Categoria: Inteligência do adversárioIndústria: Banca e finançasMotivação: FinanceiroRegião: Ásia e PacíficoFonte*: A1

Sumário executivo

AMEAÇAIMPACTOMITIGAÇÃO

• Portmap.io usado indevidamente em campanha de phishing direcionada a clientes bancários indianos.
• URLs de phishing distribuídos por meio de técnicas de smishing.
• Os usuários bancários registrados são solicitados a fornecer suas PII.

• As PII coletadas podem ser vendidas na dark web ou para criar contas bancárias falsas.
• Muitos links de phishing não estão presentes na Internet, o que dificulta a classificação antes do lançamento da campanha em grande escala.
• Perda de confiança em bancos personificada pelos sites.

• Escaneamentos em tempo real para identificar domínios de phishing por nome, marcas registradas e imagens.
• Campanhas de conscientização do usuário sobre URLs maliciosos.
• Políticas para garantir que os prestadores de serviços de túnel reverso ajudem as vítimas a derrubar esses sites.

Análise da campanha de phishing

• CloudSEKda plataforma contextual de risco digital de IA XV Vigília, descobriu outra campanha de phishing direcionada a clientes bancários indianos por meio de um serviço de túnel reverso, o portmap.io.
• A campanha foi improvisada e tem uma baixa taxa de detecção.
• Os golpistas estão adotando novos serviços SaaS que fornecem a implantação de sites de phishing de baixo a zero código, como o portmap.io.

Leia também Páginas da Cloudflare usadas indevidamente em uma campanha de phishing contra clientes bancários indianos

Modus Operandi

• O Portmap é essencialmente um serviço de encaminhamento de portas que permite que os agentes de ameaças transformem seu sistema local em um servidor web que pode ser acessado pela Internet sem um endereço IP real.
• Usando o PLANO GRATUITO do Portmap, os golpistas se inscrevem no serviço, criam uma configuração para um túnel OpenVPN gratuito e definem as regras para se conectar à máquina local.
• Depois que o arquivo de configuração do OpenVPN é executado na máquina local, ele começa a atuar como um servidor web para o site de phishing e os golpistas recebem um URL de phishing semelhante a um dos seguintes:
  • <targeted-entity-name>.protmap.io: <random-port-number>
  • <targeted-entity-name>.protmap.host: <random-port-number>
• O URL de phishing compartilhável é então distribuído via SMS aos clientes bancários para criar uma situação de pânico.
• Antes de serem distribuídos, esses URLs de phishing são ocasionalmente disfarçados usando Encurtadores de URL.

Informações de código aberto

• Após uma investigação mais aprofundada, a equipe de pesquisa da CloudSek descobriu Tweets de uma vítima de um desses golpes, que é cliente de um dos bancos famosos da Índia com uma grande base de clientes.

[caption id="attachment_20900" align="alignnone” width="605"] Tweet do cliente reclamando de um site de phishing [/caption]

Impacto e mitigação

ImpactoMitigação

• Os dados coletados de sites de phishing podem ser vendidos na dark web.
• As PII coletadas também podem ser usadas para criar contas bancárias e cartões falsos.
• Muitos dos links não estão presentes na internet, o que dificulta a classificação antes do início da campanha em grande escala.
• Perda de confiança em bancos personificada pelos sites.

• Escaneamentos em tempo real para identificar domínios de phishing, não apenas pelo nome, mas também por marcas registradas e imagens.
• Conscientização dos clientes sobre URLs maliciosos.
• Políticas para garantir que os prestadores de serviços de túnel reverso ajudem as vítimas a derrubar esses sites.

Referências

• *Fonte de inteligência e confiabilidade da informação - Wikipedia
• ^#Protocolo de semáforo - Wikipedia
• Os cibercriminosos exploram serviços de túnel reverso e encurtadores de URL para lançar campanhas de phishing em grande escala

Leia também Esquemas avançados de phishing visam indivíduos e empresas no Oriente Médio

Apêndice

[caption id="attachment_20901" align="alignnone” width="1081"] Planos para portmap.io [/caption] [caption id="attachment_20902" align="alignnone” width="439"] Site de phishing solicitando detalhes bancários pela Internet [/caption]