Todos os posts tagados banco

Phishing Montepio

Phishing Montepio

Tenho recebido notificações que circula pela web um novo email de phishing. Esta nova campanha maliciosa tem como alvo clientes do banco Montepio.

Remetente: MontepioGeral@s5.newseoul.com
Assunto: Aviso Importante

O email e estilo de ataque é muito semelhante ao já publicado aqui relativo à Caixa Geral de Depósitoshttp://www.websegura.net/2013/05/phishing-prezado-cliente-caixa-geral-de-depositos/.

O email fraudulento alerta o utilizador que existe uma atualização no cadastro do cartão matriz e deverá clicar num botão para corrigir essa situação. A imagem apresentada no email está com um link para um blogue WordPress de origem chinesa que poderá ter sido comprometido (algum plugin desatualizado ou algo semelhante).

Nessa página foi efetuada uma cópia do site original do montepio.pt para que desta forma os utilizadores fossem enganados a colocar os dados confidenciais.

Esta página de phishing não contém, até à data deste artigo, malware (resultado do VirusTotal), no entanto convém referir que os utilizadores maliciosos responsáveis desta página, realizaram código especifico para diversas versões de browser, programaram um keylogger no cartão matriz e tudo com mensagens em português (no novo acordo ortográfico).

Como evitar este tipo de ataques:

  • Verificar sempre o endereço da barra de navegação do browser
  • As páginas das entidades bancárias tem sempre um certificado de segurança (o endereço começa por https)
  • As entidades bancárias nunca lhe vão solicitar informação por email
  • Fazer pesquisas nos motores de busca sobre o email

Phishing bancário perto do seu telemóvel

Phishing bancário perto do seu telemóvel

O blogue das Kaspersky alerta que os phishers brasileiros, também responsáveis por ataques em Portugal, estão a começar a criar páginas falsas de bancos com objectivo de angariar contas de clientes do mobile banking.

O esquema é bastante simples de implementar. Começa por espalhar mensagens de email com links maliciosos, cuja programação detecta automaticamente qual o sistema operativo do telemóvel (baseado no user-agent do browser).

Essas mensagens de email fraudulentes poderão conter mensagens muito semelhantes aos emails de bancos reais, tais como mensagens alusivas à versão mobile, como por exemplo:

O seu Banco na palma das suas mãos.

O seu Banco à distância do seu telemóvel.

Consulte o seu saldo bancário mobile.

Os links maliciosos que acompanham esses emails têm como finalidade obter dados confidenciais das contas bancárias dos utilizadores menos atentos. Esses links geralmente são sites com dominios recem-criados ou páginas com reputação que foram comprometidos. Na maioria dos casos, não deverá ver no browser o endereço real do seu banco.

Em Portugal deve estar para breve a utilização deste ataque, isto porque a maioria dos casos registados de phishing no nosso país são oriundos do Brasil. Os utilizadores deverão estar preparados e atentos a estes tipos de ataque.

A Kaspersky Brasil recomenda as seguintes medidas:

  • dê preferência aos aplicativos de mobile banking oficiais disponibilizados gratuitamente pelo seu Banco. Eles podem ser baixados na loja de aplicativos do seu smartphone;
  • evite o acesso através do navegador. Caso seja realmente necessário, dê preferência para os sites com endereço b.br, ou seja seubanco.b.br
  • nunca faça operações via mobile bank estando conectado em uma rede wireless pública, dê preferência para redes de dados 3G ou Edge da sua operadora;
  • nunca clique em links enviados por supostos e-mails do seu banco;
  • não use o Google para procurar a página do banco, pois criminosos usam links patrocinados que aparecem no topo da página;
  • instale um antivírus em seu smartphone ou tablet, alguns deles possuem recursos como navegação segura, capaz de bloquear o acesso a sites de phishing
  • o Kaspersky Mobile Security para usuários de Android também protege contra ataques de phishing e pode ser baixado gratuitamente aqui.

Phishing ao Banco Santander

Recentemente, recebi duas amostras de campanhas que têm como objectivo efectuar phishing às contas dos clientes do Banco Santander.

Segundo os endereços IP’s dos remetentes, do português utilizado, dos endereços de alojamento e dos nomes de variáveis utilizadas, tudo aponta ser um ataque de origem brasileira.

Cabeçalho da 1ª amostra:

Received: from mx-ccr.cristorei.com.br ([200.162.160.111]) by vs01.rede1024.com with esmtps (TLSv1:AES256-SHA:256) (Exim 4.69) (envelope-from emerson@jmarques.com.br) id 1QrMjl-000vfq-90 for XXXXX@XXXXXXXXXXXXX.XXX; Thu, 11 Aug 2011 05:19:18 +0100
Received: from [192.168.1.4] (unknown [187.59.59.80]) by mx-ccr.cristorei.com.br (Postfix) with ESMTP id 611C81E9408; Thu, 11 Aug 2011 01:07:30 -0300 (BRT)
Return-Path: emerson@jmarques.com.br
From: “Santander S.A.” emerson@jmarques.com.br
To: emerson@jmarques.com.br
Subject: Comunicado!

Cabeçalho da 2ª amostra:

Received: from [200.162.160.111] (helo=mx-ccr.cristorei.com.br) by vs01.rede1024.com with esmtps (TLSv1:AES256-SHA:256) (Exim 4.69) (envelope-from naturalspa@naturalspa.com.br) id 1QqzSO-001mLE-U7 for XXXXX@XXXXXXXXXXXXX.XXXm; Wed, 10 Aug 2011 04:27:49 +0100
Received: from [192.168.0.166] (189.114.195.73.dynamic.adsl.gvt.net.br [189.114.195.73]) by mx-ccr.cristorei.com.br (Postfix) with ESMTP id C0AAA1E98C1; Wed, 10 Aug 2011 00:26:58 -0300 (BRT)
Return-Path: naturalspa@naturalspa.com.br
From: “Sanatander S.A.” naturalspa@naturalspa.com.br
To: naturalspa@naturalspa.com.br
Subject: Comunicado!

Após o utilizador efectuar o download e executar a aplicação, este vai requisitar informação bancária, que posteriormente, é enviado via método POST para um ficheiro PHP alojado num servidor web comprometido. Este processo é muito habitual nestes casos.

No caso da primeira amostra, este descarrega também um trojan via web para um possível futuro acesso (C&C – Command and Control).

De referir que ambas as amostras foram detectados pelos antivírus mais comuns.

Para uma análise mais técnica e mais aprofundada das amostras, podem acompanhar o desenvolvimento que submeti nas seguintes sandboxes:

Se por algum motivo instalou este software, é altamente recomendando contactar o seu banco e instalar software de remoção de malware, como por exemplo o Malwarebytes.

Esta informação já foi enviada para o banco visado.

Investimentos em bolsa servem de isco a phishing

No TeK:

A Comissão do Mercado de Valores Mobiliários avisa que estão a circular emails de phishing que recorrem ao nome da CMVM e de bancos portugueses como “isco” para atrair os investidores para esquemas fraudulentos online.

O alerta é dado num comunicado publicado hoje no site da entidade, esta explica que as mensagens são enviadas “como pertencentes a bancos portugueses” e nelas “é confirmada a realização de operações financeiras”, sendo utilizado o nome da CMVM.

Estas mensagens destinam-se a induzir as vítimas a instalar um software malicioso através do qual o conteúdo dos computadores passa a estar acessível a terceiros, acrescenta a Comissão.

A activação do malware é feita mediante a activação de um link fornecido no corpo do email, pelo que o regulador aconselha os internautas a confirmarem juntos do banco referido na mensagem a autenticidade da mesma.

Comprovante de transferência – Banif

Fui contactado por Rui Pinheiro e Rodrigo Lopes, que me alertaram de um novo email fraudulento com um Comprovante de Transferência. Tema escolhido para propagação? Banif.

Segundo fonte oficial:

Alerta de segurança – 8/9 Fevereiro 2011 – Emails Falsos

Alertamos todos os nossos Clientes e não Clientes que estão a ser enviados e-mails de origem desconhecida, que aparentam ser remetidos pelo Banif, cujo principal objectivo é obter dados pessoais e confidenciais para posterior utilização fraudulenta.
Podem consultar o aspecto destes emails fraudulentos nos exemplos fornecidos pelo Banif.