Em uma análise de rotina, a equipe de Threat Intelligence da Tempest encontrou uma plataforma que comercializa artefatos para ataques de phishing e, após investigação, desvendou o funcionamento de toda uma operação de fraude.

Conhecida como Phishing-as-a-Service (PHaaS), esta é uma atividade que se baseia em plataformas que comercializam lojas online falsas (fake stores) prontas para serem utilizadas em ataques. As fake stores são websites de design semelhante, e com URLs geralmente parecidas, aos de grandes varejistas do comércio eletrônico. Os criadores desses artefatos elaboram telas variadas copiando lojas famosas e seus produtos, contudo, a plataforma por trás destas cópias é a mesma.

Isso quer dizer que a infraestrutura encontrada pelos pesquisadores administrava diversas fake stores com o objetivo de coletar dados pessoais das vítimas e lucrar com o pagamento de boletos. Fraudes relacionadas ao uso de fake stores não são novidade no Brasil, mas o que chamou a atenção dos pesquisadores neste caso foi o fato da plataforma oferecer recursos para a comunicação dos fraudadores com as vítimas, mecanismo este utilizado até que o boleto fosse pago.

Ataque de Dois Estágios

Neste tipo de operação, assim que a plataforma é ativada, os fraudadores divulgam as fake stores em diversos meios de comunicação (e-mails de Phishing, anúncios patrocinados, posts em redes sociais, etc.) com o objetivo de persuadir a vítima a comprar um produto — normalmente oferecido com valor muito abaixo do praticado. O lucro é obtido quando a vítima realiza o pagamento do produto, que nunca será entregue, via boleto.

Uma das fake stores identificadas é semelhante ao e-commerce de um conhecido varejista brasileiro; nela, um smartphone que custa em média R$ 1.200,00 é oferecido por R$ 499,00.

Comparação entre o site da loja verdadeira e da fake store

A operação identificada pela Tempest possui comportamento similar ao de uma fake store tradicional; entretanto, nesse caso os fraudadores adicionam outro estágio ao golpe, com uma “central de atendimento” enviando mensagens à vítima até que o boleto seja pago. A comunicação entre a central e a vítima é feita via WhatsApp e envolve mensagens como “compra realizada com sucesso” e “pedido separado”, além de alertas, caso a vítima não pague o boleto.

Simulando uma compra, pôde-se observar que a tela de cadastro do comprador exige que a vítima forneça um número de telefone associado a uma conta do Whatsapp, que será posteriormente usada como canal de comunicação entre a vítima e a central de atendimento falsa.

Tela de cadastro da fake store

Durante o processo de pagamento, o site permite que o usuário opte por pagar com cartão de crédito e até oferece os campos para que a vítima digite os dados do cartão, no entanto, nesta campanha, os fraudadores estão interessados em pagamentos via boleto, por isso, os dados de cartão eventualmente digitados são vendidos ou usados em outras fraudes.

Pagamentos via boleto são priorizados porque conseguem rentabilizar mais rápido o golpe, utilizando para isso contas fraudulentas em nome de empresas.

Para incentivar a vítima a usar o boleto como forma de pagamento, os fraudadores também usam o WhatsApp, como mostra a imagem abaixo.

Reprodução do texto original

Ao término da “compra”, a vítima é redirecionada para uma tela que informa o número do pedido e o código para o pagamento do boleto. A confirmação da compra e as informações de pagamento também são enviadas pelo Whatsapp.

Mensagem original

Além da mensagem de confirmação, os fraudadores enviam alertas informando a vítima que o pagamento não foi recebido.

Reprodução do texto original

Para concluir o atendimento, após o pagamento do boleto, os fraudadores enviam uma mensagem de confirmação.

Reprodução do texto original

O painel de gerenciamento da PHaaS

Foi possível obter acesso à interface de gerenciamento das fake stores que operavam sob o domínio “http://aquisempretemoferta[.]com”. Diante disto, foi possível visualizar a interface administrativa da PHaaS que oferecia em sua tela inicial diversas opções como: “Gerenciar Boletos”, “Produtos”, “Tools”, entre outras.

Nesta tela também ficam os mecanismos usados na interação com a vítima via Whatsapp.

Tela Inicial

No menu “boletos” é possível cadastrar boletos para cada produto.

Tela “Boletos”

No menu “Infos/Boletos” é possível visualizar todas as vítimas que submeteram seus dados à fake store. É por meio dessa tela que que o fraudador envia as mensagens para as vítimas.

Tela “Info/Boletos”

Serviços de apoio ao fraudador

No momento da pesquisa havia um serviço de apoio ao fraudador, operando no domínio “http://protecaodeclientes[.]com” o qual validava os “clientes” da plataforma de fraude por meio de um número de série que os fraudadores recebiam ao assinar o serviço. Ao ser validado, o fraudador obtinha acesso a diversas ferramentas que estavam disponíveis nos seguintes endereços:

http://protecaodeclientes[.]com/ferramentas/Geradores[.]rar

http://protecaodeclientes[.]com/ferramentas/MudaData[.]rar

http://protecaodeclientes[.]com/ferramentas/SpamMail[.]rar

http://protecaodeclientes[.]com/ferramentas/Mac[.]rar

Além dessas facilidades, esse serviço também disponibilizava as interfaces web das fake stores compradas pelo criminoso. Em um de seus diretórios (download), foi possível identificar uma das lojas em um arquivo zip cujo nome era o racional do hash MD5 do nome da loja. Seguindo essa lógica, os pesquisadores encontraram mais arquivos ligados a renomados e-commerces brasileiros

O serviço também fornecia dados de laranjas para serem utilizados em fraudes. Essas informações estavam disponíveis no endereço: http://protecaodeclientes[.]com/conta.

Proteção contra PHaaS

O uso das mídias sociais como um canal de atendimento ao cliente é uma realidade já sedimentada nos processos de empresas dos mais variados tamanhos. Esse meio atende a uma demanda cada vez maior por rapidez na comunicação e na resolução de problemas entre consumidores e empresas. Entretanto, onde há meios de comunicação — sobretudo aqueles em que há dificuldade para confirmar a identidade das partes — há oportunidades para fraudadores.

Aos consumidores é sempre importante desconfiar de preços muito abaixo do mercado, criminosos abusam das pessoas que se empolgam com ofertas fora do comum. Vale a pena tentar se comunicar com a loja por outros canais para checar se a oferta realmente é válida. Também é sempre importante checar cuidadosamente o endereço do site em que se realiza qualquer transação financeira ou para o qual se está enviando informações sensíveis. Fraudadores comumente vinculam as cópias das páginas originais a endereços ligeiramente parecidos aos dos sites originais na tentativa de enganar vítimas desatentas.

Além disso, vale a pena desconfiar de antemão dos serviços de atendimento por WhatsApp, ou qualquer outro serviço de mensagem, caso o site não divulgue que possui esse tipo de serviço.

Aos varejistas é importante avaliar a contratação de serviços de inteligência, os quais analisam ameaças nos mais variados canais eletrônicos e podem atuar como um diferencial na prevenção a fraudes. Outra medida relevante é o treinamento de funcionários contra ataques de phishing, pois eles se tornam propagadores de boas práticas contra esse tipo de ataque entre seus círculos sociais e isso também se reverte em uma medida contra a fraude.

IoCs

http://aquisempretemoferta[.]com

http://www[.]protecaodeclientes[.]com

http://olha[.ai/nc9rnC

http://olha[.]ai/UMw7ME