Cibercriminosos chineses estão enganando o mundo. Nos últimos anos, esses fraudadores enviaram milhões de mensagens de texto fraudulentas — frequentemente se passando pelo USPS ou empresas de cobrança de rodovias — e alegadamente ganharam mais de um bilhão de dólares com seus esquemas audaciosos. Os grupos de golpistas de SMS são uma praga prolífica — e irritante — para milhões de pessoas.
Agora, em uma das ações mais de destaque contra os golpistas até agora, o Google está processando supostos membros de um grupo de ‘smishing’ chinês ‘implacável’ que, segundo a empresa, tentou enganar pessoas em mais de 120 países ao redor do mundo. Em uma ação civil apresentada hoje no Tribunal Distrital dos EUA, no Sul de Nova York, o Google alega que 25 indivíduos não identificados operaram como parte da rede de fraudes ‘Lighthouse’ e visaram milhões de americanos com mensagens de texto em uma operação ‘estonteante’.
Além de ‘roubar’ informações e dinheiro de pessoas globalmente, a Enterprise Lighthouse, que às vezes é conhecida como parte do ‘Smishing Triad’, também ‘se aproveita’ da confiança pública no Google ao usar seus logotipos em sites fraudulentos e abusar de seus sistemas e tecnologia, alega a ação judicial da empresa. ‘Com o aumento das fraudes, isso se deve em grande parte à ação de redes organizadas de crime, e a maioria delas é transnacional’, alega Halimah DeLaine Prado, conselheira geral do Google, em uma entrevista ao WIRED. ‘A rede Lighthouse tem um alcance enorme.’
O grupo Lighthouse é um dos vários grupos de ‘smishing’ que falam chinês que surgiram nos últimos anos. De modo geral, os grupos enviam mensagens fraudulentas para milhares de pessoas usando SMS, o serviço RCS do Google ou o iMessage da Apple. Cada mensagem de texto fraudulenta se passa por uma organização — como empresas de entrega, bancos ou serviços de aplicação da lei — e inclui um link para um site fraudulento. Se alguém inserir seus dados nesses sites falsos, os golpistas podem coletar suas informações pessoais e detalhes bancários em tempo real. Alguns dos grupos também são conhecidos por criar sites de compras online falsos que também podem roubar dados.
Central para a operação Lighthouse está seu software de fraude, chamado Lighthouse. Este software é desenvolvido por cibercriminosos e depois vendido como um serviço de assinatura para golpistas menos capacitados tecnicamente que o utilizam para enviar as mensagens de texto fraudulentas. Os golpistas podem adquirir assinaturas ‘semanais, mensais, sazonais, anuais ou permanentes’ para usar o software, afirma a ação judicial do Google.
‘A plataforma Lighthouse é uma ferramenta de phishing como serviço usada por cibercriminosos para roubar informações bancárias e de cartões, oferecendo modelos de phishing prontos, sites falsos e ferramentas de gerenciamento de back-end, permitindo a coleta de nomes de usuário, senhas e códigos de uso único, e suporta entrega de mensagens em larga escala via iMessage e canais RCS do Google Messages em vez de apenas SMS’, diz Halit Alptekin, diretor de inteligência da empresa de segurança Prodaft, que rastreou o ecossistema de phishing falante chinês. ‘Ela emprega técnicas avançadas de evasão, como filtragem baseada em IP e agente de usuário, URLs limitadas no tempo e rotação de domínios para dificultar a detecção’, diz Alptekin.
A plataforma Lighthouse tem sido amplamente utilizada, de acordo com pesquisas da empresa de cibersegurança Silent Push. Em um período de 20 dias, a análise da Silent Push alegou que a atividade vinculada ao Lighthouse havia visado pessoas em pelo menos 121 países e que 200.000 sites fraudulentos podem ser vinculados de volta à rede. É provável que o número de mensagens fraudulentas que os cibercriminosos estão enviando a cada dia seja ‘significativamente maior’ do que 100.000, afirma a pesquisa. Citando pesquisas do CSIS Security Group, os processos legais do Google afirmam que a rede Lighthouse pode ter roubado entre ‘12,7 milhões e 115 milhões’ de detalhes de cartões de crédito ou bancários dos EUA.
A ação judicial do Google contra duas dúzias de indivíduos que ele afirma ter vinculado à operação Lighthouse alega como a rede mais ampla é composta por vários tipos de cibercriminosos: corretores de dados, que fornecem listas de pessoas para serem alvos de fraudes; spammers, que fornecem a tecnologia necessária para enviar mensagens em massa; um grupo de roubo de indivíduos usando detalhes de contas roubadas para acessar as contas bancárias das vítimas; e administradores que organizam os grupos. A ação judicial afirma que os 25 indivíduos que estão sendo visados todos ‘participaram da gestão ou operação’ do esquema Lighthouse.
O Lighthouse ‘oferece’ mais de 600 modelos de phishing que os golpistas podem usar para tentar roubar as informações pessoais das pessoas, afirma o processo legal do Google. Esses modelos se passam por mais de 400 entidades ou organizações, diz a empresa em sua ação judicial. ‘Os usuários do Lighthouse podem filtrar e pesquisar modelos por região geográfica, país, site oficial e tempo de atualização’, afirma o documento do tribunal. Cerca de 200 desses modelos imitam organizações nos Estados Unidos, como o Serviço Postal dos EUA, o site do governo da cidade de Nova York, o site do E-ZPass de Nova York, vários sites departamentais de transporte em nível estadual e mais. No total, 116 modelos de phishing usam a marca do Google ou a de seus produtos Gmail, YouTube ou Google Play, diz a ação judicial.
A DeLaine Prado, do Google, diz ao WIRED que a empresa tem investido tempo e recursos significativos tentando reprimir o comportamento dos golpistas. A ação judicial — embora contra indivíduos que o Google acredita estarem na China e provavelmente fora do alcance dos procedimentos — visa dar à empresa e a outras empresas a capacidade de desmantelar a operação Lighthouse de forma mais ampla. A empresa argumenta que aqueles envolvidos violaram múltiplos estatutos legais e está pedindo ao tribunal que emita uma ordem de restrição temporária e injunções permanentes contra os indivíduos.
‘Entrar com um processo nos EUA na verdade nos permite ter um impacto dissuasor fora das fronteiras dos EUA’, diz DeLaine Prado. Decisões a favor da empresa também permitiriam que ela ‘fosse a outras plataformas que estão hospedando vetores ou aspectos’ da rede Lighthouse e pedisse que as retirassem, diz ela. ‘Isso permite que outros também façam o mesmo. Essa ordem judicial pode ser usada para o bem para ajudar a desmantelar a infraestrutura real da operação’, acrescenta. A empresa também diz que agora está apoiando múltiplos projetos bipartidários no Congresso dos EUA, incluindo aqueles contra fraudes, chamadas automáticas e compostos de fraudes.
Embora a ação legal possa potencialmente ajudar a desmantelar o que são alegadamente algumas operações de grupos de smishing chineses, é possível que os grupos se adaptem. Nos últimos anos, o software Lighthouse foi atualizado várias vezes, com novas capacidades sendo adicionadas a ele e adições frequentes de novos modelos de phishing, afirmam os especialistas.
‘Os atores de smishing que falam chinês e o ecossistema de fraude em geral estão continuamente evoluindo e crescendo, e eles têm sido incrivelmente inovadores a cada passo’, diz Ford Merrill, um pesquisador de segurança que rastreia as operações na SecAlliance, que é parte do CSIS Security Group. Merrill aponta que, nos últimos anos, os grupos desenvolveram suas ferramentas para poder adicionar detalhes de cartões roubados a carteiras digitais em iPhones e telefones Android, e também usam uma ampla gama de maneiras de enviar mensagens fraudulentas, desde braços de telefone até ‘spammers’ de SMS que podem ser carregados em mochilas.
‘Eles têm ferramentas de phishing modulares em tempo real incrivelmente capazes que permitem tantas possibilidades para defraudar suas vítimas’, diz Merrill. ‘Isso tem sido e continua a ser um sério problema global que continuamos monitorando ativamente à medida que evolui.’