de nascimento, Utilizador e PIN)

 

É imporante notar que passados alguns minutos, reparamos que os atacantes removeram os dados da diretoria, uma vez que as 12:06 horas apenas persistiam 2 ficheiros nessa diretoria. Isso é um indicador que a campanha está ongoing.

 

O servidor está alojado na cloud da AWS, e o domínio foi registado no dia 13 de março de 2018.

 

O certificado digital utilizado foi obtido através da CA gratuita, Lets Encrypt — bastante utilizada por criminosos em campanhas deste género — e que pode passar despercebido aos olhos do utilizador comum uma vez que o símbolo “verde” é apresentado ao aceder à página,

 

As autoridades portuguesas têm estado a trabalhar nestas campanhas de phishing nos últimos dias.

Aos utilizadores, pede-se alguma cautela quando emails desta linha são recebidos através de email e SMS. A banca nunca solicita a atualização das coordenadas do cartão matriz e dados confidenciais através de formulários online deste tipo.

Em caso de dúvida, nunca clique! Contacte as autoridades ou o próprio banco.