Com a Black Friday chegando, é esperado que relatos de golpes comecem a aparecer mais na internet. Nos últimos anos, o crescimento de vendas nesses períodos, junto da pandemia, fizeram com que criminosos evoluíssem suas táticas e técnicas para aplicar golpes, como o Phishing-as-a-Service (PHaaS).
O PHaas é o nome dado para criminosos que desenvolvem e comercializam páginas falsas feitas para recolher dados de pessoas. Atualmente, em canais de comunicação de fraudadores, circulam diferentes tipos de anúncios oferecendo “serviços” especializados para construir sítios eletrônicos falsos. Além disso, as chamadas fake stores, começam a aparecer com mais frequência no final do ano, imitando sites conhecidos e renomados, mas oferecendo produtos com preço mais baixo, que nunca são entregues.
Ao contrário do ataque de phishing comum, em que mensagens de e-mail ou SMS são usadas para induzir a vítima a clicar em um link falso, as técnicas de fake stores não se limitam à coleta de dados pessoais e de credenciais. Os criminosos também disponibilizam boletos oriundos de compras de valor aproximado que foram realizadas em lojas autênticas, fazendo com que as vítimas paguem por produtos ou serviços reais que serão usufruídos pelos fraudadores. Esses boletos também podem ser gerados em contas de bancos digitais, que são criadas e usadas pelos criminosos como uma “conta laranja” para o recebimento de pagamentos.
Segundo a equipe de Inteligência de Ameaça da Tempest, exemplos de campanhas de fake store podem também ter como objetivo a coleta de informações pessoais e de cartões de crédito das vítimas, além de lucro com o pagamento de boletos. Além disso, segundo pesquisa feita pelo grupo, os criminosos possuem infraestrutura e oferecem uma gama de serviços de apoio aos clientes que adquirem os pacotes de páginas falsas, como recursos para a comunicação com os alvos para simular uma pós-venda, convencendo eles a realizarem a compra.
Principais ferramentas
Existem muitas formas de os criminosos divulgarem suas fake stores. A Tempest separou as que mais foram avistadas durante a pesquisa da sua equipe de Inteligência de Ameaça:
- Serviços e ferramentas de SPAM: Para que o conteúdo falso chegue até seus alvos, os criminosos disseminam SPAM por meio de ferramentas específicas;
- Mensagens SMS: Um dos principais meios ainda amplamente usado é o envio de mensagens de SPAM por meio de Short Message Service (SMS) ou por e-mail;
- Chipeira: É uma espécie de “fazenda” de modems conectados que realizam o envio em massa de mensagens SMS;
- Scripts: Existem ferramentas baseadas em scripts cuja função primordial é burlar mecanismos anti-SPAM e permitir o envio em massa de mensagens maliciosas;
- Cursos e links patrocinados: Em alguns chats também é possível identificar a venda de cursos para aspirantes a criminosos.
Se você ou sua empresa pretendem participar da Black Friday, a Tempest também disponibilizou uma série de dicas, para uma maior segurança:
- Cuidado com mensagens que apelem ao imediatismo como “Oferta relâmpago”, “Promoção imperdível” ou “Produto por tempo limitado”;
- Seja cauteloso com mensagens que possuem links ou anexos, sobretudo aquelas que apresentam erros ortográficos, seja no corpo ou no endereço;
- Não enviar informações pessoais por meio de SMS, e-mail ou formulários sem ter a certeza da legitimidade da organização;
- Verificar nos canais legítimos das empresas quais os meios de contato mais indicados e, caso elas possuam aplicativos ou outros produtos, verificar quais são os links corretos;
- Em caso de bancos, desconfiar de mensagens recebidas sem solicitação prévia, pois não é comum que entidades deste tipo solicitem informações dos clientes dessa forma;
- Em caso de empresas, implementar soluções para impedir a falsificação de endereços de e-mail;
- Proteger os colaboradores das empresas com soluções anti-SPAM e antifraude, incluindo a contratação de serviços de monitoramento e remoção de conteúdo malicioso;
- Promover treinamentos para que funcionários e prestadores de serviço possam reconhecer os ataques de phishing mais comuns;
- Incentivar campanhas de conscientização sobre segurança para seus clientes nas redes sociais e em outros meios de comunicação oficiais;
- Criar canais exclusivos para denúncias de golpes, além da implementação de processos para tratamento destes casos.
Fonte: Canaltech