Embora esta burla já esteja activa há alguns meses parece ter sido refrescada há algumas semanas com novos números de telemóvel provavelmente os provenientes da mesma exfiltração da Meta/Facebook que continha 4,7 milhões de números portugueses (entre 533 milhões de contactos) que foi conhecida de abril de 2021.

A burla usa um SMS ameaçando a desactivação do identificador da Via Verde e apela a que “rapidamente” a vítima tome ações “urgentes” (o que é, desde logo, um sinal de alerta).

Este SMS é enviado do número 963 407 944 e assenta no site https://viaverde-sessao.com embora seja provável que estejam a ser usados mais números de telemóvel. O número já foi reportado como fraudulento à https://www.telguarder.com e deverá agora começar a aparecer na lista de spam de que usa no seu telemóvel este tipo de aplicações.

O facto de surgir o ícone no Google Chrome com o cadeado por induzir muitos utilizadores sobre a “segurança” (algo que a Google admite e que levou à sua supressão). Analisando este certificado observamos que o emissor é a “AO Kaspersky Lab” e que se trata do “Kaspersky Anti-Virus Personal Root Certificate” sendo que a intenção parece ser a dar alguma credibilidade ao site (como tendo sido “verificado” por um conhecido produto de antivírus). Na realidade: isso não acontece, nem tem que acontecer estando este certificado ao alcance de quem o quiser usar (como sucede com os da Lets Encrypt: aliás).

O site assenta no IP 66.232.107.194 que está geolocalizado em Tampa (Florida: EUA) sendo este cedido pela HIVELOCITY com ramos nos EUA, África do Sul e Brasil (onde, provavelmente, tem sede esta campanha viaverde-sessao). O IP foi reportado como “uso abusivo” a este ISP (ainda sem efeitos práticos via abuse@hivelocity.net) e aqui também residem outros domínios e sites de uso malicioso entre outros que parecem legítimos conforme se observa em https://urlscan.io/ip/63.250.43.136 onde se encontram outras variantes desta campanha tais como o viaverde-sessao.org e o www.viaverde-sessao.org que poderão estar de reserva para novas edições da campanha. Por usa vez, o domínio DNS foi registado na Moniker (que também já recebeu um reporte de uso abusivo via getsupport@moniker.com).

O site principal aparenta ser um de uma empresa de reparação automóvel nos EUA mas tem partes em latim o que indica que o burlão não se deu a muito trabalho para concluir o site principal focando-se na página

Estas campanhas dependem da falta de transparência e na facilidade de acesso a estes números de telemóvel pré-pagos. É preciso criar uma forma rápida e eficiente de reportar para bloqueio ou suspensão de uso números de telemóveis que estejam a ser usados por burlões. Actualmente essa ferramenta não existe permitindo que os burlões usem os mesmos números durante anos a fio. Estas fraudes dependem de números pré-pagos que são hoje em dia convenientes para usos obscuros e que dificilmente têm actualmente utilizações legítimas e uma forma rápida de reduzir o alcance destas fraudes seria criar um número nacional para onde se pudessem fazer forwards das mensagens fraudelentas que seria recepcionado pela autoridades que, depois, poderiam tomar medidas que poderiam levar ao rápido cancelamento destes números.

Enviado a
cibercrime@pgr.pt
abuse@hivelocity.net
getsupport@moniker.com