Campanhas de phishing continuam como um dos vetores de ataque mais utilizados pelos criminosos para impactar um largo grupo de utilizadores e com o objetivo de recolher dados sensíveis e realizar transferências bancárias.
Comparando o phishkit impactando utilizadores de uma específica entidade bancária, e já analisado numa publicação anterior, é possível concluir que estas peças de engenharia social estão a ser atualizadas periodicamente pelos seus operadores.
O canal de eleição para distribuir este tipo de campanhas continua a ser o email, como pode ser observado na seguinte imagem.
Ao clicar na URL maliciosa distribuída no email malicioso, a vítima é direcionada para a página index.php, onde detalhes sobre o browser, dispositivo e endereço de IP da vítima são registados num ficheiro de texto no próprio servidor.
Em detalhe, o layout desta página é muito similar ao sistema real, incluindo os resources, tipo de fonte, etc. Grande parte dos resources são mesmo carregados do servidor legítimo. No entanto, a página destino para onde os detalhes da vítima são enviados via HTTP-POST é diferente do phishkit anteriormente analisado. Desta vez a página destino encontra-se em: “cp/s1.php“.
Prosseguindo com a campanha maliciosa, clicando no botão “Entrar” a vítima é enviada para: validation.php.
Foi também observado que em algumas campanhas específicas, outra landing-page é apresentada antes da recolha de dados do cartão de crédito:
Ao introduzir os detalhes do cartão de crédito, e número de telefone, estes são submetidos via HTTP-POST através da página “cp/s2.php“, e a vítima cai na landing-page seguinte: validate.php.
<form id="f1" name="n1" method="post" action="cp/s2.php" novalidate="" _lpchecked="1">
Nesta landing page são solicitados os seguintes detalhes da vítima:
- Primeiro nome;
- Último nome;
- Endereço de email;
- Número de telefone;
- Endereço de cobrança;
- Cidade; e
- Código postal.
Após prosseguir com a campanha e clicar em “Validar”, os detalhes são enviados via HTTP-POST para a página “cp/s3.php”.
<form id="f1" name="n1" method="post" action="cp/s3.php">
Finalmente, e de forma imediata, a vítima é direcionada para a página legitima do banco.
Na versão anterior do phishkit, este direcionamento era realizado através do serviço nullrefer.com. Nesta nova versão, esse direcionamento é concretizado utilizado o motor de pesquisa google.
A atualização frequente dos phishkits permite aos criminosos evitar potenciais deteções em sistema de monitorização de ameaças. O modus operandi das campanhas é mantido, no entanto as páginas internas e paths são alterados, assim como a forma como a vítima no final da campanhas é direcioanda para o serviço legítimo.
O seguinte vídeo permite olhar mais detalhadamente para cada step da campanha de phishing, embora o vídeo seja da versão anterior deste phishkit em específico.
Todos os dados introduzidos pelas vítimas, incluindo o registo de endereço de IP de acesos e detalhes do browser são guardados em ficheiros de texto no servidor.
Os criminosos passam mais tarde a recolher os detalhes através de uma ligação seguro via VPN de forma a anonimizarem o acesso.
Mais tarde estes dados são utilizados para realizarem acessos ilegítmos aos portais homebanking, e para lançarem outras campanhas desta natureza totalmente direcionadas às vitimas.
É importante ainda realçar que os phishkits por trás dos últimos esquemas de phishing analisados são muito similares aos serviços reais a nível gráfico e de experiência de utilização, e por isso muitos utilizadores podem mesmo acreditar estar a usar o serviço legítimo.
Existe uma preocupação evidente na arquitetura destas campanhas, e de notar que a maior parte dos recursos são sempre carregados dos serviços oficiais, o fluxo e interface são user-friendly, e até a fonte nas landing-pages utilizada é a mesma do sistema real.
O mesmo acontece às mensagens e texto, em geral, embebidas nas campanhas. Não tem sido habitual encontrar palavras em pt-br, mas sim pt-pt, o que demostra uma preocupação adicional dos criminosos em aperfeicoar os seus phishkits. No entanto, realçar que a origem das campanhas é geralmente o Brasil.
Aos utilizadores, sugere-se mais uma vez alguma sensibilidade e análise quando confrontados com situações desta natureza.
Caso tenha sido enganado por este tipo de esquemas, deverá contactar as instituições bancárias para procederem de imediato ao cancelamento dos meios de pagamento ou homebanking. Na existência de transações concretizadas deverá apresentar queixa junto das autoridades policiais.
Em caso de suspeita partilhe a situação com as autoridades ou através do formulário disponível aqui, ou submeta a URL maliciosa/suspeita para o 0xSI_f33d – um f33d de phishing/malware de campanhas fraudulentas em Portugal.
One Reply to “Phishkits bancários impactando utilizadores Portugueses estão a ser constantemente atualizados pelos criminosos”