Geekices

Um SMS estranho que me levou a um endereço que copia o site dos CTT

Caso tenham inserido os dados do vosso cartão de crédito, peçam o cancelamento da subscrição à VodMood através do endereço customersupport@vodmood.com

Hoje de manhã, ainda não eram 8h30, a esposa recebeu um SMS de um número estranho (5819PT). Ela pediu-me para ver a mensagem porque está a aguardar a receção de documentação através de uma transportadora e queria saber o estado do envio.

Quando vi a mensagem, reparei que o endereço é estranho e não é um que eu tenha visto ser usado pelos CTT ou alguma transportadora. Este endereço, ajoruc.com, é “coruja” escrito ao contrário e com um erro ortográfico. Isto pode ser apenas coincidência, mas fez-me desconfiar ainda mais.

Também reparei que não havia acentuação na mensagem, o que pode ser expectável mas não desejável, e que o texto mencionava que o endereço para a entrega não estava confirmado.

Primeiro tentei aceder diretamente ao domínio, que me encaminhou automaticamente para uma página de “opt-out“. Se já estava bastante desconfiado, ainda fiquei mais.

O passo seguinte foi aceder diretamente à link da mensagem. Quando acedo, encaminha-me para outro endereço, battser.com, que é uma cópia do site dos CTT. Tentei carregar em várias links e nenhuma funciona, à exceção do botão para pesquisar o suposto “tracking-code“, que depois de clicado mostra outro botão a pedir para pagar €2.

Quando carreguei neste segundo botão, encaminhou-me novamente para outro endereço estranho, saferadioplanet.com, onde pedem vários dados, tais como

  • nome
  • apelido
  • email
  • morada
  • contacto

Não segui mais qualquer passo depois disto, já que esta situação está tão cheia de red flags. Mas como a minha curiosidade ainda não estava satisfeita, tentei ver a informação do primeiro domínio, ajoruc.com:

Domain Name: AJORUC.COM
Registry Domain ID: 2550042809_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.namecheap.com
Registrar URL: http://www.namecheap.com
Updated Date: 2020-07-31T20:10:44Z
Creation Date: 2020-07-31T20:10:40Z
Registry Expiry Date: 2021-07-31T20:10:40Z
Registrar: NameCheap, Inc.
Registrar IANA ID: 1068
Registrar Abuse Contact Email: abuse@namecheap.com
Registrar Abuse Contact Phone: +1.6613102107
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Name Server: DNS1.REGISTRAR-SERVERS.COM
Name Server: DNS2.REGISTRAR-SERVERS.COM
DNSSEC: unsigned

[...]

Domain name: ajoruc.com                                                                                                                                                                          
Registry Domain ID: 2550042809_DOMAIN_COM-VRSN                                                                                                                                                   
Registrar WHOIS Server: whois.namecheap.com                                                                                                                                                      
Registrar URL: http://www.namecheap.com                                                                                                                                                          
Updated Date: 0001-01-01T00:00:00.00Z                                                                                                                                                            
Creation Date: 2020-07-31T20:10:40.00Z                                                                                                                                                           
Registrar Registration Expiration Date: 2021-07-31T20:10:40.00Z                                                                                                                                  
Registrar: NAMECHEAP INC                                                                                                                                                                         
Registrar IANA ID: 1068                                                                                                                                                                          
Registrar Abuse Contact Email: abuse@namecheap.com                                                                                                                                               
Registrar Abuse Contact Phone: +1.6613102107                                                                                                                                                     
Reseller: NAMECHEAP INC                                                                                                                                                                          
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited                                                                                                           
Domain Status: addPeriod https://icann.org/epp#addPeriod                                                                                                                                         
Registry Registrant ID:                                                                                                                                                                          
Registrant Name: WhoisGuard Protected                                                                                                                                                            
Registrant Organization: WhoisGuard, Inc.                                                                                                                                                        
Registrant Street: P.O. Box 0823-03411                                                                                                                                                           
Registrant City: Panama                                                                                                                                                                          
Registrant State/Province: Panama
Registrant Postal Code: 
Registrant Country: PA
Registrant Phone: +507.8365503
Registrant Phone Ext: 
Registrant Fax: +51.17057182
Registrant Fax Ext: 
Registrant Email: a054ac166e73468694c17ffccea0a1a2.protect@whoisguard.com
Registry Admin ID: 
Admin Name: WhoisGuard Protected
Admin Organization: WhoisGuard, Inc.
Admin Street: P.O. Box 0823-03411 
Admin City: Panama
Admin State/Province: Panama
Admin Postal Code: 
Admin Country: PA
Admin Phone: +507.8365503
Admin Phone Ext: 
Admin Fax: +51.17057182
Admin Fax Ext: 
Admin Email: a054ac166e73468694c17ffccea0a1a2.protect@whoisguard.com
Registry Tech ID: 
Tech Name: WhoisGuard Protected
Tech Organization: WhoisGuard, Inc.
Tech Street: P.O. Box 0823-03411 
Tech City: Panama
Tech State/Province: Panama
Tech Postal Code: 
Tech Country: PA
Tech Phone: +507.8365503
Tech Phone Ext: 
Tech Fax: +51.17057182
Tech Fax Ext: 
Tech Email: a054ac166e73468694c17ffccea0a1a2.protect@whoisguard.com
Name Server: dns1.registrar-servers.com
Name Server: dns2.registrar-servers.com
DNSSEC: unsigned

Isto serviu de pouco mas deu para ver que o domínio tem poucos dias.

Com o segundo domínio, a mesma coisa:

Domain Name: BATTSER.COM                                                                                                                                                                      
Registry Domain ID: 2548005649_DOMAIN_COM-VRSN                                                                                                                                                
Registrar WHOIS Server: whois.namecheap.com                                                                                                                                                   
Registrar URL: http://www.namecheap.com                                                                                                                                                       
Updated Date: 2020-07-23T14:00:43Z                                                                                                                                                            
Creation Date: 2020-07-23T09:29:17Z                                                                                                                                                           
Registry Expiry Date: 2021-07-23T09:29:17Z                                                                                                                                                    
Registrar: NameCheap, Inc.                                                                                                                                                                    
Registrar IANA ID: 1068                                                                                                                                                                       
Registrar Abuse Contact Email: abuse@namecheap.com                                                                                                                                            
Registrar Abuse Contact Phone: +1.6613102107                                                                                                                                                  
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited                                                                                                        
Name Server: RAJEEV.NS.CLOUDFLARE.COM                                                                                                                                                         
Name Server: ROMINA.NS.CLOUDFLARE.COM                                                                                                                                                         
DNSSEC: unsigned                                                                                                                                                                              

[...]

Domain name: battser.com                                                                                                                                                                         
Registry Domain ID: 2548005649_DOMAIN_COM-VRSN                                                                                                                                                   
Registrar WHOIS Server: whois.namecheap.com                                                                                                                                                      
Registrar URL: http://www.namecheap.com                                                                                                                                                          
Updated Date: 0001-01-01T00:00:00.00Z                                                                                                                                                            
Creation Date: 2020-07-23T09:29:17.00Z                                                                                                                                                           
Registrar Registration Expiration Date: 2021-07-23T09:29:17.00Z                                                                                                                                  
Registrar: NAMECHEAP INC                                                                                                                                                                         
Registrar IANA ID: 1068                                                                                                                                                                          
Registrar Abuse Contact Email: abuse@namecheap.com                                                                                                                                               
Registrar Abuse Contact Phone: +1.6613102107                                                                                                                                                     
Reseller: NAMECHEAP INC                                                                                                                                                                          
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited                                                                                                           
Registry Registrant ID:                                                                                                                                                                          
Registrant Name: WhoisGuard Protected                                                                                                                                                            
Registrant Organization: WhoisGuard, Inc.                                                                                                                                                        
Registrant Street: P.O. Box 0823-03411                                                                                                                                                           
Registrant City: Panama                                                                                                                                                                          
Registrant State/Province: Panama
Registrant Postal Code: 
Registrant Country: PA
Registrant Phone: +507.8365503
Registrant Phone Ext: 
Registrant Fax: +51.17057182
Registrant Fax Ext: 
Registrant Email: c006a1d8ccf94247aefb21eda0fa4eac.protect@whoisguard.com
Registry Admin ID: 
Admin Name: WhoisGuard Protected
Admin Organization: WhoisGuard, Inc.
Admin Street: P.O. Box 0823-03411 
Admin City: Panama
Admin State/Province: Panama
Admin Postal Code: 
Admin Country: PA
Admin Phone: +507.8365503
Admin Phone Ext: 
Admin Fax: +51.17057182
Admin Fax Ext: 
Admin Email: c006a1d8ccf94247aefb21eda0fa4eac.protect@whoisguard.com
Registry Tech ID: 
Tech Name: WhoisGuard Protected
Tech Organization: WhoisGuard, Inc.
Tech Street: P.O. Box 0823-03411 
Tech City: Panama
Tech State/Province: Panama
Tech Postal Code: 
Tech Country: PA
Tech Phone: +507.8365503
Tech Phone Ext: 
Tech Fax: +51.17057182
Tech Fax Ext: 
Tech Email: c006a1d8ccf94247aefb21eda0fa4eac.protect@whoisguard.com
Name Server: rajeev.ns.cloudflare.com
Name Server: romina.ns.cloudflare.com
DNSSEC: unsigned

A história não foi diferente no terceiro domínio:

Domain Name: SAFERADIOPLANET.COM                                                                                                                                                              
Registry Domain ID: 2509049755_DOMAIN_COM-VRSN                                                                                                                                                
Registrar WHOIS Server: whois.namecheap.com                                                                                                                                                   
Registrar URL: http://www.namecheap.com                                                                                                                                                       
Updated Date: 2020-03-31T12:35:19Z                                                                                                                                                            
Creation Date: 2020-03-30T11:32:35Z                                                                                                                                                           
Registry Expiry Date: 2021-03-30T11:32:35Z                                                                                                                                                    
Registrar: NameCheap, Inc.                                                                                                                                                                    
Registrar IANA ID: 1068                                                                                                                                                                       
Registrar Abuse Contact Email: abuse@namecheap.com                                                                                                                                            
Registrar Abuse Contact Phone: +1.6613102107                                                                                                                                                  
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited                                                                                                        
Name Server: CASH.NS.CLOUDFLARE.COM                                                                                                                                                           
Name Server: JANET.NS.CLOUDFLARE.COM                                                                                                                                                          
DNSSEC: unsigned                                                                                                                                                                              

[...]

Domain name: saferadioplanet.com                                                                                                                                                                 
Registry Domain ID: 2509049755_DOMAIN_COM-VRSN                                                                                                                                                   
Registrar WHOIS Server: whois.namecheap.com                                                                                                                                                      
Registrar URL: http://www.namecheap.com                                                                                                                                                          
Updated Date: 0001-01-01T00:00:00.00Z                                                                                                                                                            
Creation Date: 2020-03-30T11:32:35.00Z                                                                                                                                                           
Registrar Registration Expiration Date: 2021-03-30T11:32:35.00Z                                                                                                                                  
Registrar: NAMECHEAP INC                                                                                                                                                                         
Registrar IANA ID: 1068                                                                                                                                                                          
Registrar Abuse Contact Email: abuse@namecheap.com                                                                                                                                               
Registrar Abuse Contact Phone: +1.6613102107                                                                                                                                                     
Reseller: NAMECHEAP INC                                                                                                                                                                          
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited                                                                                                           
Registry Registrant ID:                                                                                                                                                                          
Registrant Name: WhoisGuard Protected                                                                                                                                                            
Registrant Organization: WhoisGuard, Inc.                                                                                                                                                        
Registrant Street: P.O. Box 0823-03411                                                                                                                                                           
Registrant City: Panama                                                                                                                                                                          
Registrant State/Province: Panama
Registrant Postal Code: 
Registrant Country: PA
Registrant Phone: +507.8365503
Registrant Phone Ext: 
Registrant Fax: +51.17057182
Registrant Fax Ext: 
Registrant Email: 1101df4e23a9474a8ee40938ad2d3b1f.protect@whoisguard.com
Registry Admin ID: 
Admin Name: WhoisGuard Protected
Admin Organization: WhoisGuard, Inc.
Admin Street: P.O. Box 0823-03411 
Admin City: Panama
Admin State/Province: Panama
Admin Postal Code: 
Admin Country: PA
Admin Phone: +507.8365503
Admin Phone Ext: 
Admin Fax: +51.17057182
Admin Fax Ext: 
Admin Email: 1101df4e23a9474a8ee40938ad2d3b1f.protect@whoisguard.com
Registry Tech ID: 
Tech Name: WhoisGuard Protected
Tech Organization: WhoisGuard, Inc.
Tech Street: P.O. Box 0823-03411 
Tech City: Panama
Tech State/Province: Panama
Tech Postal Code: 
Tech Country: PA
Tech Phone: +507.8365503
Tech Phone Ext: 
Tech Fax: +51.17057182
Tech Fax Ext: 
Tech Email: 1101df4e23a9474a8ee40938ad2d3b1f.protect@whoisguard.com
Name Server: cash.ns.cloudflare.com
Name Server: janet.ns.cloudflare.com
DNSSEC: unsigned

Ainda tentei ver se o crimeflare.org tinha algum destes domínios listado, mas não tive sorte.

Perguntei no Twitter e no Slack do AADM sobre este tipo de mensagens e parece que esta é uma prática relativamente comum.

Por sugestão do Tomahock, reportei isto ao Centro Nacional de Cibersegurança e talvez siga a dica do @rafaelraposo e reporte também a situação à empresa que fornece o alojamento e/ou domínios usados nisto.

Alguns screenshots estão nesta thread no Twitter.

Update #1: reportei os domínios à Namecheap, mas o ticket ainda não tem qualquer feedback da empresa

Update #2: a Namecheap já respondeu e está a averiguar a situação do lado deles


61 thoughts on “Um SMS estranho que me levou a um endereço que copia o site dos CTT

    1. Experimentaste colocar uma sequência alfanumérica aleatória no endereço que imita o site dos CTT? Spoiler: diz sempre que tens que pagar €2.

  1. Recebi um igual agora mesmo . Tambem fiz uma encomenda , dai estar com duvidas. Se nao sao os ctt como sabem da encomenda ? Se alguem souber que mande mensagem , pls .

      1. Também recebi hoje uma SMS desse número.
        Mas o link já é assim: http://ukesil.com/wTeK_Av

        Que redirecciona para o battser

        A única coisa que fiz foi uma encomenda ontem no site do IKEA. Podem ter algo no site que esteja a apanhar os dados no formulário da compra.

        1. Eu também recebi uma mensagem igual no dia 17/08, link ajoruc.com
          Não conheço o link, não abri. Hoje, lembrei-me de pesquisar sobre o link e encontrei o seu artigo. Obrigada pela partilha.

    1. Eu também recebi a mensagem mas não fiz nenhuma encomenda. Deve ser coincidência terem te mandado mensagem quando tu tinhas feito encomenda.

    1. Se chegaste a inserir o teu número de telemóvel, liga para a tua operadora e pede para bloquearem tudo o que é subscrições no teu número. Mais vale prevenir do que remediar.

  2. Bom dia tambem recebi, depois de por os dados todos apareceu para pagar mas num site que reparei ser para me fidelizar a algo… E burla sem duvida

    1. Se inseriste o teu número de telemóvel e submeteste os dados, liga para a tua operadora e pede para bloquearem tudo o que é subscrições ou arriscas-te a pagar de €1.99 para cima por semana.

  3. Bom dia,

    Não só recebi essa mesmo hoje como tenho recebido várias desde maio para cá. Nunca abri nenhum link porque desconfiei precisamente da forma de escrita:

    Alguns exemplos:
    N°desconhecido:
    “…confirme seus detalhes de entrega hoje, caso contrario seu recompensa sera devolvido ao remetente: Nao vou copiar o link …”

    Uma tal Sandra:
    “Seu pacote (PT003576826:) foi enviado com muito pouco porte. O pacote sera enviado quando o porte for pago: não vou copiar o link…”

    Podia mostrar mais mas já as apaguei. Uma falava num advogado que ia “agilizar o processo para você”.

    Tenham cuidado com estas burlas. Em Algumas eles também escrevem o nosso nome para parecer mais real.

    reparem que:
    Colocam sempre um link
    Tem erros de escrita
    Às vezes tem o vosso nome
    Pode ou não ter o nome do remetente ou ser só um número de telefone…

    Espero ter ajudado.

    1. Ajuda sempre, porque nem todos são tão desconfiados como nós (eu sou assumidamente desconfiado em tudo). Sempre que vejo uma link que me parece estranha, entro no modo “excesso de cautela”.

    1. Devem ter arranjado contactos de algum leak e estão a enviar SMS a todos os contactos que arranjaram. Alguns terem encomendas pendentes é coincidência e é aqui que eles devem estar a apostar para faturar.

  4. Recebi Essa mensagem hoje dia 14 de agosto de 2020, não acedi ao link. Pesquisei na net, pq não tenho por acaso efetuado compras pela internet.
    Mas certamente é uma burla 😉
    Obrigado pela informação disponível.

  5. Também recebi a mensagem. Copiei o código da encomenda e fui diretamente ao site da CTT fazer o tracking. Não existe nenhuma encomenda com esse número. Também achei estranho o número da mensagem terminar com o mesmo número da encomenda. 5819PT

    1. Se seguires a primeira link, ela leva-te para uma cópia desatualizada do site dos CTT. No campo de pesquisa, mesmo que não insiras nada, vai dizer que precisas de pagar €2 para receberes a encomenda com o código que não chegaste a inserir. Ou podes inserir só cardinais, por exemplo, que ele vai mostrar o mesmo.

  6. Boas e obrigado pela partilha.
    Eu tb recebi hoje esse SMS às 8h02.
    BURLA!

    No meu caso estou à espera de uma encomenda que chega via MRw e cuja empresa já fez 2 tentativas de entrega da encomenda sem sucesso.

    Será que é aí que estão a apanhar os números de tlm ?

    1. Não creio, porque alguns leitores deixaram aqui comentários a dizer que não estão a aguardar encomendas e receberam o SMS à mesma. Cheira-me é que estão a usar dados de algum leak. Num universo grande de números, há-de haver alguns que realmente têm encomendas pendentes e deve ser aí que eles estão a apostar para faturar.

    1. Bom dia !
      Acabei de receber também a mensagem !
      Achei super estranho porque nenhuma das encomendas que tenho em espera vem pelos CTT !

      1. O facto de estarem a aguardar encomendas parece apenas coincidência. Se eles tiverem dados de algum leak, como desconfio que seja, num universo de centenas ou milhares de contactos, há-de haver alguns que realmente estão a aguardar encomendas e esses são mais suscetíveis de cair na burla por causa disso.

  7. Hoje e recebi tambêm, e por que eu espero um livro do meu filho de Holanda, eu abri este mensagem………
    No fim, eu pago € 2,00 no CTT, achei eu,
    depois esta USD 2,00 e um sportstream de America 😣
    Cancelado e foi falar com Crédito Agricola.

    1. Se inseriste o teu número de telemóvel, pede à tua operadora para bloquear tudo o que é subscrições, por uma questão de salvaguarda, ou ainda acabas a pagar de €1.99 para cima todas as semanas.

  8. Recebi também essa mensagem e uma vez que também estou a aguardar um envio de encomenda fiquei na dúvida. Não abri qualquer link por não confiar e após ter lido todas a partilhas..já apaguei a sms.
    Toda a informação descrita foi muito importante. Obrigada.

  9. Tbm recebi, e no dia seguinte à realização de encomenda na FNAC. Por momentos pensei que tivesse a ver com a encomenda, mas desconfiei pela hora, pelo remetente e pelo link “ukesil.com”.

    1. Outro leitor reportou também ter recebido a SMS com esse domínio. Honestamente, duvido que estejam só a usar estes dois domínios nas SMS que estão a enviar.

  10. Recebi a mesma mensagem, obrigado pela partilha. Como estou a aguardar encomendas, ainda pensei em fazer o pagamento de 2€.

  11. Também acabei de receber e achei muito estranho. Pesquisei e cheguei aqui! Obrigado pela partilha, vou reportar aos ctt.

  12. O meu marido também recebeu hoje , dia 15 de Agosto de 2020, um sms de 5819PT. Ele achou estrnho porque não tenha feito nenhuma compra na internet. Como ele não é versado em internet, pediu-me ajuda e eu carreguei no link e fui ter a um domínio com o mesmo aspecto do site dos CTT e fiquei desconfiada. No computador pesquisei e encontrei os vossos comentários.
    Obrigada pela partilha de informações . Estamos sempre a aprender. E há cada vez mais burlas na internet.

    1. Ora essa 🙂

      Sempre que este tipo de mensagens tiver erros ortográficos e/ou um endereço web diferente do da suposta entidade que está a enviar a mensagem e/ou for enviada de um número estranho, é de desconfiar e nunca fornecer dados.

    1. Em princípio, não. No entanto, nunca te poderei dar total certeza de que não exploraram uma falha do teu browser, por exemplo, para instalar malware no teu telemóvel.

  13. Recebi Sexta feira 14 de Agosto uma mensagem deste género http://ukesil,com/cWQDsjn. Estou de facto a espera de uma encomenda que vem do Reino Unido. Fui aos correios local onde é efectuado a distribuição verificamos no site dos CTT algo que eu tinha feito já em casa e simplesmente não havia encomenda nenhuma. Verificamos o numero de referência do ponto de entrega faltava um digito, logo conclui que se tratava de uma fraude , de alguém bem informado na medida que a quem enviaram este sms estão todos a espera de encomendas !

  14. Ola Bruno mantive o sms até hoje apaguei o a cerca de uma hora, desconfiei desde inicio. O grave era se tivesse avançado e pago os 2€, porque ai teria de dar as minhas coordenadas bancárias, algo que não fiz como tu disseste e bem todos aqueles que estão a espera de encomendas são aqueles que estão mais vulneráveis a cair na ratoeira. Verifiquei que há também um blog francês que se queixa do mesmo. Obrigado pela dica.

  15. Hoje cedo eu também recebi uma mensagem dessa , como também estou a aguardar encomendas online eu pensei que pudesse ser realmente uma mensagem do Ctt, afinal sou nova por aqui e ainda não consigo perceber tudo.
    Esse artigo foi excelente para ajudar a perceber o que ocorre e excelente por tamanho detalhes.
    Eu não conseguiria ler isso, sem fazer o devido elogio a quem o escreveu.
    Muito obrigada por sua ajuda.
    Cheers!

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

Este site utiliza o Akismet para reduzir spam. Fica a saber como são processados os dados dos comentários.