Entrega sob encomenda de phishing de pronta propagação

Atualmente, um criminoso não precisa saber como escrever malware ou pensar em esquemas sofisticados de fraude digital. Hoje em dia, os golpes já vêm prontos na forma de fraude como serviço (FaaS). Então, caberia apenas ao criminoso mediano procurar as vítimas para drenar todos os recursos de suas carteiras, e o operador cuidaria do resto.

Hoje, analisaremos um grupo especializado em golpes em sites de classificados para explicar o que é o phishing de pronta propagação e a melhor maneira de se defender contra ele.

Quem fornece o serviço?

O principal contato em uma quadrilha é o fundador ou iniciador do tópico. Esse sujeito gerencia os comparsas que atuam da seguinte maneira:

• Programadores: responsáveis pelos canais, chats e bots do Telegram
• Falsos agentes de suporte
• Sacadores: responsáveis pelo saque do dinheiro da conta bancária da vítima
• Operadores: responsáveis por encontrar anúncios, responder e convencer as vítimas a abrir um link de phishing

É assim que a linha de frente de quase todas as quadrilhas se articula. A aparência especialmente sofisticada também inclui profissionais de marketing, motivadores e mentores. Eles executam campanhas promocionais para o projeto e fornecem apoio moral e treinamento para os operadores.

Os membros de uma quadrilha fraudulenta trocam mensagens principalmente por meio de grupos privados e bate-papos no Telegram. O canal que investigamos tinha cerca de 15.000 membros, com apenas cinco deles sendo mentores. Praticamente todos os outros eram operadores, ou seja, eram apenas uma peça dentro do esquema. Leia a história investigativa no Securelist e saiba quais são as outras funções dos membros de uma quadrilha.

O bot do Telegram como a principal arma dos operadores

Os bots ajudam as quadrilhas a automatizar a maior parte do processo fraudulento. Por exemplo, os criminosos podem usá-los para criar anúncios de phishing exclusivos e personalizados. Descobrimos um bot do Telegram que produz até 48 anúncios por vez, em quatro idiomas, para seis sites de classificados e em duas versões: golpe do vendedor (2.0) e golpe do comprador (1.0).

Um bot cria links para dois tipos de golpe ao mesmo tempo: golpe do vendedor (2.0) e golpe do comprador (1.0)

Em seguida, um operador usa o bot do Telegram para enviar automaticamente os links para o e-mail, a conta de mensagens instantâneas ou a caixa de entrada de SMS da vítima. Assim que um link de phishing é aberto, o bot exibe uma mensagem que diz “Mamute on-line”. Isso indica para o operador que o golpe está praticamente concluído: a vítima não tem proteção, então a quadrilha está prestes a embolsar seu dinheiro.

O bot passa a indicar para o operador tudo o que a vítima faz nos mínimos detalhes

As notificações instantâneas sobre qualquer coisa que aconteça é um dos recursos matadores dos bots do Telegram. Assim, se a vítima morder a isca ao pagar pela “mercadoria” ou pela “entrega”, o operador ficará sabendo imediatamente. O bot calcula a parte do espólio do operador e compartilha o nome do sacador que fará o saque dos fundos.

“Enganamos mais uma vítima!” – é assim que os operadores se vangloriam

É só isso que o operador precisa fazer, pois o dinheiro será creditado automaticamente em sua conta, a menos que eles sejam enganados pelos próprios comparsas da quadrilha, o que não é nenhuma surpresa.

Quanto ganham as quadrilhas fraudulentas

Os operadores atuam como a fonte de renda da quadrilha: eles pagam comissões aos gerentes, mentores, sacadores e falsos agente de suporte. Esse projeto é, sem dúvida, uma mina de ouro: a quadrilha ganhou mais de dois milhões de dólares entre agosto de 2023 e junho de 2024. De qualquer maneira, isso é o que os criminosos alegam, mas eles podem alegar qualquer coisa. Além disso, indicar valores inflados pode ser uma estratégia no bate-papo interno para motivar os operadores.

Um dia ruim para os criminosos, mas feliz para toda a humanidade

Os lucros da fábrica de golpes são restringidos pelos limites de transação bancários. A quadrilha que estamos analisando opera fora da Suíça, e as regras bancárias locais impedem que ela roube mais de 15.000 francos suíços (aproximadamente 16.700 dólares americanos) de cada vez. Os operadores têm um valor mínimo de saque: não haverá dor de cabeça se os cartões tiverem 300 francos suíços (333 dólares americanos) na conta correspondente, caso contrário, os custos excederiam os ganhos.

O que fazer para evitar a armadilha

Sofrer um ataque de phishing de pronta propagação, em vez do phishing “normal”, não muda nada para a pessoa afetada: os criminosos seguirão sendo criminosos e continuarão a elaborar todas as formas possíveis de roubar o dinheiro das vítimas. Mas, como o FaaS torna o trabalho dos golpistas muito mais fácil, esse tipo de fraude está em ascensão. Assim, as dicas de proteção permanecem as mesmas em relação aos outros tipos de phishing:

• Usar segurança confiável para evitar o clique nos links de phishing.
• Consultar nossas regras seguras de venda on-line.
• Restringir os bate-papos com vendedores e compradores aos sites de classificados para impedir que os operadores vejam seus dados pessoais e não mudar para os aplicativos de mensagens instantâneas.
• Pagar suas compras on-line apenas com cartões virtuais que tenham limites de transação e não armazenar valores significativos nas contas vinculadas a eles.
• Ler outras informações sobre como outros golpes funcionam para se manter atualizado sobre as tendências.