Durante o dia de hoje, 13 de Janeiro de 2020, múltiplos utilizadores receberam nos seus telemóveis mensagens de phishing (smishing) referentes a campanhas maliciosas do Novo Banco e do Santander.
O esquema já não é recente e é muito semelhante àquele utilizado em campanhas passadas. A vaga de phishing do NetFlix e do BPI do passado mês de dezembro 2019 foi disseminada dentro do mesmo modelo de operação:
- A campanha é iniciada com uma SMS (smishing)
- Os malfeitores usam short URLs via “bit.ly”
- Os detalhes das vítimas são armazenados em ficheiros nos servidores comprometidos depois recolhidos pelos criminosos
- Detalhes identificados nas landing pages permitem associar ambas as campanhas ao mesmo grupo de ameças.
A SMS recebida pelas vítimas indica que o utilizador foi desativado e para evitar uma multa aplicada pelo banco precisam de clicar na URL distribuída e introduzir os seus detalhes pessoais de acesso à plataforma ebanking.
Esta vaga de ataques, tanto ao Santander como ao Novo Banco parecem ter sido realizadas em conjunto com outros grupos de ameças a operar em outros países. De acordo com algums relatos no Twitter, diversos utilizadores também receberam mensagens de phishing envolvendo o Santander nos últimos dias.
Amazing blog article : Ojo campaña de phishing por SMS haciéndose pasar por el Banco Santander! Check it live: https://t.co/8piSrBOf3S
— Eme Navarro (@emenavarro) January 11, 2020
@bancosantander @santander_resp tenéis alguien que manda SMS phishing a no clientes. No tengo cuenta con vosotros y acabo de recibir el SMS que os paso en la captura. Menciono @policia por si sirve de algo. Un saludo pic.twitter.com/t55vaY52WD
— Sergio S. (@sergio1984sj) January 10, 2020
Ambas as campanhas em nome do Santander e Novo Banco foram otimizadas desta vez apenas para atingir dispositivos móveis. Depois de a vítima receber a SMS e aceder à URL, o servidor valida se o acesso é concretizado via dispositivo móvel. Em caso contrário, a vítima é enviada para a página do www.google[.]br.
Este é um dos indicadores que nos levam a associar o autor desta campanha ao mesmo grupo que despoletou as campanhas de dezembro passado.
Depois de clicar na hiperligação, a vítima consolida o acesso à landing page da campanha onde são solicitados os dados: nome utilizador e código de acesso.
Nesta mesma landing page, facilmente são identificados erros que poderão alertar para uma potencial página/campanha maliciosa. Erros ortográficos e o uso de palavras da língua brasileira podem ser encontrados na imagem acima.
Em detalhe, embora o servidor de phishing detenha configurado um certificado digital assinado pela CA Let’s Encript (um certificado gratuito, sem custos), este não apresenta, hoje em dia, uma base de confiança suficiente para que o utilizador ali insira os seus detalhes.
Certificados desta autoridade são usados diariamente por criminosos de forma a mascarar os seus serviços maliciosos e fazê-los passar como sendo fidedignos.
A vítima ao preencher o formulário com os detalhes solicitados é direcionada para a página de registo (registro.php).
Curiosamente, os nomes dos campos dos formulários parecem ter sido codificados inicialmente em espanhol, e depois mais tarde adaptados para brasileiro.
Landing page: registro.php
Esta nova página solicita aos utilizadores detalhes adicionais:
- NIF
- Número do Cartão de Cidadão (CC)
- Data de Nascimento
- Número de Telemóvel
Os detalhes solicitados na primeira landing page (utilizador e código de acesso) são armazenados temporariamente em caixas de texto ocultas na página para finalmente serem juntamente enviados para a página “completo.php“, onde todos os detalhes são guardados no servidor.
Finalmente, quando a vítima carrega no botão “Seguinte“, todos os detalhes são enviados para a pagina final responsável por armazenar os detalhes.
Finalmente, a vítima é direcionada para a página oficial do banco caso clique no botão “Entrar no NetBanco“.
Aos utilizadores que recebem mensagens desta natureza, especial atenção à forma como as mensagens são distribuídas. Ao serem confrontados com este tipo de esquemas, os utilizadores não devem clicar nos URL, e antes de tomarem qualquer tipo de ação, devem contactar as entidades para confirmarem a vericidade da mesma.
Entidades bancárias nunca utilizarão serviços de terceiros, como o “bit.ly” para fazer chegar mensagens, ou emails, relativos a cancelamento ou bloqueio de contas.
O certificado digital do serviço deve também ser validado. Em caso de dúvida, não prossiga com o processo. Aceda à página oficial do banco, e compare os certificados digitais. Envie uma mensagem ao seu banco e, sobretudo, reporte a situação.
Também pode fazê-lo através deste formulário.
Neste momento ambos os serviços maliciosos já foram bloqueados e as autoridades estão ao corrente da situação.
Indicadores de Compromisso (IOCs)
URLs hxxps[:]//www.balcaonet[.]online/app2130159/ hxxps[:]//www.balcaonet[.]online/app hxxps[:]//www.balcaonet[.]online hxxps://www.balcaonet.online/app2130159/registro.php /app2130159/completo.php www.bit[.]ly/35RIHqK hxxps://novobanco[.]site/site/control.php IP 31.13.195.98 VT https://www.virustotal.com/gui/url/998a02a479b86fa6f50fd036974d8df2ede698fcf24f281d01edbad71be835c3 https://www.virustotal.com/gui/url/f9ede8c0ae9b68cd6cf8e529a6c9d505c39aa8fbbcb5eeb9ad7d8625b6a94039
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.