Email de phishing em nome da Segurança Social
Phishing. Não é todos os dias que um antigo ministro de outro país, neste caso Venezuela, nos escreve (pisca o olho)!
ota: não sou nenhum analista de segurança profissional, apenas me interesso por estas coisas, embora há muito tempo tenha trabalhado em prevenção deste tipo de cenários e mais alguns.
A Jonasnuts (do post abaixo) teve a gentileza de partilhar comigo o email completo desta recente tentativa de phishing, e que despertou logo curiosidade pelo remetente... Não é todos os dias que um antigo ministro de outro país, neste caso Venezuela, nos escreve (pisca o olho).
Infelizmente já não tenho tempo para me dedicar a estas coisas mas com este abro uma exceção e aproveito para continuar a experimentar o Leaflet. Vamos por partes, então.
Eis o objeto:
O isco, o disfarce e a armadilha
O email (via domínio nube.gob.ve) é o isco: monta credibilidade e urgência perante a vítima para nos fazer clicar no link.
O remetente em si é imediatamente suspeito, simulando um email governamental venezuelano mas com o título "Segurança Social - Suporte Técnico".
O DKIM/SPF do email parecem válidos, o que poderá sugerir que não é um "From:" falsificado mas sim um domínio/endereço comprometido ou abusado..? Mas esta não é a minha área, posso estar errado.
Sobretudo hoje em dia, com acesso facilitado a ferramentas de IA e LLMs, é mais fácil reproduzir um email oficial de uma organização ao pixel. O mesmo se aplica à escrita: é de esperar que um email contenha menos erros ortográficos, que deixem de haver as introduções estilo "Dear ," ou "Greetings dear," por exemplo.
No entanto, também no email do Sr Rivero aqui encontramos os sinais do costume:
Notificamos que foi registada uma tentativa de acesso não autorizado à sua conta da Segurança Social Direta.
A introdução: estás em perigo! uma conta importante da vítima (neste caso, Segurança Social Direta) está em risco.
Por motivos de segurança, o seu Número de Identificação de Segurança Social (NISS) encontra-se temporariamente suspenso.
O susto: não podes aceder, conta bloqueada! O nosso NISS está "temporariamente suspenso", seja lá o que isso quer dizer. O que importa é assustar e transmitir que não podemos usar uma coisa que é nossa e que alguém tem agora na sua posse.
Para restabelecer o serviço e salvaguardar os seus dados, é estritamente necessária a verificação imediata da sua identidade.
A solução: diz-me que és quem és imediatamente! Tem de ser já, claro, para ontem! O apelo a ação urgente é uma característica muito comum.
Outros sinais
O domínio do endereço de email do remetente: nube.gob.ve é um domínio venezuelano, sem relação com Portugal e incompatível com qualquer entidade pública portuguesa.
O endereço de IP, a data/hora e a mensagem "Estado: Suspenso - Ação Requerida" são também um detalhe técnico usado para simular credibilidade e autenticidade perante a vítima.
O disfarce
O link flowcode[.]com é o "disfarce", a porta de entrada que esconde o destino final e dificulta deteção por filtros de spam, permitindo ao atacante trocar o destino final através de um redireccionamento.
O Flowcode em si é um site inofensivo, é uma empresa real, mas foi utilizado como disfarce para o link real. O serviço de QR-code/link dinâmico é assim usado para esconder o destino final (desta feita sob o TLD .PT) e até dificultar bloqueio automático por filtros de spam.
Podem pré-visualizar mais informação e screenshot seguros em https://urlscan.io/result/019f479f-908f-7237-9322-f673f6bfe2b5.
A armadilha
O site plugbands [.]pt é a verdadeira armadilha. É aqui que a captura de dados realmente acontece:
É um domínio registado via DMNS - Domínios, S.A. a 10 de Dezembro de 2025 com duração de um ano. O alojamento/DNS estão a cargo da Cloudflare.
A página principal do domínio é uma página-padrão do Plesk, sem qualquer conteúdo próprio configurado. A página de phishing foi colocada diretamente numa sub-pasta no servidor/upload direto.
Ao visitar-se o domínio principal ficamos com uma impressão de "ah pronto, está em construção", enquanto alberga várias páginas maliciosas em paralelo.
O formulário fraudulento tem cinco passos e a imagem tenta replicar o portal da Segurança Social Direta. Recolhe nome, telefone, email, data de nascimento, morada e IBAN, incluindo validação que permite ao anfitrião detetar e validar qualquer IBAN, tal como identificar automaticamente qual o banco.
O que é que fazem com o meu IBAN?
Primeiro, e esquecendo o IBAN um pouco: nome, telefone, email, data de nascimento e morada já é uma coleção de dados altamente valiosa, sobretudo se obtida recentemente (sobre FullZ)... E com um IBAN, mais ainda.
Além da venda dos dados, exemplos de vetores de ataque:
- Identificação fraudulenta: abrir contas aqui e ali, pedir créditos, simular a vítima noutros serviços, etc.
- Engenharia social direcionada: agora o atacante tem os nossos dados reais. Esta podia ser a primeira fase de um ataque, a segunda sendo algo como phishing bancário direcionado, SIM swap... ou um telefonema:
O próximo passo
No final do processo deparamo-nos com "será contactado telefonicamente em breve" o que parece indicar que há uma segunda fase de vishing.
Sobretudo hoje em dia, com IA para voz e tradução imediata, imaginem:
- "Boa tarde, Sr Pedro, fala da segurança do [banco identificado pelo IBAN]. Estamos a confirmar consigo uma verificação de identidade que foi submetida recentemente através do portal da Segurança Social Direta, associada ao seu IBAN terminado em [últimos 4 dígitos]."
- "Ok, sim fui eu..."
- "Confirma que reside em [morada real]?"
- "Sim."
- "Perfeito, obrigada. Neste tipo de situações temos de proceder a uma validação de identidade, de modo a evitar o bloqueio da sua conta. Para tal vou..."
- Método 1: "...pedir-lhe que abra a app do banco e me confirme o seu código de utilizador, só para confirmarmos que corresponde ao que temos registado."
- "É [código de utilizador]"
- "Obrigado, Sr Pedro. Por protocolo de segurança interno do [Banco], terei de alterar a sua palavra-passe para uma temporária. Após a finalização do processo poderá novamente definir a sua própria."
- "Ok... é [palavra-passe]"
- "Vou repetir para que possa confirmar: [palavra-passe]". Entretanto podem tentar login:
- Conseguindo entrar: "Está correta?
- Não conseguindo entrar: "Esta palavra-passe não é a que temos no sistema, sr Pedro. (...)" (nova confirmação)
- "Está correta"
- "Muito obrigado. Vou enviar-lhe um código de segurança por SMS, por favor confirme-o assim que receber."
- (...)
- Método 2: "...enviar-lhe uma SMS com um link para reativar o seu acesso, é só fazer login normalmente, como sempre faz."
- Neste caso, enviam um novo link de phishing, desta vez a imitar o login real do homebanking do banco identificado (e não da Segurança Social)
- A vítima insere username/password nesse site falso, pensando estar no banco verdadeiro e o atacante fica com as credenciais completas, podendo assim validar o login
- (...)
- Método 1: "...pedir-lhe que abra a app do banco e me confirme o seu código de utilizador, só para confirmarmos que corresponde ao que temos registado."
Já perceberam, não é? A conclusão aqui é simples: nunca partilhar credenciais/OTP por telefone, independentemente de quão convincente ou "oficial" a chamada pareça.
Did you enjoy this article?
Recommend it — Standard Reader surfaces well-loved writing to more readers across the network.