Você já imaginou seus dados bancários sendo usados em carteiras digitais como Apple Pay e Google Pay sem o seu conhecimento? Parece ficção científica, mas essa é a realidade para muitas vítimas de um novo tipo de golpe cibernético que está crescendo assustadoramente. Neste artigo, vamos explorar como dados roubados em golpes de phishing estão sendo usados para criar carteiras digitais fraudulentas e como você pode se proteger.
Tradicionalmente, o roubo de dados de cartão de crédito (carding) era domínio de hackers russos. Mas uma nova onda de inovação no crime cibernético, liderada por grupos na China, está revolucionando o jogo. Eles estão transformando informações roubadas em carteiras digitais ativas, usadas tanto online quanto em lojas físicas.
Carding Reinventado
Grupos criminosos estão utilizando kits de phishing sofisticados, enviados via iMessage e RCS (serviço equivalente no Google), para enganar as vítimas. Mensagens falsas, muitas vezes se passando por serviços de entrega ou cobrança de pedágio, levam as pessoas a sites fraudulentos.
Ao inserir seus dados, a vítima é induzida a inserir um código de verificação, enviado pelo próprio banco para confirmar a adição do cartão à carteira digital. Este código, fornecido de boa-fé, permite que os criminosos vinculem o cartão roubado à carteira digital em um celular sob seu controle.
Esses celulares, carregados com múltiplas carteiras digitais roubadas, são então vendidos em massa por centenas de dólares. É como uma nova forma de clonagem de cartão, só que muito mais eficiente.
O “Ghost Tap”
Além da venda dos celulares, os criminosos utilizam uma tecnologia ainda mais avançada: o “Ghost Tap”. Um aplicativo Android, chamado ZNFC, permite que eles realizem transações por aproximação (NFC) remotamente. Basta aproximar o celular de um terminal de pagamento para que o aplicativo realize a transação, usando os dados roubados de uma carteira digital em um celular na China.
Essa tecnologia possibilita compras em qualquer lugar do mundo, transformando os celulares em instrumentos de fraude altamente lucrativos. Relatos de autoridades em países como Singapura mostram a crescente preocupação com essa nova modalidade de crime.
Técnicas de Phishing Avançadas
Os sites de phishing utilizados são altamente sofisticados. Eles capturam dados digitados em tempo real, mesmo que o usuário não clique em “enviar”. Além disso, utilizam contas falsas em massa no Apple e Google para enviar as mensagens fraudulentas, dificultando a identificação das fontes.
Outra inovação é a conversão automática dos dados do cartão roubado em uma imagem de cartão real. Isso facilita o processo de adição aos serviços de carteira digital, já que o sistema não consegue distinguir entre uma imagem e um cartão físico.
Lucros Enormes
Pesquisa de empresas de segurança indicam que o número de vítimas e o valor roubado são extremamente altos. Considerando o número de domínios fraudulentos e o valor médio obtido por cartão, os prejuízos chegam à casa dos bilhões de dólares anualmente. Isso demonstra a escala e a gravidade do problema.
Como se Proteger
A dependência em códigos de verificação por SMS para adicionar carteiras digitais a celulares contribui para o problema. Bancos em alguns países já adotam métodos mais seguros, como autenticação via aplicativo. A atualização dos terminais de pagamento para melhor identificação de transações NFC também é essencial. Por fim, Apple e Google poderiam atuar na detecção de contas criadas em massa e usadas para golpes.
Entender como esses golpes funcionam é o primeiro passo para se proteger. Fiquem atentos a mensagens suspeitas e nunca forneçam seus dados em sites não confiáveis. A prevenção é a melhor forma de evitar ser vítima deste tipo de crime.
Compartilhe suas experiências e dicas de segurança para ajudar a proteger outras pessoas!
Fonte: KrebsOnSecurity
