Campanhas fraudulentas na Internet são um meio facilitado para atingir utilizadores mais descuidados e, por sua vez, permitem aos criminosos fazerem dinheiro de uma forma “mais ou menos” segura; ou sem desvendar a sua identidade, pelo menos, numa fase preliminar da campanha.
Desta vez, está em curso em Portugal, um scam denominado “Vela de Efeito Invertido”. Não é conhecida a data exata de início do scam, mas suspeita-se que seja recente (fevereiro de 2019).
O blog Segurança Informática foi analisar esta campanha, e ao que parece, ela é muito semelhante a uma outra ocorrida em setembro de 2018 envolvendo a moeda criptográfica TRON. Esta também tem origem polaca como poderá ser observando no decorrer do artigo.
As landing pages da campanha são disseminadas, na sua maioria, através de publicidade enganosa e emails de phishing; e que levam ao clique final dos utilizadores — algo tão anciado pelos malfeitores.
Existem algumas landing pages atualmente disponíveis que apenas são páginas de redirecionamento para a segunda landing page, onde o utilizador realiza a encomenda da especial “Vela de Efeito Invertido” — o objeto utilizado neste novo scam em Portugal.
https://attractgoodluck[.]life/pt/?utm_source=taboola&utm_medium=referral
Essas páginas de redirecionamento não têm grande segredo por trás:
Apresentam, na sua maioria, uma história de vida de forma a convencer mais pessoas a aderirem à campanha fraudulenta.
Neste caso em especial, é personificada uma senhora que ganhou um jackpot de €86 milhões graças ao Jinx Repellent Magic Formula!
Na landing page da história da pessoa fictícia aqui apresentada, os criminosos escrevem o seguinte para cativar novas vítimas:
Não sei como teria sido a minha vida se não fosse por uma amiga minha me ter falado do Jinx Repellent Magic Formula. Ela disse-me que uma rapariga da minha cidade comprou-o, ativou-o com um feitiço, depois conseguiu um ótimo trabalho na capital e ficou rica inesperadamente. Mais tarde, li sobre este amuleto na Internet. Todos os clientes afirmam que funcionou muito bem.
Para ver como funcionava, comprei um bilhete de lotaria. Na semana seguinte, estava a ver TV e percebi que tinha ganho um grande jackpot. Uns incríveis 2 milhões de euros!
Na verdade, tudo isso não passa de uma farsa.
Estas landing pages (redirecionadores) possuem um certificado digital (HTTPS) e estão por trás do CDN CloudFlare — o que para muitos utilizadores, poderá apresentar um sinal de “confiança” — ERRADO!
No final da página é apresentado o botão para a vítima encomendar esse produto tão milagroso. Foi também observado que ao longo da página, todas as hiperligações levam o utilizador para a segunda landing page — aquela que permite, de facto, realizar a encomenda da Vela de Efeito Invertido.
Curiosamente, esta é outra campanha muito semelhante a uma outra campanha registada pelo blog Segurança Informática em setembro passado envolvendo a criptomoeda TRON.
Desta vez, os criminosos parecem também ter alterado uma outra campanha já em curso na Polónia, apesar de neste domínio, em específico, ser entregue uma página de uma campanha a decorrer na Grécia — talvez uma réplica da mesma campanha engendrada por algum grupo organizado de malfeitores da Grécia.
https://attractgoodluck[.]life/
Último passo da campanha: Landing page final e aquisição da Vela Mágica
Como supracitado no decorrer do artigo, existem algumas landing pages apenas com um objetivo traçado: angariar vítimas e direcioná-las para a landing page final onde é possível efetuar a aquisição da vela que resolve todos os problemas do dia-a-dia do ser humano e que permite aos malfeitores definir uma morada para receber o dinheiro das vítimas.
https://yourmagicsolution[.]com/351/jinx-b-rwd/gps/
Ao longo desta página podem ser observados vários testemunhos falsos, várias mensagens popup que se parecem com aquisições em tempo real — mas tudo não-passa de um esquema malicioso bem planeado e implementado.
Vejamos um dos testemunhos que é apresentado assim que a alguém acede à página.
Ao que parece, a pessoa responsável por disseminar a cura para todos os males é chamada de Elyria: —sou vidente e runóloga. Afluem à minha cidade natal pessoas de todo o Portugal, em busca de sabedoria acerca do seu futuro.
Durante a página pode ler-se ainda que este feitiço pode ajudar as pessoas a alcançar a sorte e a riqueza em 4 semanas.
Em casos frequentes de saldos muito baixos na conta bancária, pode-se facilmente:
-Atrair a sorte e a riqueza – em 4 semanas
-Remover os bloqueios que impedem o afluxo de dinheiro – em 3 dias
-Começar a vencer prémios em sorteios de números – resultado imediato após o primeiro ritual realizado!
-Recuperar dinheiro emprestado ou roubado – em 4 semanas
-Encontrar solução para pagar um crédito bancário ou um empréstimo – em 4 semanas
Mas a imaginação dos criminosos por trás da campanha não fica por aqui. Ao que parece, um monge trabalha dia e noite por seis semanas para preparar uma única vela! 47 euros é o preço para a aquisição da vela.
Mas se acha que a capacidade de ludibriar as vítimas terminou, nós aconselhamos a ficar até ao fim. Os criminosos deixam um aviso importante para que os pagamentos não sejam efetuados em antemão sem uma devida verificação do produto.
Durante a navegação na página são apresentadas também algumas mensagens popup no canto inferior direito — e que quase se parece com um comportamento em tempo real legítimo.
Analisando o código fonte da página facilmente se percebe que as informações disponibilizadas nestas mensagens instantâneas são codificadas pelo responsável pelo scam em Javascript.
Outro detalhe interessante é que numa das rotinas javascript no código fonte da página foram encontradas algumas linhas de código comentadas — são um indicador claro da origem da campanha.
Como consta na imagem em baixo, os comentários estão em polaco — tal como na campanha de setembro de 2018. Isso poderá ser um indicador claro que os autores portugueses desta campanha poderão estar ligados com essa mesma campanha. Parece ser um grupo de ameças organizado.
Após alguma conversa mantida entre o sistema e a vítima, é então solicitado no final da página, o formulário onde a vítima irá introduzir os seus dados pessoais, incluindo:
- Nome
- Apelido
- Telefone
- Morada (rua, andar)
- Localidade
- Código postal
- Observações para o fornecedor.
Estes dados pessoas poderão ser utilizados para um estafeta entregar a encomenda à vitima e também para recolher o respetivo dinheiro; pois como observado mais abaixo, o grupo de malfeitores organizado irá mesmo entrar em contacto com as vítimas.
Adicionalmente os criminosos poderão usar estas informações pessoais para personificação ou ainda campanhas de spear-phishing. A boa notícia é que não são solicitados dados referentes a cartões de crédito ou pagamento.
Após o preenchimento do formulário com todos os dados pessoais, a vítima é direcionada para a seguinte página:
https://yourmagicsolution[.]com/351/jinx-b-rwd/gps/order1.php
Como habitual, a vítima é aliciada a adequirir mais produtos. Neste caso, uma vela com o dobro do tamanho é apresentada.
Com este pequeno truque de sedução os criminosos conseguem enganar a vítima e o valor associado ao scam passa de 47 euros para 85 euros.
Finalmente os dados pessoais são confirmados e a vítima é direcionada para o último passo.
Mas os truques de sedução não terminaram por aqui.
Finalmente, aceitando o “apoio financeiro“, a encomenda é finalmente verificada e adicionada ao carrinho.
De notar que a vítima é aliciada a gastar imenso dinheiro com técnicas de sedução bastante eficientes.
Neste cenário, passamos de um valor de 47 euros para um valor total de 112 euros na aquisição de uma vela mágica de efeito invertido.
Outra nota importante que é necessáro reter é a informação disponibilizada nesta última página pelos criminosos:
Para ficar a saber se tem direito à obtenção de prioridade, entraremos em contacto consigo via telefone. A conversa será curta e permitirá decidir se o seu destino começará a mudar nos próximos sete dias.
Segundo o relato de uma das pessoas que reportou ao blog Segurança Informática o esquema, os criminosos entram em contacto através de um número anónimo na tentativa de marcar um local para que, fisicamente, um estafeta, possa entregar a “encomenda” e receber o dinheiro da compra.
Este é um caso recente de outro esquema online com interação física em Portugal. Aos utilizadores sugere-se alguma moderação quando abordados com casos desta natureza.
Não se sabe ao certo a data de início da campanha, no entanto, pode ser observado que o website malicioso possui associado um certificado digital Let’s Encrypt — uma CA usualmente utilizada em campanhas deste estilo — criado no dia 20 de fevereiro de 2019.
Quanto ao servidor que aloja a landing page maliciosa, desta vez não está por trás de qualquer CDN e é possível validar que está geolocalizado num data center em França.
Como exibido acima, existem outros DNS alojados na mesma máquina.
Todos os indicadores de compromisso (IOCs) recolhidos durante a análise estão disponíveis mais abaixo.
Este caso já foi reportado às entidades competentes em Portugal que estão a tomar todas as medidas possíveis para conter o potencial impacto da campanha.
IOCs
51.68.52.220 senseofmagical[.]com www.senseofmagical[.]com yourmagicsolution[.]com www.yourmagicsolution[.]com https://attractgoodluck[.]life/pt/?utm_source=taboola&utm_medium=referral https://yourmagicsolution[.]com/351/jinx-b-rwd/gps/ http://jinx-repellent24[.]com/pt/ http://jinxmagicformula[.]com/es/ https://yoursupplements[.]eu/pt/anti-jinx-ritual/ https://opinioes24[.]com/anti-jinx-ritual/ https://rituaisdenatureza[.]wordpress[.]com/2018/07/10/como-atrair-a-riqueza/ https://senseofmagical[.]com/351/jinx-b-rwd/gps/