Vagas de phishing personificando o Novo Banco e do Santander em curso no início de 2020.

Durante o dia de hoje, 13 de Janeiro de 2020, múltiplos utilizadores receberam nos seus telemóveis mensagens de phishing (smishing) referentes a campanhas maliciosas do Novo Banco e do Santander.

O esquema já não é recente e é muito semelhante àquele utilizado em campanhas passadas.  A vaga de phishing do NetFlix e do BPI do passado mês de dezembro 2019 foi disseminada dentro do mesmo modelo de operação:

  • A campanha é iniciada com uma SMS (smishing)
  • Os malfeitores usam short URLs via “bit.ly”
  • Os detalhes das vítimas são armazenados em ficheiros nos servidores comprometidos depois recolhidos pelos criminosos
  • Detalhes identificados nas landing pages permitem associar ambas as campanhas ao mesmo grupo de ameças.

 

A SMS recebida pelas vítimas indica que o utilizador foi desativado e para evitar uma multa aplicada pelo banco precisam de clicar na URL distribuída e introduzir os seus detalhes pessoais de acesso à plataforma ebanking.

 

Esta vaga de ataques, tanto ao Santander como ao Novo Banco parecem ter sido realizadas em conjunto com outros grupos de ameças a operar em outros países. De acordo com algums relatos no Twitter, diversos utilizadores também receberam mensagens de phishing envolvendo o Santander nos últimos dias.

 

 

 

 

Ambas as campanhas em nome do Santander e Novo Banco foram otimizadas desta vez apenas para atingir dispositivos móveis. Depois de a vítima receber a SMS e aceder à URL, o servidor valida se o acesso é concretizado via dispositivo móvel. Em caso contrário, a vítima é enviada para a página do www.google[.]br.

Este é um dos indicadores que nos levam a associar o autor desta campanha ao mesmo grupo que despoletou as campanhas de dezembro passado.

Depois de clicar na hiperligação, a vítima consolida o acesso à landing page da campanha onde são solicitados os dados: nome utilizador e código de acesso.

 

Nesta mesma landing page, facilmente são identificados erros que poderão alertar para uma potencial página/campanha maliciosa. Erros ortográficos e o uso de palavras da língua brasileira podem ser encontrados na imagem acima.

Em detalhe, embora o servidor de phishing detenha configurado um certificado digital assinado pela CA Let’s Encript (um certificado gratuito, sem custos), este não apresenta, hoje em dia, uma base de confiança suficiente para que o utilizador ali insira os seus detalhes.

Certificados desta autoridade são usados diariamente por criminosos de forma a mascarar os seus serviços maliciosos e fazê-los passar como sendo fidedignos.

 

A vítima ao preencher o formulário com os detalhes solicitados é direcionada para a página de registo (registro.php).

 

Curiosamente, os nomes dos campos dos formulários parecem ter sido codificados inicialmente em espanhol, e depois mais tarde adaptados para brasileiro.

 

Landing page: registro.php

Esta nova página solicita aos utilizadores detalhes adicionais:

  • NIF
  • Número do Cartão de Cidadão (CC)
  • Data de Nascimento
  • Número de Telemóvel

 

Os detalhes solicitados na primeira landing page (utilizador e código de acesso) são armazenados temporariamente em caixas de texto ocultas na página para finalmente serem juntamente enviados para a página “completo.php“, onde todos os detalhes são guardados no servidor.

 

Finalmente, quando a vítima carrega no botão “Seguinte“, todos os detalhes são enviados para a pagina final responsável por armazenar os detalhes.

 

Finalmente, a vítima é direcionada para a página oficial do banco caso clique no botão “Entrar no NetBanco“.

 

Aos utilizadores que recebem mensagens desta natureza, especial atenção à forma como as mensagens são distribuídas. Ao serem confrontados com este tipo de esquemas, os utilizadores não devem clicar nos URL, e antes de tomarem qualquer tipo de ação, devem contactar as entidades para confirmarem a vericidade da mesma.

Entidades bancárias nunca utilizarão serviços de terceiros, como o “bit.ly” para fazer chegar mensagens, ou emails, relativos a cancelamento ou bloqueio de contas.

O certificado digital do serviço deve também ser validado. Em caso de dúvida, não prossiga com o processo. Aceda à página oficial do banco, e compare os certificados digitais. Envie uma mensagem ao seu banco e, sobretudo, reporte a situação.

Também pode fazê-lo através deste formulário.

Neste momento ambos os serviços maliciosos já foram bloqueados e as autoridades estão ao corrente da situação.

 

Indicadores de Compromisso (IOCs)

URLs
hxxps[:]//www.balcaonet[.]online/app2130159/
hxxps[:]//www.balcaonet[.]online/app
hxxps[:]//www.balcaonet[.]online
hxxps://www.balcaonet.online/app2130159/registro.php
/app2130159/completo.php 
www.bit[.]ly/35RIHqK
hxxps://novobanco[.]site/site/control.php

IP
31.13.195.98

VT
https://www.virustotal.com/gui/url/998a02a479b86fa6f50fd036974d8df2ede698fcf24f281d01edbad71be835c3
https://www.virustotal.com/gui/url/f9ede8c0ae9b68cd6cf8e529a6c9d505c39aa8fbbcb5eeb9ad7d8625b6a94039

 

 


2 Replies to “Vagas de phishing do Novo Banco e Santander em curso

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *