Recebeu um SMS em nome do Montepio Geral a dizer “Cliente Montepio Geral: Acesso Inactivo – Adesao Obrigatoria so SMSCODE. Acesse: mobmontepio.com”? Cuidado, não clique, é apenas alguém que lhe quer roubar os dados para ter acesso à sua conta bancária.
Este é mais um caso de phishing mas agora mascarado através de um SMS da instituição bancária com quem trabalha. Vamos perceber do que se trata.
Os ataques de Phishing direcionados a clientes dos serviços online dos bancos não são propriamente novidade. No entanto, as técnicas usadas têm evoluído significativamente (em especial a qualidade com que o ataque chega ao utilizador), dificultando em muito a acção do utilizador no sentido de validar a veracidade de tal informação recebida.
Para começarmos a falar deste assunto, temos de perceber o que é Phishing. Deixamos aqui um artigo esclarecedor, de fácil percepção, para que perceba como é usada uma técnica de engenharia social para o “enganar” e o levar a acreditar em algo que é natural do seu dia a dia e das relações que estabelece com pessoas e instituições.
O que é o Phishing?
O “Phishing” é uma vigarice que pode chegar por e-mail, SMS, etc. e que tem como objetivo ludibriar pessoas no sentido de as levar a revelar números de cartões de crédito, informação de contas bancárias, números de segurança social, passwords e outro tipo de informação confidencial ou sensível.
Basicamente, o utilizador recebe um e-mail ou SMS, supostamente de uma entidade credível, mas que na verdade o reencaminha (através de um URL/link) para um site com um aspecto muito semelhante ao original mas que, na verdade, é apenas uma cópia, levando muita das vezes o utilizador a inserir dados pessoais e a ser enganado. O utilizador recebe normalmente uma informação a referir que os dados estão errados, mas os dados já estão do lado do atacante. Técnicas como DNS Poisoning (manipulação de entradas no DNS) são também bastante usadas neste tipo de ataques.
SMS do banco são uma armadilha
Desde há algum tempo para cá, temos andado a ser bombardeados com uma técnica, já velha, de tentativa de Phishing. São enviados SMS para os nossos smartphones com mensagens a dar conta que temos um valor para desbloquear e temos de ter acesso à nossa página do banco para verificar que valor é esse, ou então mensagens a dizer que o nosso código de acesso online à conta bancária está inactivo e temos de clicar naquele link para activar de novo o código. É UMA ARMADILHA. NÃO CLIQUE!
Basicamente, estas mensagens levam a pessoa a uma página em tudo idêntica à verdadeira página online da instituição bancária onde são solicitados os códigos de acesso. Estas mais recentes SMS fraudulentas trazem consigo um URL que, de acordo com a nossa análise, aponta para um endereço .ru (cujos servidores também se encontram, aparentemente, na Rússia). O serviço está assente sobre o Jelastic, uma PaS que é muito usado à escala global para programação distribuída.
Como funciona o ataque?
O ataque que está atualmente em curso recorre ao serviço de mensagens das operadoras para enviar o link fraudulento ao utilizador. Na prática, o endereço https://www.montepio.pt/ é mascarado para o serviço fraudulento “montepio.jelastic.regruhosting.ru”.
Esta página de php simula o Portal Online do Banco BIC e espera a inserção de credenciais do cliente. A página foi configurada de forma a esconder o seu URL original utilizando data:text/html. Aos olhos de um utilizador normal, irá parecer a página original do banco BIC.
Nessa página é solicitado aos clientes que introduzam o nome de utilizador e código de acesso ao banco. No entanto, como parte da burla, esses dados seguem para os servidores dos atacantes podendo ser posteriormente utilizados para acesso às contas bancárias.
Como referimos, os esquemas de phishing são cada vez mais elaborados e o Pplware sabe que até já foram detetados pequenos scripts capazes de substituir o (pequeno) formulário de autenticação nas próprias páginas dos bancos. TENHA ATENÇÃO, suspeite sempre de links e ficheiros em e-mails. Um e-mail ou SMS cuja origem lhe é, aparentemente, familiar pode ter propósitos fraudulentos! Suspeite sempre de e-mails ou SMS que lhe solicitem dados de acesso (nome de utilizador é palavra-passe).