Uma nova e perigosa plataforma de phishing conhecida como Phoenix está se espalhando silenciosamente pelo globo, direcionando pessoas através de mensagens SMS falsas projetadas para parecerem originadas de bancos, provedores de telecomunicações e empresas de entrega confiáveis. Esta plataforma opera no modelo Phishing-as-a-Service (PhaaS), facilitando a execução de campanhas de smishing em larga escala por criminosos com habilidades técnicas limitadas.
Descoberta e Escopo da Ameaça
Pesquisadores da Group-IB descobriram o Sistema Phoenix ao analisar operações globais de smishing que abrangem as regiões APAC, LATAM, Europa e Oriente Médio. A investigação revelou que, apesar de mirar diferentes indústrias e grupos de vítimas, ambos os tipos de campanha compartilham a mesma infraestrutura de back-end, confirmando que não são operações separadas, mas parte de um único ecossistema de phishing organizado.
Desde janeiro de 2024, a plataforma está ligada a dois tipos principais de campanha: Reward Points Phishing, que finge ser bancos e operadoras móveis, e Failed Parcel Delivery Phishing, que finge ser empresas de logística e transporte. Até o momento, as campanhas impulsionadas pelo Phoenix miraram mais de 70 organizações mundialmente, com mais de 1.500 domínios de phishing identificados desde o início de 2024.
Vetor e Exploração
O que torna o Phoenix particularmente alarmante é sua combinação de velocidade, flexibilidade e capacidades de evasão. Os operadores podem configurar campanhas para países específicos usando controles de geofencing e filtragem de IP, garantindo que apenas vítimas da região pretendida vejam o conteúdo de phishing. A plataforma cobra cerca de 2.000 dólares pelo acesso anual e é distribuída através de canais dedicados no Telegram.
As mensagens de smishing são entregues usando uma combinação de números de celular comuns e injeção de Estação Transmissora Base (BTS). A entrega baseada em BTS envolve equipamentos ilegais que transmitem sinais mais fortes do que torres legítimas, forçando dispositivos próximos a se conectarem e receberem mensagens SMS injetadas diretamente. Como essas mensagens contornam a filtragem em nível de operadora, elas parecem chegar de nomes de remetentes legítimos e códigos curtos de marca, tornando-as muito mais difíceis de detectar tanto para usuários quanto para operadoras de telecomunicações.
Impacto e Alcance
Quando uma vítima clica no link dentro do SMS, a página de phishing verifica primeiro o endereço IP e o tipo de dispositivo do visitante. Apenas usuários do país mirado e em dispositivos aprovados podem ver a página fraudulenta. Todos os outros são redirecionados silenciosamente para uma página de erro ou redirecionamento padrão do sistema, escondendo efetivamente a infraestrutura de pesquisadores de segurança.
As páginas de phishing são elaboradas para imitar de perto sites oficiais de marcas conhecidas, com logotipos, layouts e palavras correspondentes. As vítimas são primeiro solicitadas a inserir seu número de telefone para verificar o status de recompensa ou atualizar detalhes de entrega. Após o envio, elas passam por uma série de páginas que coletam detalhes completos de cartão de crédito, endereços de envio e informações pessoalmente identificáveis.
Medidas de Mitigação Recomendadas
As organizações podem reduzir sua exposição monitorando continuamente o abuso de marca ligado a SMS e rastreando domínios recém-registrados. Equipes de telecomunicações devem habilitar fluxos de trabalho de remoção rápida e coordenar com operadoras quando a injeção baseada em BTS for suspeita. Usuários individuais devem evitar clicar em links dentro de mensagens SMS não solicitadas, verificar quaisquer alertas através de aplicativos ou sites oficiais e nunca inserir detalhes de pagamento ou pessoais através de links recebidos por texto.
Perguntas Frequentes
Como o PhaaS Phoenix difere de outros kits? Ele oferece um painel administrativo centralizado com controle total sobre cada etapa da campanha, incluindo filtragem de tráfego em tempo real.
Qual o custo para criminosos? A plataforma cobra cerca de 2.000 dólares anuais pelo acesso, tornando-a acessível para grupos criminosos menores.
Como as operadoras podem ajudar? Monitoramento de injeção de SMS e colaboração rápida para remoção de domínios maliciosos são essenciais para conter a propagação.