Todos os posts tagados phishing

Esquemas fraudulentos em ptempregos.com e scandicredit.pt

por David Sopas em 31 de Março de 2014 em Artigos com 49 Comentários Tweet
Esquemas fraudulentos em ptempregos.com e scandicredit.pt

Recentemente deparei-me com dois sites que prometem as melhores soluções para os portugueses desempregados. Uma salário cativante, bons prémios de trabalho, trabalho em casa, etc… Após uma breve análise, cheguei à conclusão que ambos são esquemas fraudulentos.

ptempregos.com
Este recém-criado portal de empregos (registado dia 12 de Fevereiro) está a enviar SPAM com anúncios de emprego fraudulentos.
Digo isto baseado na minha experiência com outros emails de oportunidades de trabalho e do próprio portal em si que é bastante duvidoso.

O registo de domínio foi criado no dia 12 de Fevereiro deste ano no site - bizcn.com (site de registo de domínios chinês) e está apontar para servidores DNS do serviço gratuito DNSEver.com (este muito usado para alojar sites com malware e de phishing).

O portal ptempregos.com foi criado com o CMS Joomla e apresenta textos em português europeu, português do Brasil e alguns termos em espanhol. As propostas existentes no portal são retirados de outros sites e obriga o registo do utilizador para obter mais informações. Após o registo, não existe página de utilizador (página inexistente). Ou seja, captura toda a informação do registo e depois o utilizador não pode fazer mais nada.

Em relação aos emails enviados pelo portal, os mesmos são enviados por um servidor de envio russo - elaiko.ru com o remetente [email protected].
O assunto do email é chamativo - Magnifica vaga de emprego para Portugal. aproveitando-se da maré de desemprego que ocorre no nosso país.
Embora o corpo da mensagem venha em português, no código fonte da mensagem podemos ver um título em espanhol - Trabajos Ahora.
Na amostra que recebi, o conteúdo do email promete um emprego de coordenador financeiro com salário de 1500 Euros/mês para trabalhar em casa.
O servidor de envio dos emails de registos é vserver111.axc.nl e os servidores de envio de email não têm DKIM nem o SPF activo.

scandicredit.pt
Este site, tomei conhecimento quando recebi o seguinte email:

Caro Candidato
Obrigado por seu interesse na vaga da nossa empresa, Scandicredit . Temos o prazer de recebê-lo como um candidato para a nossa oferta de emprego em Portugal. Somos um novo grupo de investimento com vários anos de trabalho na Europa e com grandes perspectivas no mercado de mini- empréstimos em Portugal. Nosso objetivo é conseguir a promoção a longo prazo de nossos negócios, nossos clientes a satisfazer todas as suas expectativas, que são devidamente tratados e estão satisfeitos com os nossos serviços.
Atualmente continuamos nossa expansão em Portugal e para isso precisamos de aumentar a nossa equipe para promover a nossa empresa e atender às necessidades de nossos clientes em Espanha e no resto da Europa .
Aqui o link para o site da nossa empresa:

http://scandicredit.pt/

Nós valorizamos nossos recursos humanos , porque sabemos que nossa vitalidade e sucesso da empresa é baseado em cada um de nossos funcionários. Em Portugal temos 20 vagas gerente financeiro, destes alguns serão selecionados para representantes regionais e alguns como representantes nacionais nas próximas fases do nosso projecto e, uma vez completada essa primeira fase, vamos abrir vários centros de atenção ao público em Portugal .
Portanto, estamos à procura de pessoas com altas expectativas e vontade de trabalhar.
O trabalho a ser realizado pelos novos agentes financeiros durante as primeiras semanas de trabalho serão : gerenciar as transferências a efectuar para as suas contas e , em seguida, enviá-los para os clientes que precisam dos mini empréstimos. Irá trabalhar desta maneira durante a fase inicial da empresa em Portugal , no final da primeira fase , os novos métodos será implementada . O objetivo é que nossos clientes recebam o empréstimo o mais rápido possível e é por isso que precisamos da ajuda dos nossos agentes financeiros.
O salário fixo mensal é de € 1300 , e também recebe uma comissão percentual de 2% de cada transação.
Durante o período experimental, a maioria das operações ocorrem no período da manhã .Para iniciar o trabalho, você deve aceitar o contrato on-line, que é o primeiro passo para iniciar as relações de trabalho com a nossa empresa , após a primeira semana de trabalho , recebe o contrato em casa através de uma empresa de transporte
.Nossa empresa garante a segurança e transparência nas relações comerciais com os nossos clientes, um quadro ideal para o crescimento , além de um excelente ambiente de trabalho e trabalho em equipe .Aos nossos funcionários pedimos principalmente : responsabilidade e honestidade como estes que são os pilares do nosso sucesso empresarial.
Por enquanto esta é a informação que eu possa fornecer a você, se você estiver interessado na vaga, por favor responda a este e-mail e eu vou enviar o link para contrato onlnine para que você possa inserir seus dados e começar a trabalhar para nós.
As vagas são limitadas, a adição é imediatamente no caso de você estiver interessado.
Se você tiver alguma dúvida, não hesite em escrever-me, com prazer vou responder.

Primeiro, o Obrigado por seu interesse na vaga da nossa empresa é texto típico de SPAM.
De seguida, percebi que o cargo era para ser uma mula para transferências bancárias.
O dominio em si, registado na DNS.PT por um utilizador espanhol, aponta para o mesmo DNS gratuito do esquema fraudulento acima indicado - DNSEver.com. Também o scandicredit.pt foi criado na plataforma Joomla e as imagens foram roubadas do site Associação Nacional de Direito ao Crédito - microcredito.com.pt (alheio a esta situação).

É importante a divulgação destes esquemas fraudulentos para evitar a propagação dos mesmos.

Mensagem importante - Phishing da CGD

por David Sopas em 4 de Fevereiro de 2014 em Artigos com 0 comentários Tweet
cgd_phishing2

Anda a circular pelas caixas de email dos portugueses um novo email de phishing do banco Caixa Geral de Depósitos. O remetente desta nova campanha fraudulenta é o email [email protected]. De salientar a semelhança com o endereço do banco - cgd.pt.
O ccgd.pt está registado desde 2006 na DNS.PT por um Centro de Contabilidade, Gestão e Desenvolvimento e poderá estar a ser vítima desta situação.
Os utilizadores maliciosos utilizam esta semelhança com o domínio do banco para ganhar alguma credibilidade e desta forma aumentar o número de vítimas.

O assunto da mensagem é Mensagem importante e informa o destinatário que houve diversas tentativas falhadas de autenticação na conta online e a mesma foi bloqueada como precaução. Para desbloquear terá de entrar num endereço fraudulento (detectado como endereço de phishing pelo VirusTotal e como distribuidor de malware pelo Sucuri). Este endereço apresentava uma cópia do site da Caixa Geral de Depósitos que tinha como objectivo gravar a informação da vítima. No decorrer da escrita deste artigo, o site apresenta uma loja de comercialização de produtos relacionados com sexo.
Certamente irão surgir outros emails com outros links comprometidos e com páginas de phishing.

Como evitar este tipo de ataques:

  • Verificar sempre o endereço da barra de navegação do browser
  • As páginas das entidades bancárias tem sempre um certificado de segurança (o endereço começa por https)
  • As entidades bancárias nunca lhe vão solicitar informação por email
  • Fazer pesquisas nos motores de busca sobre o email

Para concluir, baseado no número de emails que tenho recebido pessoalmente e de utilizadores do WebSegura.net, circulam com grande actividade os emails de phishing da Apple, da Caixa Geral de Depósitos e do Montepio.

Gostaria de agradecer à Linxisp pelo contributo à elaboração este artigo.

Sua conta Apple expira em menos de 48 horas

por David Sopas em 15 de Janeiro de 2014 em Artigos com 0 comentários Tweet
Sua conta Apple expira em menos de 48 horas

Um email de phishing anda a circular em massa pelos emails dos portugueses. Objectivo? Tentar obter dados confidenciais de quem tem conta Apple ID.
O email, com remetente forjado [email protected], falha em muitos testes anti-SPAM mas ainda consegue “fazer mossa” aos mais desatentos.

Um desses testes de anti-SPAM é a validação do SPF (Sender Policy Framework) que não é validado (como é óbvio):

Received-SPF: softfail (google.com: domain of transitioning [email protected] does not designate 93.90.22.67 as permitted sender) client-ip=93.90.22.67;
Authentication-Results: mx.google.com;spf=softfail (google.com: domain of transitioning [email protected] does not designate 93.90.22.67 as permitted sender) [email protected];dmarc=fail (p=NONE dis=NONE) header.from=apple.com

O endereço IP tem origem em Espanha (http://www.ip-adress.com/ip_tracer/93.90.22.67) e, o próprio endereço no qual a vítima é reencaminhada, também tem algumas referências em língua espanhola.

O link que acompanha o email fraudulento, e que posteriormente encaminha para a página de phishing, não é bloqueado por nenhum antivírus comum (apenas pelo WebSense).

iforgot-idapple-login-pt.slyip.net/Carregando-de-verificacao/ reencaminha para iforgot-idapple.com/.aplication.store.pt/store/cuenta/verificacao/3D/
ccfacf3e5f5481c25cda61dd731bbece/4f4fd9b2e3be5fd1fbe103d7b108d0e27cf5b7eee81860992d1b36d4/
default.html?key=4f4fd9b2e3be5fd1fbe103d7b108d0e27cf5b7eee81860992d1b36d48ad8e045f&language=IT-IT

apple_phishing2

De referir a utilização do serviço de DNS dinâmico gratuito DtDNS para a atribuição de um hostname, neste caso iforgot-idapple-login-pt.slyip.net

O domínio iforgot-idapple.com foi registado no site nominalia.com em 9 de Janeiro de 2014 e está registado num nome italiano mas com origem nos nuetros hermanos.

O endereço de phishing, à imagem do site português da Apple, requisita diversos dados à vitima. Entre os quais os dados do cartão de crédito, informações pessoais e a password do email (isto é o que chamo ir directo ao assunto). Após o preenchimento destes campos, toda a informação é encaminhada para o utilizador malicioso e posteriormente utilizada para roubo de informação confidencial e financeira.

De referir que o código fonte do site de phishing está ofuscado mas podem consultar o código aqui - http://pastebin.com/HqjmLNKe.

Se por acaso preencheu os dados do site de phishing que acompanha este email fraudulento, deverá contactar rapidamente a entidade bancária do seu cartão de crédito e trocar a sua password de email (ou outras contas associadas com esta password).

PayPol - um PayPal malicioso

por David Sopas em 11 de Novembro de 2013 em Artigos com 0 comentários Tweet
PayPol - um PayPal malicioso

Fica o alerta de um email que anda a circular pela web cujo objectivo é roubar dados confidenciais do PayPal.

O remetente é o [email protected]. Para os mais desatentos, peço especial atenção à troca do “o” pelo “a” do original PayPal.

Received: from [82.208.76.2] (port=57199 helo=User) by cregg.capstonesolutions.net with esmtpa (Exim 4.80.1) (envelope-from <[email protected]>) id 1VfeOf-00020p-O1; Sun, 10 Nov 2013 23:26:26 +0000
From: “PayPal Services” <[email protected]>
To: “PayPal Client”
Subject: Reminder : Your account has been limited until we hear from you?

No corpo deste email malicioso, encontra-se um link para um site clonado do PayPal.com:

http://95.143.11.30/monitorize/index.php

O site está com o HTML ofuscado pela ferramenta disponibilizada pela iWEBTOOL.com. Com um simples reverse do código ofuscado podemos ter acesso ao código-fonte. Para os interessados, coloquei no Pastebin.

Este site está alojado na Rússia e é categorizado pelo VirusTotal com 5/50.

Algumas dicas para evitar ser vítima deste tipo de ataques:

  • Verificar sempre o endereço da barra de navegação do browser
  • As páginas das entidades bancárias tem sempre um certificado de segurança (o endereço começa por https)
  • As entidades bancárias nunca lhe vão solicitar informação por email
  • Fazer pesquisas nos motores de busca sobre o email

Phishing Montepio

por David Sopas em 28 de Agosto de 2013 em Artigos com 0 comentários Tweet
Phishing Montepio

Tenho recebido notificações que circula pela web um novo email de phishing. Esta nova campanha maliciosa tem como alvo clientes do banco Montepio.

Remetente: [email protected]
Assunto: Aviso Importante

O email e estilo de ataque é muito semelhante ao já publicado aqui relativo à Caixa Geral de Depósitos - http://www.websegura.net/2013/05/phishing-prezado-cliente-caixa-geral-de-depositos/.

O email fraudulento alerta o utilizador que existe uma atualização no cadastro do cartão matriz e deverá clicar num botão para corrigir essa situação. A imagem apresentada no email está com um link para um blogue WordPress de origem chinesa que poderá ter sido comprometido (algum plugin desatualizado ou algo semelhante).

Nessa página foi efetuada uma cópia do site original do montepio.pt para que desta forma os utilizadores fossem enganados a colocar os dados confidenciais.

Esta página de phishing não contém, até à data deste artigo, malware (resultado do VirusTotal), no entanto convém referir que os utilizadores maliciosos responsáveis desta página, realizaram código especifico para diversas versões de browser, programaram um keylogger no cartão matriz e tudo com mensagens em português (no novo acordo ortográfico).

Como evitar este tipo de ataques:

  • Verificar sempre o endereço da barra de navegação do browser
  • As páginas das entidades bancárias tem sempre um certificado de segurança (o endereço começa por https)
  • As entidades bancárias nunca lhe vão solicitar informação por email
  • Fazer pesquisas nos motores de busca sobre o email
← Mais antigos
Mais recentes →