As mensagens de texto de golpe seguem um padrão semelhante: você precisa pagar uma taxa de pedágio pendente, ou um pacote não pode ser entregue corretamente, dizem elas. “O pacote do USPS chegou ao armazém, mas não pôde ser entregue devido a informações de endereço incompletas”, lê-se em uma mensagem típica.
Um link na mensagem aponta para um site realista onde você é solicitado a inserir mais detalhes e fazer um pequeno pagamento—enquanto, nos bastidores, os cibercriminosos coletam suas informações e dígitos do cartão de crédito em tempo real.
Essas mensagens se originam de uma coleção prolífica de cibercriminosos vagamente vinculados: os sindicatos de “smishing”.
Nos últimos três anos, esses fraudadores de língua chinesa desenvolveram e operaram a maior operação de smishing do mundo, enviando milhões de mensagens de texto e provavelmente roubando milhões de dólares no processo. O termo “smishing” é uma combinação de SMS e e-mails de phishing, que tentam enganar as pessoas para que entreguem detalhes pessoais. As mensagens de texto, no entanto, adicionam uma camada de urgência e podem surpreender as pessoas enquanto elas vão sobre seu dia a dia agitado.
Agora, esses grupos estão rapidamente adaptando seus métodos e expandindo suas fraudes, dizem especialistas em segurança.
“Eles operam de maneira muito semelhante a um [negócio legítimo] em muitos aspectos”, diz Grant Smith, fundador da firma de segurança cibernética ofensiva Phantom Security, que no ano passado invadiu um grupo de língua chinesa e descobriu como seus kits de phishing internos funcionam.
“A grande maioria dos kits que vejo hoje em dia é surpreendentemente bem montada”, diz Smith. “Eles estão constantemente desenvolvendo esses kits, atualizando-os, tornando-os mais bonitos, tornando-os mais seguros.”
Múltiplos grupos de smishing de língua chinesa e atores individuais estão envolvidos no desenvolvimento contínuo de novas técnicas e na execução da fraude em grande escala. Muitas vezes, grupos até vendem os kits que desenvolvem para cibercriminosos menos sofisticados operarem facilmente.
Ford Merrill, um pesquisador de segurança da SecAlliance, parte do CSIS Security Group, tem acompanhado os sindicatos por dois anos e diz que agora existem sete atores principais de “phishing como serviço” de língua chinesa. “Eles têm possibilitado campanhas globais de phishing baseadas em SMS em uma escala massiva desde o início de 2023”, ele diz à WIRED.
Os criminosos criam sites que imitam empresas ou marcas—como serviços postais, autoridades fiscais, telecomunicações, empresas de utilidade, e cada vez mais provedores de pagamento—e então enviam textos (seja SMS, iMessage criptografado ou RCS) que atraem as pessoas a inserir suas informações pessoais e cartões bancários nos sites fraudulentos. Esse processo exige que os fraudadores registrem milhares de domínios e usem contas do Apple iCloud.
Um dos atores de smishing mais proeminentes é frequentemente referido como o Smishing Triad—embora pesquisadores de segurança agrupem atores e afiliados de língua chinesa de maneiras diferentes—que tem imitado organizações e marcas em pelo menos 121 países, de acordo com uma pesquisa recente da empresa de segurança Silent Push.
Cerca de 200.000 domínios foram usados pelo grupo nos últimos anos, diz a pesquisa, com cerca de 187 domínios de nível superior—como .top, .world, e .vip—sendo usados. Em um recente período de 20 dias, houve mais de 1 milhão de visitas a sites de golpe usados pelo Smishing Triad, de acordo com Silent Push.
Além de coletar nomes, e-mails, endereços e detalhes de cartões bancários, os sites também solicitam que as pessoas insiram senhas de uso único ou códigos de autenticação que permitem aos criminosos adicionar cartões bancários ao Apple Pay ou Google Wallet, permitindo que eles usem os cartões do outro lado do mundo.
“Eles transformaram efetivamente a carteira digital moderna, como Apple Pay ou Google Wallet, na melhor ferramenta de clonagem de cartões que já inventamos”, diz Merrill.
Em grupos do Telegram ligados às organizações cibercriminosas, alguns membros compartilham fotos e vídeos de cartões bancários sendo adicionados a carteiras digitais em iPhones e Androids. Por exemplo, em um vídeo, golpistas supostamente exibem dezenas de cartões virtuais que adicionaram a telefones que estão usando.
Merrill diz que os criminosos podem não fazer pagamentos usando os cartões que adicionaram a carteiras digitais imediatamente, mas provavelmente não levará muito tempo.
“Quando começamos a ver isso, eles esperavam entre 60 e 90 dias antes de realmente roubar dinheiro dos cartões”, ele explica, acrescentando que no início os criminosos deixariam os cartões “amadurecerem” em um dispositivo na tentativa de parecer legítimos. “Hoje em dia, você teria sorte se eles esperassem sete dias ou mesmo alguns dias. Uma vez que eles atingem o cartão, eles atacam duro e rápido.”
“A segurança é fundamental para a experiência do Google Wallet, e trabalhamos em estreita colaboração com os emissores de cartões para prevenir fraudes”, diz Olivia O’Brien, gerente de comunicações do Google. “Por exemplo, os bancos notificam os clientes quando seu cartão é adicionado a uma nova carteira, e fornecemos sinais para ajudar os emissores a detectar comportamentos fraudulentos para que possam decidir se aprovam cartões adicionados.”
A Apple não respondeu ao pedido de comentário da WIRED.
O enorme ecossistema de golpes é alimentado em parte por serviços de golpe underground comerciais. Descobertas da empresa de segurança Resecurity, que tem acompanhado o Smishing Triad por mais de dois anos, dizem que o grupo tem usado serviços de SMS e envio de mensagens “em massa” conforme expande o número de mensagens que envia.
Enquanto isso, como vários pesquisadores de segurança observaram, o grupo Smishing Triad também usa seu próprio software, chamado Lighthouse, para coletar, gerenciar e armazenar informações pessoais e detalhes de cartões. Um vídeo do software Lighthouse originalmente compartilhado no Telegram e republicado pela Silent Push mostra como o sistema coleta detalhes de cartões.
A versão mais recente do software, que foi atualizada em março deste ano, “alvo dezenas de marcas financeiras” incluindo PayPal, Mastercard, Visa e Stripe, diz a Silent Push. Além disso, a pesquisa diz que marcas bancárias australianas parecem estar sendo imitas, indicando uma potencial expansão adicional de alvos.
Os grupos de smishing estão constantemente aprimorando seu próprio software de golpe. Smith, o pesquisador que invadiu uma gangue de smishing, diz que viu grupos operando suas próprias linhas de desenvolvimento para seus softwares e sistemas.
“Recentemente, eles estavam usando um software feito sob medida que tiveram que basicamente replicar o Jira e abrir chamados para quaisquer problemas com a plataforma e quaisquer reclamações de clientes”, diz Smith. “Eles atribuíam esses chamados a membros da equipe.”
Os grupos de smishing de língua chinesa parecem estar longe de desacelerar. Os cibercriminosos estão por trás de enormes ondas de golpes de texto sobre pedágios que varrem os Estados Unidos este ano, diz Shawn Loveland, diretor de operações da Resecurity. “Eles estão aumentando em escala e volume de ataques”, diz ele.
Loveland diz que pode haver várias maneiras de limitar a eficácia das operações de smishing. Registradores de domínio poderiam se aprimorar na detecção de sites fraudulentos, por exemplo, e melhorar o filtro de spam em mensagens ajudaria potenciais vítimas. Além disso, as forças de segurança poderiam direcionar as plataformas e os sistemas que usam para criar contas e enviar mensagens.
Dificultar a operação bem-sucedida dos grupos de smishing poderia reduzir os lucros e ter um efeito de resfriamento no crescente ecossistema criminoso, diz Loveland.
“Criminosos têm uma cadeia de suprimentos, e você não precisa atacar todos os componentes dessa cadeia de suprimentos”, diz ele. “Você pode atacar pontos de estrangulamento na cadeia de suprimentos.”