A Anonymous Russia, um grupo de ameaças cibernéticas hacktivistas com histórico de desfiguração, ataques DDoS e operações de exfiltração de dados, ressurgiu com novas alegações de ataques cibernéticos. Em 27 de janeiro, o grupo anunciou um ataque DDoS à agência de viagens online global Trip[.]com. Simultaneamente, foram feitas alegações de ataques DDoS contra vários bancos belgas. Além disso, o coletivo de ameaças cibernéticas NoName057(16) está supostamente mobilizando-se para visar o governo ucraniano em colaboração com vários grupos de hackers.
A razão por trás do direcionamento à Trip[.]com, sediada em Singapura, permanece incerta, uma vez que Singapura não é um estado membro da NATO.
A probabilidade de ataques cibernéticos contínuos e possivelmente intensificados é alta, dada a colaboração entre vários grupos de hackers. Isso exige uma vigilância e preparação elevadas em termos de cibersegurança, especialmente para entidades dentro das regiões da NATO e da Europa e, em particular, para todas as organizações baseadas em Portugal.
Em novembro de 2023 já tínhamos alertado os portugueses e as autoridades para a actividade criminosa de um grupo de burlões que usando o Scam dos “Falsos Empregos”. Na altura o processo usado abordava as potenciais vítimas através da base de dados de contactos do WhatsApp exfiltrada por hacker nos últimos anos. A versão actual “evoluiu”: agora as vítimas são contactadas pelo Telegram (para onde depois do contacto inicial eram encaminhadas as vítimas).
O contacto inicial é feito por um bot que, após a potencial vítima escrever “sim” encaminha para um segundo contacto que, já é humano, e conduz a verdadeira operação que via, como no scam de novembro para “investimentos” em criptomoedas.
O operador humano que usa o nome “Linda” e o username “maria257461” e uma fotografia de uma utilizadora do Instagram. Nesta operação registada no dia 27.01.2024 usava um IP da rede Telegram para obscurecer a sua presença mas foi possível determinar que se encontrava em Londres e tinha um domínio mínimo da língua portuguesa de Portugal.
Vários colaboradores de empresas portuguesas estão a receber contactos de números internacionais em que – alegadamente – um colaborador da Microsoft alerta para a existência de um “risco de segurança detectado” pela empresa de Cupertino. O contacto tenta que o colaborador digite uma série de comandos no seu computador (Mac ou Windows) para instalar um software malicioso ou como forma de iludir o utilizador por forma a que este depois pague uma quantia para desbloquear a conta ou o equipamento. Estes contactos não são da Microsoft mas de redes internacionais de burlões. A Microsoft não contacta directamente os seus utilizadores. Se receber este contacto (no seu número de telemóvel e usando o nome da sua empresa e o seu próprio: não faça o que é aqui pedido e bloqueie este contacto (e os demais que irão surgir) no seu telemóvel. Estas redes burlões usam os dados do Facebook, WhatsApp e do Linkedin que foram exfiltrados nos últimos anos.
Está activo em Portugal um Scam em que está a ser enviado em grande quantidade uma mensagem de SMS onde se avisa o receptor para uma encomenda que este tem que desalfandegar. Se o receptor estiver – de facto – à espera de uma encomenda as possibilidades de acreditar no SMS e clicar no URL na mensagem são elevadas e embora não se conheçam ainda casos concretos é altamente provável que já existam vítimas com danos financeiros.
Esta mensagem é falsa – com indiciam os erros de português e, sobretudo, o endereço do domain que termina em .app (algo que não é usado por praticamente nenhuma empresa legítima em Portugal). Quem clicar no URL recebe um pedido de um pagamento por Visa ou por referência Multibanco fraudulenta.
O grande factor que credibiliza e faz cair tantas vítimas neste logro é a confiança que hoje em dia os portugueses têm no sistema de SMS e na informação da origem das mensagens: algo que vem dos “CTTEXPRESSO” e que, ainda por cima, surge encadeado noutros SMSs que se sabem serem legítimos induz à confiança e faz com que os receptores cliquem no URL enviado no SMS cedendo os seus dados ou fazendo transferências das verbas requeridas.
Variantes deste esquema decorrem agora em Portugal com SMSs falsos da CGD e do Cartão Universo.
O que deve fazer: 1. Não confie no sender de um SMS: verifique sempre antes – noutra forma . de tomar qualquer acção. 2. Contacte a empresa (CGD, CTT, etc) e peça-lhes para pararem de enviar SMSs com URLs. 3. Desconfie de mail SMS com erros de português: Por norma as grandes empresas não os cometem no envio de SMS em bulk ou nos que são personalizados.
O que devia ser feito: 1. As empresas deviam parar de enviar SMS com URLs 2. Os operadores não deviam aceitar a comercialização de pacotes de envios de SMS em que é possível alterar a descrição da origem dos SMSs. 3. As propostas em https://cidadaospelaciberseguranca.com/2023/11/19/tacticas-de-fraude-cibernetica-em-portugal-a-campanha-cgd-de-outubro-chamadas-de-alerta-e-medidas-preventivas/ deviam ser implementadas. 4. Em particular, a ANACOM devia ser mais lesta na “proposta de projeto de regulamento o qual será objeto de consulta pública de acordo com o procedimento legalmente estabelecido para o efeito, e terá em linha de conta as boas práticas e as normas adotadas por organizações nacionais, da União Europeia ou internacionais” e o Parlamento nas medidas legislativas que se impõem para travar este tipo de burla.
Várias contas na rede social X (ex-twitter) como a de “Grace Guo” @LRGraceGuo (uma conta “verificada”, ou seja, de forma a transmitir uma falsa sensação de credibilidade) estão a publicar posts onde consta o texto “Banco de Portugal processa Pedro Andersson pelo que disse ao vivo na TV”. O anúncio (pago ao XC) surge com um link para o site “vivertelheiras.pt” mas quando se clica este, de facto, revela ser um redirect através do shortener bit.ly que encaminha para um site com a apresentação gráfica e logotipos do jornal “ECO” no e do Sapo escrito por “Diogo Ferreira Nunes” que, de facto, trabalha no jornal como freelancer https://www.linkedin.com/in/diogoferreiranunes/ mas o jornalista nada tem a ver com esta utilização abusiva do seu nome. O mesmo se pode dizer com um elevado nível de confiança para com o vivertelheiras.pt, sapo e ECO. A conta X de está activa desde agosto de 2014 e publica sobretudo reposts para perfis X de personalidades públicas para além de anúncios como este que são procuram induzir ao engano quem os recebe e que são – muito provavelmente – uma burla elaborada. O citado “Pedro Andersson” também existe e é um jornalista que colabora com a SIC: https://contaspoupanca.pt/sobre-mim-pedro-andersson/ A reportagem falsa usa – para credibilização – imagens verdadeiras de uma entrevista de Pedro Andersson no programa “Casa Feliz” da SIC. O texto é extenso e parece ter sido traduzido do inglês por alguém que não tem um domínio perfeito da língua portuguesa. Embora o site tenha logotipos da Sapo e do ECO, assim como os habituais links de partilha para o facebook, linkedin, whatspp e twitter/X de facto todos apontam para o mesmo site: https://tradesimplex.com/. O mesmo sucede com todos os links para notícias “reais” que surgem no fim do texto. A submissão do URL ao https://www.virustotal.com/ indica que pelo menos um fabricante de antivirus (a Trustwave) identifica-o correctamente como “phishing site”. O site está alojado na Cloudflare num endereço de IP associado a São Francisco e foi criado hoje 2024-01-15T00:55:16Z o que indica que esta campanha de phishing está ainda nas suas primeiras fases. A homepage do site está limpa e permite um directory browsing indicando que o servidor corre em Ubuntu e Apache 2.2 e que começou a ser publicado apenas a 9 de janeiro deste ano. A presença do directório HTCM/pt indica que foi criado tendo em vista apenas o “mercado” nacional. A primeira “red flag” para que se trata de um scam (além do URL ser para tradesimplex.com e os logos serem do ECO) é a informação de que o programa Casa Feliz com Pedro Andersson foi interrompido “por uma chamada do Banco de Portugal”: tal seria extremamente improvável e absolutamente inédito. O burlão autor deste texto (que nada tem a ver com “Diogo Ferreira Nunes” ) alega que “conseguimos convencer o realizador do Casa Feliz a dar-nos uma cópia desta emissão”): o que evidentemente nunca aconteceu e gastou de seguida bastante tempo a publicar uma alegada transcrição do diálogo entre João Baião (outro nome abusivamente usado) e Pedro Andersson. O conceito base é que de “não é preciso trabalhar para ser rico” e apresenta a dado ponto um link para a “plataforma Trade Urex 500” e “vou fazer um milhão em apenas 12 a 15 semanas!” (falso). O link aponta para o site tradesimplex.com com a descrição “Trade Urex 500” (que existe e, embora mal afamada pela opacidade e avaliações de utilizadores) e pede dados pessoais: Nome, Sobrenome, E-mail e número de telemóvel. Curiosamente o form apresenta o número de telemóvel pré-preenchido 912 345 678 que pode ser um nº controlado pelo burlão e que ficou no form por esquecimento ou bug. E, de facto, o número no site https://ligaram-me.com/numero/912345678#google_vignette está, de facto, associado a burlas no PayPal: “Na minha conta Google associaram este número 912345678 PayPal burla”. Após “registo” é feito um redirect para o site www.vortexyl.com onde é exposto a motivação do scam: a “conta” onde irão surgir os fundos depositados por via de um pagamento por cartão de crédito após uma chamada do +44 204 593 0122 (no Reino Unido). A chamada vem – minutos após o registo – via 966 930 221 que, no Sync.me está associado a um certo de “Ulisses”. Não parece tratar-se de um call center automatizado mas de alguém que serve de ponto de contacto nacional da rede (como indica o desligamento imediato das chamadas após não atendimento do primeiro contacto). Outros contactos são feitos através de números de um call center por operadores com sotaque de português do Brasil que operam num call center muito populoso ouvindo-se várias chamadas de scam em fundo: + 40 737 957 601 (Roménia), +35 870 584 332 (Reino Unido). Se os contactos por estes números falharem ou forem rejeitos, o burlão recorre novamente ao número 966 930 221 ou ao 937 869 616. Obviamente trata-se de uma operação “industrial” e a partir de onde se operam vários scams em simultâneo. O site que recebe os fundos assenta noutra máquina e corre em Windows e foi registado no mesmo alojados tucows.com dois dias antes (2023-11-13T09:22:26Z). De permeio o falso Pedro Andersson menciona alguns termos da moda como “Inteligência Artificial”, “Criptomoedas”, “auto-aprendizagem”, “37 indicadores profissionais” e “algoritmo”. Mas, a dado ponto e indicando a origem da burla refere que “as pessoas comuns da Grã-Bretanha começarem a ganhar dinheiro desta forma”. O alegado “João Baião” interrompe a chamada dizendo “Desculpe, acabámos de receber uma chamada urgente do Banco de Portugal. Exigiram que interrompêssemos esta transmissão neste momento”. Esta chamada é, aliás, mais um sinal de alerta de que se trata de um scam já que o secretismo quanto a este tipo de burlas é um fenómeno que lhes está geralmente associado. Outra pista de que se trata de um scam é a “urgência” quando falso Pedro Anderssen diz que “não sei quanto tempo se vai poder usar esta lacuna (…) ouvi dizer que dentro de uns dias, o registo na plataforma será pago”. Mostra-se ainda a conta de um falso “Martin Walsh” e o seu extracto (falso) no Barclays Bank do Reino Unido (mais uma pista sobre a base de operações destes burlões… recordemos que o RU não investiga este tipo de criminalidade transnacional). No final o texto, fixo, a vermelho “Só restam 126 lugares” no que é mais uma “chamada para a urgência” que visa fazer decidir os indecisos e a não investigarem aquilo que é, de facto, uma burla.
Enviada ao X, Banco de Portugal e CNCS. Os jornalistas visados foram alertados para o uso abusivo do seu nome. Reportado uso abusivo ao alojador domainabuse@tucows.com
Em finais de setembro de 2023, a Comissão Federal de Comunicação dos Estados Unidos (FCC) apresentou uma série de novas regras para reduzir o envio de SMS de spam. A FCC requeria que o Legislador nos EUA estabeleça formas de bloquear o envio de SMSs indesejados, antes mesmo destes chegarem aos telemóveis dos norte-americanos.
O regulador propõe que ao nível das redes móveis sejam bloqueados todos os números de telefone inválidos, não alocados ou não utilizados, além daqueles em lista não originária (DNO). Actualmente (ao contrário do que sucede em Portugal) já existe um número dedicado para onde podem ser encaminhadas as chamadas e os SMS de spam (o 7726).
A CpC propõe que a ANACOM trabalhe no mesmo sentido e que proponha ao Parlamento a elaboração de alterações legislativas que determinem que os operadores das redes móveis: 1. Desenvolvam um sistema único de padrões de autenticação de identificação para o envio de mensagens SMS. 2. Seja criado um número único para onde possam ser encaminhadas todas as mensagens de SMS e chamadas de spam por forma a alimentar uma lista nacional de barramento de chamadas não autorizadas (de adesão voluntária por parte dos consumidores). 3. Sejam bloqueados todos os números de telefone inválidos, não alocados ou não utilizados, além daqueles em lista não originária (DNO).
Para além das muitas horas perdidas em chamadas e mensagens deste tipo estes SMS são também um veículo de disseminação de malware e de burlas como a Olá Pai / Olá Mãe com dezenas de milhar de vítimas em Portugal e vários milhões de euros perdidos (sem recuperação possível) para as redes de burlões.
Iniciativa CpC: Cidadãos pela Cibersegurança 