Esquema de phishing em nome da Autoridade Tributária e Aduaneira em curso em Portugal.

Durante os primeiros dias do mês de novembro de 2020 foi identificada uma campanha de phishing que personifica a Autoridade Tributária e Aduaneira num esquema em que é “efetuado um reembolso de 105 euros” à vítima.

O esquema de phishing inicia-se com um email enviado à vítima, onde é solicitado o “envio do pedido de impostos para que seja efetuado o reembolso“; na verdade, não passa de uma farsa.

 

Ao clicar na hiperligação entregue no email de phishing, a vítima é direcionada para a landing-page maliciosa, onde são solicitados os seguintes dados pessoais:

  • Nome
  • Morada
  • Cidade
  • Código Postal
  • Data de nascimento; e
  • Número de telefone

 

 

 

Após introduzir os dados pessoais e clicar no botão “Continuar“, detalhes adicionais do cartão de crédito são solicitados na página maliciosa.

Para finalizar o processo, os criminosos, em backgound, efetuam operações maliciosas em nome da vítima. Para isso, e para manter a vítima ainda ativa, apresentam uma página de loading onde é mencionado que um processamento interno está a ser realizado. De seguida, é solicitado o código SMS recebido no telefone da vítima para que estes consigam saltar as restrições de segurança impostas pelas camadas multi-factor authentication (MFA) dos sistemas alvo que validam, a cada autenticação, a legitimidade do acesso.

 

De notar que, o endereço da página maliciosa é referente a um website comprometido pelos malfeitores e que hospeda o template malicioso. A landing-page carrega o layout diretamente do website comprometido através de image-base64, e não faz qualquer link a ficheiros da estrutura (CSS, imagens, JS, etc) do portal legítimo das finanças.

Em geral, pede-se aos utilizadores alguma cautela quando confrontados com cenários desta natureza.  Sugere-se mais uma vez alguma sensibilidade e análise deste tipo de situações.

Em caso de suspeita partilhe a situação com as autoridades ou através do formulário disponível aqui, ou submeta a URL maliciosa/suspeita para o 0xSI_f33d – um f33d de phishing/malware de campanhas fraudulentas em Portugal.

 

Indicadores de Compromisso

https://bit.]ly/3jrt8wW
https://saadl.]com/files/email-templates/httpsaduaneiro.portaldasfinancas.gov.ptjspmain.jsp

 

 


Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *