This post is also available in: Português
Uma pesquisa recente descobriu que os cibercriminosos estão usando bots do Telegram para roubar tokens de senha de uso único (OTPs) e fraudar pessoas por meio de bancos e sistemas de pagamento online, incluindo PayPal, Apple Pay e Google Pay.
Pesquisadores da Intel 471, que descobriram a campanha, disseram em um relatório publicado na última quarta-feira, que ela está operacional desde junho.
Em um post, os pesquisadores disseram que a autenticação de dois fatores é uma das maneiras mais fáceis para as pessoas protegerem contas online. Por isso, os cibercriminosos estão tentando burlar essa proteção.
Estes indivíduos usam bots, canais do Telegram e uma série de táticas para obter informações sobre as contas, incluindo ligações para as vítimas e falsificação de identidade de bancos e serviços legítimos.
Por meio da engenharia social, as vítimas são induzidas a fornecer seu OTP, ou outro código de verificação por meio de um dispositivo móvel, que os cibercriminosos usam para fraudar as contas.
O relatório diz que a facilidade com que os invasores podem usar esses bots não pode ser subestimada. Embora haja a necessidade de possuir alguma habilidade de programação para sua criação, um usuário de bot só precisa pagar pelo acesso ao bot, obter um número de telefone do alvo e clicar em alguns botões.
Na verdade, os bots do Telegram se tornaram uma ferramenta popular para os cibercriminosos, que os usam de várias maneiras como parte de golpes. Há uma campanha semelhante descoberta em janeiro, apelidada de Classiscam, em que bots eram vendidos como um serviço por cibercriminosos. Outros agentes de ameaças foram encontrados usando bots do Telegram de uma forma bastante única como comando e controle para Spyware.
Nesse caso, os pesquisadores da Intel 471 observaram e analisaram a atividade da campanha em relação a três bots – denominados SMSRanger, BloodOTPbot e SMS Buster.
Bot como um serviço fácil de usar
Os pesquisadores caracterizaram o SMSRanger como “fácil de usar”, de acordo com o post. Os interessados pagam para acessar o bot e, em seguida, podem usá-lo digitando comandos, de maneira semelhante à forma como os bots são usados na plataforma de colaboração de trabalho Slack, bastante conhecida pelos usuários.
Um simples comando permite ao usuário habilitar vários ‘modos’ – scripts direcionados a vários serviços – que podem ter como alvo bancos específicos, bem como PayPal, Apple Pay, Google Pay, ou uma operadora sem fio, segundo os pesquisadores.
SMSRanger envia a uma mensagem de texto para a vítima, solicitando seu número de telefone. Depois que o número da vítima é inserido em uma mensagem de bate-papo, o bot assume a partir daí.
Cerca de 80% dos usuários que são visados pelo SMSRanger acabarão fornecendo suas informações completas e precisas aos cibercriminosos, permitindo-lhes fraudar essas vítimas, acrescentam os pesquisadores.
Personificação de empresas confiáveis
Segundo os pesquisadores, existem outras ameaças semelhantes ao SMSRanger, uma delas é o BloodTPbot, que também utiliza a técnica de envio de código OTP fraudulento via SMS para os usuários. No entanto, esse bot exige que um invasor falsifique o número de telefone da vítima e se faça passar por um banco ou representante da empresa.
O bot faz contato com as vítimas e usa técnicas de engenharia social para obter o código de verificação da pessoa visada. Um invasor receberá uma notificação do bot durante a chamada, especificando quando solicitar o OTP durante o processo de autenticação. O bot então envia uma mensagem de texto com o código para o operador assim que a vítima recebe o OTP e o insere no teclado do dispositivo.
O BloodTPbot custa em torno de $300 por mês. Os usuários também podem pagar entre US$ 20 a US$ 100 a mais para acessar painéis de phishing ao vivo, que visam contas em redes sociais, incluindo Facebook, Instagram e Snapchat. Além disso, visam serviços financeiros como PayPal e Venmo, aplicativos de investimento Robinhood e o mercado de criptomoedas.
Disfarçados de bancos
O terceiro bot observado pelos pesquisadores, o SMS Buster, requer um pouco mais de esforço do que os outros para acessar informações das vítimas.
O bot oferece opções para que um invasor possa disfarçar uma chamada feita de qualquer número de telefone, para fazer com que pareça um contato legitimo de um banco especifico. Ao ligar para uma vítima em potencial, o agente de ameaça segue um script para tentar enganar o alvo e fornecer informações como um PIN de cartão de caixa eletrônico, valor de verificação de cartão de crédito (CVV) ou OTP.
No geral, os bots mostram que algumas formas de autenticação de dois fatores podem ter seus próprios riscos de segurança. Embora os serviços de OTP baseados em SMS e chamadas telefônicas aprimorem os níveis de segurança, os cibercriminosos encontraram maneiras de contorna-las e causar danos às vítimas.
Fonte: ZDNet.
This post is also available in: Português
