Evolução das campanhas de phishing-as-a-service
Uma nova onda de operações de phishing está alterando silenciosamente a forma como criminosos cibernéticos roubam dados financeiros de pessoas comuns. Em vez de depender de mensagens SMS tradicionais, que os operadoras podem facilmente sinalizar e bloquear, os atores de ameaças estão agora utilizando canais de mensagens criptografados, como Rich Communication Services (RCS) e Apple iMessage, para entregar links maliciosos diretamente nos telefones das vítimas. Essa mudança marca um passo significativo para frente na sofisticação dos ataques de phishing. Os cibercriminosos não estão mais apenas atrás de nomes de usuário e senhas.
Seu objetivo evoluiu para ganhar controle total e em tempo real sobre as contas financeiras das vítimas, incluindo a capacidade de drenar fundos, fazer pagamentos sem contato e realizar saques em caixas eletrônicos, tudo a partir de um dispositivo que a vítima nunca toca. O Google Threat Intelligence Group (GTIG) disse em um relatório compartilhado com a Cyber Security News que analisou uma dúzia de plataformas ativas de phishing-as-a-service (PhaaS) operando dentro do submundo de língua chinesa.
Os pesquisadores encontraram essas plataformas como serviços maduros e bem organizados que estão reduzindo a barreira de entrada para cibercriminosos e revelando mudanças mais amplas na forma como o roubo de credenciais é realizado em escala. Enquanto atores de língua russa historicamente lideraram o espaço PhaaS, um ecossistema distinto e de rápido crescimento de língua chinesa emergiu para rivalizar com eles. Esses serviços não apenas espelham o que seus homólogos russos construíram. Eles operam com sua própria estrutura, seus próprios alvos e sua própria cultura, incluindo atores de ameaças que postam abertamente sobre seus ganhos criminosos no Telegram.
Vetor RCS e iMessage como alternativa ao SMS tradicional
O phishing SMS tradicional, também conhecido como smishing, está sendo cada vez mais bloqueado por filtros de nível de operadora que escaneiam mensagens em busca de links suspeitos. Operadores de PhaaS de língua chinesa reconheceram essa limitação e moveram sua infraestrutura de entrega para RCS e iMessage em vez disso. Como ambos os protocolos usam criptografia de ponta a ponta, torna-se muito mais difícil para ferramentas de nível de rede inspecionar ou bloquear o conteúdo malicioso sendo enviado.
Essas plataformas de mensagens também parecem e se sentem muito mais polidas do que uma mensagem de texto básica. Elas suportam recibos de leitura, indicadores de digitação, imagens de alta resolução e chats em grupo. Quando uma mensagem de phishing chega por um desses canais, ela parece convincentemente real, o que torna o usuário médio muito mais propenso a interagir com ela. A combinação de evasão técnica e legitimidade visual torna essas campanhas particularmente perigosas.
Controle financeiro tokenizado e bypass de MFA
O que separa essa geração de operações de phishing das anteriores é o que acontece após as credenciais serem roubadas. Essas plataformas focam fortemente no provisionamento de carteiras digitais, um processo que permite aos atacantes carregar o cartão de pagamento de uma vítima em um dispositivo controlado pelo atacante. Uma vez que o cartão é tokenizado dentro de uma carteira digital, ele pode ser usado para compras de alto valor, transações de toque e pagamento e saques em dinheiro sem nunca precisar do cartão físico.
Um exemplo proeminente destacado na pesquisa é uma plataforma chamada YY Lai Yu, que está ativa desde agosto de 2024 e oferece mais de 400 modelos de phishing direcionando usuários em 119 países. Uma vez que uma vítima clica em um link e insere suas credenciais, os dados aparecem instantaneamente no painel de administração ao vivo do atacante. O atacante então aciona uma solicitação de OTP em seu próprio dispositivo no mesmo momento em que a vítima é solicitada a fornecer um. A vítima digita o código e o atacante o captura em segundos, burlando a autenticação multifator inteiramente.
Recomendações para defesa e mitigação
Defensores são aconselhados a adotar autenticação FIDO2/WebAuthn como uma contramedida contra a interceptação de OTP em tempo real. Os bancos também devem parear autenticação mais forte com verificação baseada em risco e impressão digital de dispositivo durante o processo de provisionamento de carteira digital para tornar as credenciais roubadas muito mais difíceis de serem armadas. A análise técnica detalhada revela que a segurança baseada apenas em SMS não é mais suficiente para proteger transações financeiras críticas em um cenário onde a criptografia de mensagens é usada como vetor de ataque.
Organizações devem revisar suas políticas de autenticação para priorizar métodos que não dependam de SMS para códigos de verificação. A implementação de autenticação sem senha, baseada em hardware ou biometria, oferece uma camada adicional de segurança que é muito mais difícil de ser interceptada por serviços de phishing automatizados. Além disso, a conscientização dos usuários sobre a aparência de mensagens legítimas versus maliciosas em aplicativos de mensagem deve ser reforçada, pois a interface do usuário moderna pode enganar até usuários experientes.