A campanha procura roubar credenciais de acesso ao serviço, para além de informação financeira da vítima, como seja o número de conta bancária e os dados dos cartões de crédito e de débito.
A partir do laboratório da ESET na América Latina detetámos um site criado recentemente que tenta enganar os utilizadores fazendo-lhes crer que se trata do site oficial da PayPal, o conhecido serviço financeiro de pagamentos e cobranças a nível mundial, com o objetivo de roubar chaves de acesso e informação financeira das vítimas.
Com a desculpa de ter detetado movimentos não habituais na conta do utilizador, a mensagem exibida pelo site falso “informa” à potencial vítima que é necessário “proteger a sua conta” para prevenir acessos não autorizados e que para tal deve clicar no botão “proteger conta” e inserir os seus dados pessoais.
Usando os princípios da engenharia social, a campanha apela ao medo causado pelo recebimento de uma mensagem a informar acerca de atividades não habituais numa conta pessoal, para que a vítima concorde em levar adiante o processo de proteger a sua conta.
Após verificação do CAPTCHA, na etapa seguinte a campanha solicita ao utilizador que insira o seu endereço de e-mail (neste ponto, já se deveria ter notado algo suspeito, já que aparece também a opção de subscrever o serviço, quando teoricamente a mensagem se dirige a utilizadores ativos).
De seguida, como de costume, solicita que o utilizador introduza a password para aceder à sua conta.
Para além da possibilidade de criar uma nova conta, se a vítima efetivamente introduzir a password receberá de seguida uma mensagem a indicar que a sua conta precisa de ser verificada e que por esse motivo está limitado o acesso a determinadas funções até que a sua conta seja restaurada.
Chegado a este ponto, o utilizador já terá entregue aos criminosos os seus dados de acesso ao sistema; não obstante, o golpe pretende continuar a roubar informações.
Depois de solicitar os seus dados pessoais e os do seu domicílio, o phishing continua a tentar roubar informação financeira.
Os responsáveis por detrás desta campanha não ficam satisfeitos apenas com os dados do cartão de crédito/débito, e por isso solicitam também os dados da conta bancária associada ao cartão de crédito e débito.
Para além disso, oferecem à vítima a possibilidade de vincular um endereço de e-mail com a conta do serviço, solicitando a introdução das credenciais de acesso à sua conta de e-mail.
Uma vez finalizada a etapa de recolha de informação, a campanha avisa a vítima que foi restabelecido o acesso à sua conta, mas que a verificação da mesma levará até 24 horas. Pelo que qualquer inconveniente que o utilizador esteja sujeito ao aceder à sua conta, é justificado por este processo que o próprio gerou.
Tal como vimos nesta e outras campanhas de phishing que temos reportado nos últimos tempos, os hackers continuam a utilizar como uma das suas principais ferramentas para o roubo de informação as técnicas de engenharia social.
Embora o URL esteja tapado para evitar a difusão da campanha, para além de contar com um certificado SSL, o qual faz com que os utilizadores baixem as guardas ao verem o cadeado verde na barra de navegação, podemos também observar que o nome do site faz uma clara referência a um serviço de acesso para clientes e à ação de restabelecer a conta.
Tal como se pode observar na figura 10, o certificado foi obtido nos últimos dias, com o que tudo indica tratar-se de uma campanha muito recente. O mesmo se pode verificar na figura 11 com a data de registo do domínio.
O registo do domínio foi feito um dia depois da solicitação do certificado, e apesar dos dados do proprietário não estarem públicos, aparentemente o registo realizou-se no Panamá.
Vale a pena mencionar que durante a análise não detetámos a instalação de serviços ou aplicações adicionais, o que demonstra que a campanha tem como único objetivo o roubo de informação financeira e credenciais de acesso, para além dos dados pessoais.
Os golpes on-line permanecem altamente ativos e a engenharia social como vetor de ataque continua a ser uma das principais ameaças na atualidade. Em parte isto explica-se dada a elevada percentagem de utilizadores continua sem saber exatamente o que é o phishing e este desconhecimento deixa-os expostos e mais vulneráveis a este tipo de ameaças.
É cada vez mais importante prestar atenção aos sites onde entramos, contar com uma solução de segurança fiável instalada nos nossos dispositivos de escritório como nos nossos telefones e ter presente que, perante a dúvida, não devemos aceder nunca aos links que chegam através de uma mensagem, sendo sempre melhor o acesso manualmente e dessa forma verificar que tudo está em ordem.
Outro fator chave para reduzir o número de vítimas de phishing é implementar o uso de duplo fator de autenticação (2FA) em todos os serviços em que está disponível.
Já agora, faça também o teste de phishing publicado pela Google, com o qual pode, através de exemplos reais, aprender a detetar fraudes.
Técnicas de MITRE ATT&CK
Tática | ID | Nome | Descrição |
Acesso Inicial | T1190 | Spearphishing Link | Spearphishing com um link é uma variante específica do spearphishing. É diferente de outras formas de spearphishing nas quais se utilizam links para descarregar malware incluído no correio eletrónico, em vez de juntar arquivos maliciosos ao correio eletrónico em si, para evitar que os arquivos possam ser inspecionados. |