Todos os posts tagados montepio

Phishing Montepio

Phishing Montepio

Tenho recebido notificações que circula pela web um novo email de phishing. Esta nova campanha maliciosa tem como alvo clientes do banco Montepio.

Remetente: MontepioGeral@s5.newseoul.com
Assunto: Aviso Importante

O email e estilo de ataque é muito semelhante ao já publicado aqui relativo à Caixa Geral de Depósitoshttp://www.websegura.net/2013/05/phishing-prezado-cliente-caixa-geral-de-depositos/.

O email fraudulento alerta o utilizador que existe uma atualização no cadastro do cartão matriz e deverá clicar num botão para corrigir essa situação. A imagem apresentada no email está com um link para um blogue WordPress de origem chinesa que poderá ter sido comprometido (algum plugin desatualizado ou algo semelhante).

Nessa página foi efetuada uma cópia do site original do montepio.pt para que desta forma os utilizadores fossem enganados a colocar os dados confidenciais.

Esta página de phishing não contém, até à data deste artigo, malware (resultado do VirusTotal), no entanto convém referir que os utilizadores maliciosos responsáveis desta página, realizaram código especifico para diversas versões de browser, programaram um keylogger no cartão matriz e tudo com mensagens em português (no novo acordo ortográfico).

Como evitar este tipo de ataques:

  • Verificar sempre o endereço da barra de navegação do browser
  • As páginas das entidades bancárias tem sempre um certificado de segurança (o endereço começa por https)
  • As entidades bancárias nunca lhe vão solicitar informação por email
  • Fazer pesquisas nos motores de busca sobre o email

Bancos não assumem responsabilidades por ataques de phishing

No Tek Sapo:

A lei determina que os bancos são responsáveis pelas operações que não sejam autorizadas pelos titulares das contas, mas a prática mostra que as entidades não assumem as responsabilidades, nomeadamente em casos de phishing, e só com o recurso às instâncias judiciais os visados conseguem reaver os montantes desviados.

O alerta é dado por uma jurista da Deco, que em declarações ao Diário de Notícias afirma que, por regra, “os bancos não assumem as responsabilidades da situação”, que acaba por só se resolver com recurso a soluções como os julgados de paz, por exemplo.

A propósito de dois casos de utilizadores do Montepio que afirmam ter visto o saldo das contas desfalcado sem que tenham fornecido quaisquer códigos, números ou qualquer tipo de informação, o jornal contactou técnicos da PJ, Deco e do próprio banco – que admitem que o número de fraudes aumentou, mas negam responsabilidades.

A instituição bancária invoca que os clientes “terão sido vítimas de ataque de natureza informática”, praticado por desconhecidos que se apropriaram abusivamente das credenciais de acesso ao serviço, escusando-se às responsabilidades.

Embora a lei diga que os bancos têm a obrigação de “assegurar que os dispositivos de segurança personalizados do instrumento de pagamento só sejam acessíveis ao utilizador que tenha direito de utilizar o referido pagamento”, o facto de os dados terem sido obtidos de forma abusiva e os clientes induzidos em erro é usado como justificação. Acompanhado de que os computadores utilizados não estariam devidamente protegidos, havendo negligência dos clientes.

Cuidado com a nova campanha de phishing usando o nome do Montepio

Está a decorrer nos últimos tempos uma nova campanha de phishing que utiliza o banco Montepio como isco.
O objectivo é obter dados confidenciais do banco em questão.

IP do remetente: 201.9.134.69 (201009134069.user.veloxzone.com.br)

ISP do remetente: Tele Norte Leste Participações S.A.

Enviado via: 201.64.178.178 (mail.chekup.com.br)

Url do ficheiro malicioso: 68.99.112.9/irs/www/Montepio/Dispositivo_Montepio.exe

Segundo o VirusTotal, o ficheiro malicioso indicado no link do email de phishing, é apenas detectado por dois antivírus – ClamAV e o Panda e por esse motivo todo o cuidado é pouco. Tenham em conta que a execução deste tipo de software pode causar danos incalculáveis.

Tudo indica que, tal como campanhas anteriores, este também tem origem no Brasil mas está alojado numa página alojada nos Estados Unidos da América, provavelmente comprometida.

De referir que a entidade bancária Montepio tem disponível uma página sobre este tipo de ataques com sugestões e exemplos.

Ataque de phishing usa o nome dos bancos CGD e o Montepio

Ontem recebi dois emails com o mesmo esquema mas usando diferenças nos links, remetente e o nome do banco. Os remetentes segg.cgd@cgd.pt e grupo@montepio.pt foram os emails usados para tentar enganar os utilizadores menos experientes.

São emails com um texto aparentemente com melhor verificação ortográfica, em relação aos do género, para um português standard e com imagens e contactos reais dos bancos em questão.

Para os menos atentos, os bancos NUNCA requisitam qualquer informação aos clientes. Este tipo de phishing não é novo e vai ganhando novos métodos e assuntos para que se possa tornar mais perigoso e invisível aos filtros de SPAM e antivírus.

Os links no qual os email requisam a reintrodução dos dados diferem do texto que mostra, bastando passar com o cursor do rato para verificar a diferença. Provavelmente estes links foram comprometidos e estão a ser usados para alojar o malware num dos directórios (com atributo escondido).

Após o click nesses links, que remetem para uma página PHP, vai pedir ao visitante para executar ou descarregar um ficheiro .exe (por exemplo: Actualizacao-Montepio.exe ou Actualizacao-CGD.exe).

Para que este malware (apenas detectado no antivírus DrWeb como Trojan.PWS.Banker.origin) não ser facilmente identificado pelas SandBox públicas, o autor criou uma aplicação em Delphi que necessita de ter um visto numa checkbox para assim começar a descarregar e a inserir dados de registo no sistema operativo Windows.

Devido a diversas semelhanças com casos anteriores, a língua utilizada e a variáveis no código, pode ter sido um ataque vindo do Brasil.

Estes emails são detectados como SPAM em diversos clientes de email mas fica o alerta para os mais descuidados.
Para os que quiserem acompanhar este malware deixo a referência ssdeep:

24576:aNMkU311EnNm/Mo0DBauMKVUnWVGGGGGGGGHaI7:a+cNm/0DBaNKqW5am.