Cibercriminosos Alvo de Compradores da Black Friday com Ataque de Phishing
O Scrooge parece estar trabalhando duro antes que esta temporada de festas comece oficialmente. Uma semana antes do início oficial da Black Friday, aproveitar essas ofertas se tornou perigoso. Cibercriminosos lançaram uma campanha de phishing com sites falsos, projetados para roubar as informações dos compradores da Black Friday.
Campanha de Phishing da Black Friday
Começando já no início de outubro, analistas da EclecticIQ começaram a notar uma campanha de phishing. Ela parece estar direcionada aos compradores da Black Friday nos Estados Unidos e na Europa. Os mesmos analistas acreditam que cibercriminosos chineses, apelidados de SilkSpecter, estão por trás disso, buscando lucrar.
SilkSpecter está usando produtos falsos e com desconto neste golpe de phishing para atrair compradores da Black Friday e convencê-los a fornecer seus dados de portador de cartão (CHD), Dados de Autenticação Sensíveis (SAD) e Informações Pessoais Identificáveis (PII).
Quando os compradores inserem suas informações, os atacantes roubam o CHD através do processo de pagamento Stripe. O CHD é enviado a um servidor controlado pelo SilkSpecter. O Google Tradutor é usado para tornar a linguagem nos sites mais credível, ajustando-a para as localizações de IP das vítimas.
Acontece que esta não é a primeira entrada do SilkSpecter no espaço de sites de e-commerce falsos. Eles montaram campanhas de phishing semelhantes. Todas elas foram ligadas a um SaaS chinês que analistas acreditam permitir que criem rapidamente esses sites. A maioria dos sites usa domínios com .top, .hip, .store e .vip.
Bom saber: você também precisa ficar atento a um texto de “Seu pacote não pode ser entregue”.
Descoberta do Padrão de Phishing da Black Friday
Um padrão foi notado pelos analistas através dos domínios falsos de phishing da Black Friday, e foi decidido que a maioria deles poderia ser ligada ao SilkSpecter. O cibercrime em si é uma ameaça maior do que você pode imaginar.
Cada página incluía o ícone “trusttollsvg” que a fazia parecer um site normal e confiável. Além disso, todas essas páginas tinham um endpoint “homeapi/collect”. Isso notificaria os cibercriminosos quando uma URL fosse clicada ou aberta por uma vítima, que foi atraída para lá por um desconto promissor da Black Friday.
Vários rastreadores de sites foram acionados assim que alguém aterrissou em uma página de phishing em busca de uma oferta da Black Friday. Os rastreadores monitoraram a eficácia da campanha de phishing enquanto coletavam PII, CHD e dados SAD de compradores desavisados usando o Stripe. Entre as informações coletadas estavam endereços IP, geolocalização, tipo de navegador e sistema operacional.
Além disso, as vítimas deste ataque de phishing foram solicitadas a fornecer seus números de telefone. Supõe-se que essas informações também seriam exploradas. Os números de telefone poderiam então ser usados para phishing por voz ou SMS, pressionando as vítimas a revelar outros detalhes, como códigos de 2FA, detalhes de identificação e possivelmente credenciais de contas.
Acredita-se que o SilkSpecter tenha compartilhado os URLs de phishing através de contas de mídia social e envenenamento de SEO, atraindo vítimas com descontos da Black Friday.
Felizmente, você não precisa ser vítima do ataque de phishing da Black Friday. Não acesse sites desconhecidos, não importa quão promissoras as ofertas pareçam. Fique com a Amazon e outros sites bem conhecidos. E, como sempre, você pode ficar atento ao Make Tech Easier, pois estaremos publicando algumas das melhores ofertas de tecnologia da Black Friday.
Crédito da imagem: Todas as imagens por Canva e Image Playground.
