Caso tenham inserido os dados do vosso cartão de crédito, peçam o cancelamento da subscrição à VodMood através do endereço customersupport@vodmood.com
Hoje de manhã, ainda não eram 8h30, a esposa recebeu um SMS de um número estranho (5819PT). Ela pediu-me para ver a mensagem porque está a aguardar a receção de documentação através de uma transportadora e queria saber o estado do envio.
Quando vi a mensagem, reparei que o endereço é estranho e não é um que eu tenha visto ser usado pelos CTT ou alguma transportadora. Este endereço, ajoruc.com, é “coruja” escrito ao contrário e com um erro ortográfico. Isto pode ser apenas coincidência, mas fez-me desconfiar ainda mais.
Também reparei que não havia acentuação na mensagem, o que pode ser expectável mas não desejável, e que o texto mencionava que o endereço para a entrega não estava confirmado.
Primeiro tentei aceder diretamente ao domínio, que me encaminhou automaticamente para uma página de “opt-out“. Se já estava bastante desconfiado, ainda fiquei mais.
O passo seguinte foi aceder diretamente à link da mensagem. Quando acedo, encaminha-me para outro endereço, battser.com, que é uma cópia do site dos CTT. Tentei carregar em várias links e nenhuma funciona, à exceção do botão para pesquisar o suposto “tracking-code“, que depois de clicado mostra outro botão a pedir para pagar €2.
Quando carreguei neste segundo botão, encaminhou-me novamente para outro endereço estranho, saferadioplanet.com, onde pedem vários dados, tais como
- nome
- apelido
- morada
- contacto
Não segui mais qualquer passo depois disto, já que esta situação está tão cheia de red flags. Mas como a minha curiosidade ainda não estava satisfeita, tentei ver a informação do primeiro domínio, ajoruc.com:
Domain Name: AJORUC.COM
Registry Domain ID: 2550042809_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.namecheap.com
Registrar URL: http://www.namecheap.com
Updated Date: 2020-07-31T20:10:44Z
Creation Date: 2020-07-31T20:10:40Z
Registry Expiry Date: 2021-07-31T20:10:40Z
Registrar: NameCheap, Inc.
Registrar IANA ID: 1068
Registrar Abuse Contact Email: abuse@namecheap.com
Registrar Abuse Contact Phone: +1.6613102107
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Name Server: DNS1.REGISTRAR-SERVERS.COM
Name Server: DNS2.REGISTRAR-SERVERS.COM
DNSSEC: unsigned
[...]
Domain name: ajoruc.com
Registry Domain ID: 2550042809_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.namecheap.com
Registrar URL: http://www.namecheap.com
Updated Date: 0001-01-01T00:00:00.00Z
Creation Date: 2020-07-31T20:10:40.00Z
Registrar Registration Expiration Date: 2021-07-31T20:10:40.00Z
Registrar: NAMECHEAP INC
Registrar IANA ID: 1068
Registrar Abuse Contact Email: abuse@namecheap.com
Registrar Abuse Contact Phone: +1.6613102107
Reseller: NAMECHEAP INC
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Domain Status: addPeriod https://icann.org/epp#addPeriod
Registry Registrant ID:
Registrant Name: WhoisGuard Protected
Registrant Organization: WhoisGuard, Inc.
Registrant Street: P.O. Box 0823-03411
Registrant City: Panama
Registrant State/Province: Panama
Registrant Postal Code:
Registrant Country: PA
Registrant Phone: +507.8365503
Registrant Phone Ext:
Registrant Fax: +51.17057182
Registrant Fax Ext:
Registrant Email: a054ac166e73468694c17ffccea0a1a2.protect@whoisguard.com
Registry Admin ID:
Admin Name: WhoisGuard Protected
Admin Organization: WhoisGuard, Inc.
Admin Street: P.O. Box 0823-03411
Admin City: Panama
Admin State/Province: Panama
Admin Postal Code:
Admin Country: PA
Admin Phone: +507.8365503
Admin Phone Ext:
Admin Fax: +51.17057182
Admin Fax Ext:
Admin Email: a054ac166e73468694c17ffccea0a1a2.protect@whoisguard.com
Registry Tech ID:
Tech Name: WhoisGuard Protected
Tech Organization: WhoisGuard, Inc.
Tech Street: P.O. Box 0823-03411
Tech City: Panama
Tech State/Province: Panama
Tech Postal Code:
Tech Country: PA
Tech Phone: +507.8365503
Tech Phone Ext:
Tech Fax: +51.17057182
Tech Fax Ext:
Tech Email: a054ac166e73468694c17ffccea0a1a2.protect@whoisguard.com
Name Server: dns1.registrar-servers.com
Name Server: dns2.registrar-servers.com
DNSSEC: unsigned
Isto serviu de pouco mas deu para ver que o domínio tem poucos dias.
Com o segundo domínio, a mesma coisa:
Domain Name: BATTSER.COM
Registry Domain ID: 2548005649_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.namecheap.com
Registrar URL: http://www.namecheap.com
Updated Date: 2020-07-23T14:00:43Z
Creation Date: 2020-07-23T09:29:17Z
Registry Expiry Date: 2021-07-23T09:29:17Z
Registrar: NameCheap, Inc.
Registrar IANA ID: 1068
Registrar Abuse Contact Email: abuse@namecheap.com
Registrar Abuse Contact Phone: +1.6613102107
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Name Server: RAJEEV.NS.CLOUDFLARE.COM
Name Server: ROMINA.NS.CLOUDFLARE.COM
DNSSEC: unsigned
[...]
Domain name: battser.com
Registry Domain ID: 2548005649_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.namecheap.com
Registrar URL: http://www.namecheap.com
Updated Date: 0001-01-01T00:00:00.00Z
Creation Date: 2020-07-23T09:29:17.00Z
Registrar Registration Expiration Date: 2021-07-23T09:29:17.00Z
Registrar: NAMECHEAP INC
Registrar IANA ID: 1068
Registrar Abuse Contact Email: abuse@namecheap.com
Registrar Abuse Contact Phone: +1.6613102107
Reseller: NAMECHEAP INC
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Registry Registrant ID:
Registrant Name: WhoisGuard Protected
Registrant Organization: WhoisGuard, Inc.
Registrant Street: P.O. Box 0823-03411
Registrant City: Panama
Registrant State/Province: Panama
Registrant Postal Code:
Registrant Country: PA
Registrant Phone: +507.8365503
Registrant Phone Ext:
Registrant Fax: +51.17057182
Registrant Fax Ext:
Registrant Email: c006a1d8ccf94247aefb21eda0fa4eac.protect@whoisguard.com
Registry Admin ID:
Admin Name: WhoisGuard Protected
Admin Organization: WhoisGuard, Inc.
Admin Street: P.O. Box 0823-03411
Admin City: Panama
Admin State/Province: Panama
Admin Postal Code:
Admin Country: PA
Admin Phone: +507.8365503
Admin Phone Ext:
Admin Fax: +51.17057182
Admin Fax Ext:
Admin Email: c006a1d8ccf94247aefb21eda0fa4eac.protect@whoisguard.com
Registry Tech ID:
Tech Name: WhoisGuard Protected
Tech Organization: WhoisGuard, Inc.
Tech Street: P.O. Box 0823-03411
Tech City: Panama
Tech State/Province: Panama
Tech Postal Code:
Tech Country: PA
Tech Phone: +507.8365503
Tech Phone Ext:
Tech Fax: +51.17057182
Tech Fax Ext:
Tech Email: c006a1d8ccf94247aefb21eda0fa4eac.protect@whoisguard.com
Name Server: rajeev.ns.cloudflare.com
Name Server: romina.ns.cloudflare.com
DNSSEC: unsigned
A história não foi diferente no terceiro domínio:
Domain Name: SAFERADIOPLANET.COM
Registry Domain ID: 2509049755_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.namecheap.com
Registrar URL: http://www.namecheap.com
Updated Date: 2020-03-31T12:35:19Z
Creation Date: 2020-03-30T11:32:35Z
Registry Expiry Date: 2021-03-30T11:32:35Z
Registrar: NameCheap, Inc.
Registrar IANA ID: 1068
Registrar Abuse Contact Email: abuse@namecheap.com
Registrar Abuse Contact Phone: +1.6613102107
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Name Server: CASH.NS.CLOUDFLARE.COM
Name Server: JANET.NS.CLOUDFLARE.COM
DNSSEC: unsigned
[...]
Domain name: saferadioplanet.com
Registry Domain ID: 2509049755_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.namecheap.com
Registrar URL: http://www.namecheap.com
Updated Date: 0001-01-01T00:00:00.00Z
Creation Date: 2020-03-30T11:32:35.00Z
Registrar Registration Expiration Date: 2021-03-30T11:32:35.00Z
Registrar: NAMECHEAP INC
Registrar IANA ID: 1068
Registrar Abuse Contact Email: abuse@namecheap.com
Registrar Abuse Contact Phone: +1.6613102107
Reseller: NAMECHEAP INC
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Registry Registrant ID:
Registrant Name: WhoisGuard Protected
Registrant Organization: WhoisGuard, Inc.
Registrant Street: P.O. Box 0823-03411
Registrant City: Panama
Registrant State/Province: Panama
Registrant Postal Code:
Registrant Country: PA
Registrant Phone: +507.8365503
Registrant Phone Ext:
Registrant Fax: +51.17057182
Registrant Fax Ext:
Registrant Email: 1101df4e23a9474a8ee40938ad2d3b1f.protect@whoisguard.com
Registry Admin ID:
Admin Name: WhoisGuard Protected
Admin Organization: WhoisGuard, Inc.
Admin Street: P.O. Box 0823-03411
Admin City: Panama
Admin State/Province: Panama
Admin Postal Code:
Admin Country: PA
Admin Phone: +507.8365503
Admin Phone Ext:
Admin Fax: +51.17057182
Admin Fax Ext:
Admin Email: 1101df4e23a9474a8ee40938ad2d3b1f.protect@whoisguard.com
Registry Tech ID:
Tech Name: WhoisGuard Protected
Tech Organization: WhoisGuard, Inc.
Tech Street: P.O. Box 0823-03411
Tech City: Panama
Tech State/Province: Panama
Tech Postal Code:
Tech Country: PA
Tech Phone: +507.8365503
Tech Phone Ext:
Tech Fax: +51.17057182
Tech Fax Ext:
Tech Email: 1101df4e23a9474a8ee40938ad2d3b1f.protect@whoisguard.com
Name Server: cash.ns.cloudflare.com
Name Server: janet.ns.cloudflare.com
DNSSEC: unsigned
Ainda tentei ver se o crimeflare.org tinha algum destes domínios listado, mas não tive sorte.
Perguntei no Twitter e no Slack do AADM sobre este tipo de mensagens e parece que esta é uma prática relativamente comum.
Por sugestão do Tomahock, reportei isto ao Centro Nacional de Cibersegurança e talvez siga a dica do @rafaelraposo e reporte também a situação à empresa que fornece o alojamento e/ou domínios usados nisto.
Alguns screenshots estão nesta thread no Twitter.
Update #1: reportei os domínios à Namecheap, mas o ticket ainda não tem qualquer feedback da empresa
Update #2: a Namecheap já respondeu e está a averiguar a situação do lado deles
Hoje também recebi a mesma mensagem!!
Deve ser mais uma campanha de burla ou algo do género.
Boas Bruno.
Hoje às 9:24 recebi uma mensagem exactamente igual à tua.
Experimentaste colocar uma sequência alfanumérica aleatória no endereço que imita o site dos CTT? Spoiler: diz sempre que tens que pagar €2.
Recebi um igual agora mesmo . Tambem fiz uma encomenda , dai estar com duvidas. Se nao sao os ctt como sabem da encomenda ? Se alguem souber que mande mensagem , pls .
Pode ter sido um leak de dados ou mera coincidência. Não te sei dizer para já.
Também recebi hoje uma SMS desse número.
Mas o link já é assim: http://ukesil.com/wTeK_Av
Que redirecciona para o battser
A única coisa que fiz foi uma encomenda ontem no site do IKEA. Podem ter algo no site que esteja a apanhar os dados no formulário da compra.
Provavelmente devem ter mais domínios para usar na burla.
Eu também recebi uma mensagem igual no dia 17/08, link ajoruc.com
Não conheço o link, não abri. Hoje, lembrei-me de pesquisar sobre o link e encontrei o seu artigo. Obrigada pela partilha.
Também recebi a mesma mensagem, mas não espero nenhuma encomenda. Nem abri o link.
Eu também recebi a mensagem mas não fiz nenhuma encomenda. Deve ser coincidência terem te mandado mensagem quando tu tinhas feito encomenda.
Tambem recebi …
Se chegaste a inserir o teu número de telemóvel, liga para a tua operadora e pede para bloquearem tudo o que é subscrições no teu número. Mais vale prevenir do que remediar.
Bom dia tambem recebi, depois de por os dados todos apareceu para pagar mas num site que reparei ser para me fidelizar a algo… E burla sem duvida
Se inseriste o teu número de telemóvel e submeteste os dados, liga para a tua operadora e pede para bloquearem tudo o que é subscrições ou arriscas-te a pagar de €1.99 para cima por semana.
Acabei de receber esta mensagem, obrigado pelo aviso.
Ora essa 🙂
Bom dia,
Não só recebi essa mesmo hoje como tenho recebido várias desde maio para cá. Nunca abri nenhum link porque desconfiei precisamente da forma de escrita:
Alguns exemplos:
N°desconhecido:
“…confirme seus detalhes de entrega hoje, caso contrario seu recompensa sera devolvido ao remetente: Nao vou copiar o link …”
Uma tal Sandra:
“Seu pacote (PT003576826:) foi enviado com muito pouco porte. O pacote sera enviado quando o porte for pago: não vou copiar o link…”
Podia mostrar mais mas já as apaguei. Uma falava num advogado que ia “agilizar o processo para você”.
Tenham cuidado com estas burlas. Em Algumas eles também escrevem o nosso nome para parecer mais real.
reparem que:
Colocam sempre um link
Tem erros de escrita
Às vezes tem o vosso nome
Pode ou não ter o nome do remetente ou ser só um número de telefone…
Espero ter ajudado.
Ajuda sempre, porque nem todos são tão desconfiados como nós (eu sou assumidamente desconfiado em tudo). Sempre que vejo uma link que me parece estranha, entro no modo “excesso de cautela”.
Eu acabei de receber uma como A tua 5819PT…por isso obrigado pelo feedback todo o cuidado é pouco 🙏👍🙏👍
De nada 🙂
Obrigada pelo alerta, também recebi uma mensagem idêntica.
De nada 🙂
Bom dia,
Acabei de receber a SMS… e não fiz nenhuma encomenda!
Devem ter arranjado contactos de algum leak e estão a enviar SMS a todos os contactos que arranjaram. Alguns terem encomendas pendentes é coincidência e é aqui que eles devem estar a apostar para faturar.
Recebi a mensagem mas não tenho nenhuma encomenda pendente.
Já num comentário anterior também foi mencionado isso. A minha resposta: https://blog.brunomiguel.net/geekices/um-sms-estranho-que-me-levou-a-um-endereco-que-copia-o-site-dos-ctt/#comment-3713
Recebi Essa mensagem hoje dia 14 de agosto de 2020, não acedi ao link. Pesquisei na net, pq não tenho por acaso efetuado compras pela internet.
Mas certamente é uma burla 😉
Obrigado pela informação disponível.
Ora essa 🙂
Também recebi a mensagem. Copiei o código da encomenda e fui diretamente ao site da CTT fazer o tracking. Não existe nenhuma encomenda com esse número. Também achei estranho o número da mensagem terminar com o mesmo número da encomenda. 5819PT
Se seguires a primeira link, ela leva-te para uma cópia desatualizada do site dos CTT. No campo de pesquisa, mesmo que não insiras nada, vai dizer que precisas de pagar €2 para receberes a encomenda com o código que não chegaste a inserir. Ou podes inserir só cardinais, por exemplo, que ele vai mostrar o mesmo.
Boas e obrigado pela partilha.
Eu tb recebi hoje esse SMS às 8h02.
BURLA!
No meu caso estou à espera de uma encomenda que chega via MRw e cuja empresa já fez 2 tentativas de entrega da encomenda sem sucesso.
Será que é aí que estão a apanhar os números de tlm ?
Não creio, porque alguns leitores deixaram aqui comentários a dizer que não estão a aguardar encomendas e receberam o SMS à mesma. Cheira-me é que estão a usar dados de algum leak. Num universo grande de números, há-de haver alguns que realmente têm encomendas pendentes e deve ser aí que eles estão a apostar para faturar.
Hoje recebi uma mensagem do mesmo número e com o mesmo conteúdo. Contudo, o link para acesso era diferente:
http://ukesil.com/-DN5e6k
E estou também à espera de uma encomenda.
Bom dia !
Acabei de receber também a mensagem !
Achei super estranho porque nenhuma das encomendas que tenho em espera vem pelos CTT !
O facto de estarem a aguardar encomendas parece apenas coincidência. Se eles tiverem dados de algum leak, como desconfio que seja, num universo de centenas ou milhares de contactos, há-de haver alguns que realmente estão a aguardar encomendas e esses são mais suscetíveis de cair na burla por causa disso.
Recebi uma mensagem hoje exactamente igual, desconfiei logo pelo link…
O teu sensor aranha está bem afinado 🙂
Hoje e recebi tambêm, e por que eu espero um livro do meu filho de Holanda, eu abri este mensagem………
No fim, eu pago € 2,00 no CTT, achei eu,
depois esta USD 2,00 e um sportstream de America 😣
Cancelado e foi falar com Crédito Agricola.
Se inseriste o teu número de telemóvel, pede à tua operadora para bloquear tudo o que é subscrições, por uma questão de salvaguarda, ou ainda acabas a pagar de €1.99 para cima todas as semanas.
Recebi também essa mensagem e uma vez que também estou a aguardar um envio de encomenda fiquei na dúvida. Não abri qualquer link por não confiar e após ter lido todas a partilhas..já apaguei a sms.
Toda a informação descrita foi muito importante. Obrigada.
Ora essa 🙂
Tbm recebi, e no dia seguinte à realização de encomenda na FNAC. Por momentos pensei que tivesse a ver com a encomenda, mas desconfiei pela hora, pelo remetente e pelo link “ukesil.com”.
Outro leitor reportou também ter recebido a SMS com esse domínio. Honestamente, duvido que estejam só a usar estes dois domínios nas SMS que estão a enviar.
Recebi a mesma mensagem, obrigado pela partilha. Como estou a aguardar encomendas, ainda pensei em fazer o pagamento de 2€.
De nada 🙂
Obrigado Bruno.
Acabei de receber a mensagem e esta informação foi bastante esclarecedora.
🙏
De nada 🙂
Também acabei de receber e achei muito estranho. Pesquisei e cheguei aqui! Obrigado pela partilha, vou reportar aos ctt.
Ora essa 🙂
Mas nestas situações, o ideal é reportar ao Centro Nacional de Cibersegurança
O meu marido também recebeu hoje , dia 15 de Agosto de 2020, um sms de 5819PT. Ele achou estrnho porque não tenha feito nenhuma compra na internet. Como ele não é versado em internet, pediu-me ajuda e eu carreguei no link e fui ter a um domínio com o mesmo aspecto do site dos CTT e fiquei desconfiada. No computador pesquisei e encontrei os vossos comentários.
Obrigada pela partilha de informações . Estamos sempre a aprender. E há cada vez mais burlas na internet.
Ora essa 🙂
Sempre que este tipo de mensagens tiver erros ortográficos e/ou um endereço web diferente do da suposta entidade que está a enviar a mensagem e/ou for enviada de um número estranho, é de desconfiar e nunca fornecer dados.
Também recebi duas mensagens dessas, a fazerem-se passar pelos CTT e a informarem que tinha de pagar 2,99 € de IVA por um pacote. Desconfiei e abri o link no computador, mas não preenchi nada e fechei o site. No entanto, ao pesquisar mais sobre isto também fiquei preocupada por ter aberto o link.
Entretanto instalei um antivírus e fiz análise ao browser e está tudo bem. Devo continuar preocupada? O que posso fazer mais? Obrigada.
recebi a mesma mensagem, cliquei no link mas não preenchi nada, devo me preocupar?
Em princípio, não. No entanto, nunca te poderei dar total certeza de que não exploraram uma falha do teu browser, por exemplo, para instalar malware no teu telemóvel.
Também recebi. É a segunda vez. Obrigado pela diga…😋
Recebi Sexta feira 14 de Agosto uma mensagem deste género http://ukesil,com/cWQDsjn. Estou de facto a espera de uma encomenda que vem do Reino Unido. Fui aos correios local onde é efectuado a distribuição verificamos no site dos CTT algo que eu tinha feito já em casa e simplesmente não havia encomenda nenhuma. Verificamos o numero de referência do ponto de entrega faltava um digito, logo conclui que se tratava de uma fraude , de alguém bem informado na medida que a quem enviaram este sms estão todos a espera de encomendas !
Acabei agora mesmo de receber uma mensagem exatamente igual. Obrigada pelo aviso. Eliminei-a!
Ola Bruno mantive o sms até hoje apaguei o a cerca de uma hora, desconfiei desde inicio. O grave era se tivesse avançado e pago os 2€, porque ai teria de dar as minhas coordenadas bancárias, algo que não fiz como tu disseste e bem todos aqueles que estão a espera de encomendas são aqueles que estão mais vulneráveis a cair na ratoeira. Verifiquei que há também um blog francês que se queixa do mesmo. Obrigado pela dica.
Tb recebi.
Obrigada pelo alerto.
Qdo fui ao site, percebi que o domain tinha sido suspenso.
Hoje recebi algo do género. Confirmei no track & trace da transportadora, mas não é reconhecido.
Hoje cedo eu também recebi uma mensagem dessa , como também estou a aguardar encomendas online eu pensei que pudesse ser realmente uma mensagem do Ctt, afinal sou nova por aqui e ainda não consigo perceber tudo.
Esse artigo foi excelente para ajudar a perceber o que ocorre e excelente por tamanho detalhes.
Eu não conseguiria ler isso, sem fazer o devido elogio a quem o escreveu.
Muito obrigada por sua ajuda.
Cheers!