Você já se perguntou como funciona o dia a dia de uma quadrilha de phishing por voz de grande escala? Prepare-se para mergulhar no mundo subterrâneo do crime cibernético, onde golpes milionários são planejados e executados com uma sofisticação surpreendente. Neste post, vamos desvendar os bastidores de uma operação que utiliza serviços legítimos da Apple e do Google para enganar suas vítimas.
Empresas como Apple e Google alertam constantemente sobre golpes de phishing por telefone. Elas afirmam que nunca contatam usuários sem motivo. No entanto, uma investigação recente revelou que grupos criminosos estão explorando brechas e serviços legítimos dessas empresas para realizar ataques sofisticados.
O Caso de Tony e a Crypto Chameleon
Um investidor em criptomoedas, chamado Tony, perdeu mais de US$ 4,7 milhões em um ataque de phishing por voz elaborado. Os criminosos usaram o Google Assistant para o primeiro contato, enviaram e-mails do domínio google.com e dispararam alertas de recuperação de conta Google em todos os seus dispositivos.
A quadrilha, apelidada de “Crypto Chameleon”, utilizava um kit de phishing que imitava páginas de autenticação de serviços como Okta. Eles ousadamente tentavam enganar funcionários da FCC (Federal Communications Commission dos EUA), Coinbase e Binance.
A Operação e o Papel de “Perm” e “Stotle”
A operação era administrada por um criminoso conhecido como “Perm” ou “Annie”, administrador da comunidade criminosa Star Fraud no Telegram. Perm trabalhava em conjunto com “Aristotle” ou “Stotle”. Uma desavença entre eles levou Stotle a vazar informações cruciais sobre a operação, incluindo vídeos e tutoriais.
A divisão dos lucros era pré-determinada: alguns recebiam uma taxa por ligação, outros uma porcentagem do valor roubado. Perm ficava com 10% de cada roubo.
Organização e Papéis na Quadrilha
- O Ligador: Engana a vítima por meio de engenharia social.
- O Operador: Controla o painel de phishing, guiando a vítima pelas páginas falsas.
- O Esvaziador: Acessa as contas comprometidas para transferir os fundos.
- O Dono: Proprietário do painel de phishing, frequentemente participa das ligações.
Os criminosos utilizavam um canal Discord para compartilhar telas em tempo real, permitindo a coordenação perfeita do ataque.
“Tá, então é mesmo a Apple”
Em um vídeo vazado, vemos um ataque contra um músico na Califórnia. Os criminosos bombardearam o dispositivo da vítima com notificações de redefinição de senha da Apple. Em seguida, um falso “Michael Keen”, usando um número spoofado da Apple, ligou para ele.
A vítima recebeu um alerta de confirmação de conta Apple em todos os seus dispositivos. Isso foi possível porque os criminosos ligaram para o número de suporte da Apple (800-275-2273) spoofando o número da vítima. A seleção da opção “1” (sim) envia uma notificação de confirmação diretamente da Apple para os aparelhos conectados à conta.
Essa técnica de usar o suporte telefônico automatizado da Apple para construir confiança e reforçar a farsa foi crucial para o sucesso do golpe.
A vítima, enganada pela notificação legítima, forneceu informações para um site falso que mimetizava a página de login do iCloud. O painel de phishing permitiu o acesso imediato à conta iCloud da vítima.
Autodoxers e a Busca por Alvos Ricos
As listas de alvos eram obtidas principalmente de vazamentos de dados relacionados a criptomoedas, como os ocorridos com a Trezor. Ferramentas chamadas “autodoxers” automatizavam a aquisição e verificação de dados pessoais, garantindo que apenas pessoas com criptomoedas fossem contatadas.
Esses autodozers verificam até o valor do imóvel da vítima, priorizando os alvos mais ricos.
Mark Cuban e o Golpe no “Shark Tank”
Até mesmo Mark Cuban, o bilionário, foi vítima da quadrilha. Durante as gravações do “Shark Tank”, ele recebeu uma ligação que parecia ser do Google, e por pressa, forneceu o código de verificação, resultando em um roubo de aproximadamente US$ 43.000 em criptomoedas.
Hierarquia e Dinâmica na Quadrilha
A comunidade de criminosos usava uma linguagem própria para classificar seus membros e seus ganhos com base na quantidade de criptomoedas que possuíam (em figuras, ex: 3f para menos de US$ 1000).
A exigência de “prova de fundos” (POF) era comum, impedindo a entrada de indivíduos sem recursos. Até serviços para criar POFs falsas existiam.
As quadrilhas se desfaziam frequentemente devido a conflitos internos e roubos entre os membros (“snaking”).
Audácia e Segurança
Perm utilizava um servidor de comando e controle com dezenas de subdomínios, cada um associado a um grupo específico. Os sites de phishing eram mantidos offline para evitar detecção e utilizavam CAPTCHAs para dificultar a análise de segurança.
Nixon, pesquisadora da Unit 221B, destaca que a abertura dessas comunidades online, embora arriscada, facilita o recrutamento e a formação de novas quadrilhas. Eles temem mais golpes de outros criminosos do que a prisão.
Em resumo, o dia a dia dessa quadrilha de phishing apresenta uma complexa rede de operações, abuso de serviços legítimos e uma dinâmica entre seus membros baseada no ganho financeiro e na traição. A combinação de tecnologia sofisticada e engenharia social mostra a crescente necessidade de vigilância e educação para evitar se tornar vítima destes tipos de crimes.
Compartilhe suas experiências e dicas de segurança para ajudar a proteger outras pessoas!
Fonte: KrebsOnSecurity
