Atacantes atacam os principais bancos do Reino Unido com campanhas de phishing

Sobre a campanha

A campanha de phishing tenta roubar as contas dos usuários do Monzo. 

• O processo de phishing começa com um SMS exibindo Monzo como o nome do remetente. Ele solicita que o destinatário clique no link fornecido para reativar a sessão ou verificar a conta.
• Posteriormente, os destinatários são levados a um site de phishing que mostra um formulário de login de e-mail falso que solicita detalhes sobre sua conta Monzo, como credenciais de login, número de telefone, nome completo e PIN.
• Se esses detalhes forem fornecidos, os invasores agora têm tudo o que precisam para assumir as contas do Monzo.

A plataforma bancária alertou seus clientes contra os sinais de fraude e recomendou ações por meio de um post no Twitter.

Como os invasores obtêm acesso total?

Os invasores podem usar indevidamente as informações roubadas para assumir contas genuínas da seguinte maneira:

• Quando o aplicativo Monzo é instalado nos dispositivos de um invasor, o serviço envia um link de verificação do dispositivo para o primeiro login para o endereço de e-mail do usuário.
• Como os invasores têm acesso às contas de e-mail das vítimas, eles podem clicar neste link e verificar seu dispositivo. Isso permite que o invasor obtenha acesso total à conta.
• Além disso, mesmo que a conta de e-mail seja protegida usando um 2FA, os invasores podem contorná-la com etapas adicionais de engenharia social ou usando bots de roubo de OTP.

Páginas de phishing

Os invasores estão usando o kit Cazanova Morphine para criar uma página de phishing Monzo. 

• Alguns dos domínios incluem monzo-notice[.]com, monzo-online-support[.]com e monzo-check[.]com.
• Além disso, os quatro domínios no mesmo ASN foram observados visando usuários do serviço de pagamentos online Revolut. Esses domínios revelaram ainda 33 outros sites idênticos, datados de 11 de novembro de 2021.
• Todos os 34 domínios foram hospedados em três CIDRs no espaço IP russo com NForce Entertainment (AS43350). Os domínios com tema Monzo usaram dois registradores Eranet e NiceNic da China.
• A razão por trás do uso de endereços IP russos e registradores chineses é tornar a atribuição complicada.

Conclusão

Como a campanha de phishing é contínua, os usuários do Monzo devem ficar alertas. Os usuários precisam lembrar que a plataforma não usa SMS para notificação. Recomenda-se que sejam cautelosos ao receber SMS de fontes desconhecidas ou parecer suspeitos.

Fonte: https://cyware.com/