Uma campanha global usa o Telegram para roubar tokens de certificação 2FA e obter acesso a plataformas como PayPal, Apple Pay, Google Pay, entre outros
Uma nova pesquisa descobriu que cibercriminosos estão usando bots do Telegram para roubar tokens de senha de uso único (OTPs) e aplicar golpes em usuários por meio de bancos e sistemas de pagamento online, incluindo soluções como PayPal, Apple Pay e Google Pay.
A campanha está ativa desde junho, disseram os pesquisadores.
“A autenticação de dois fatores é uma das formas mais fáceis para as pessoas protegerem qualquer conta online”, observaram, no relatório divulgado. “Então, é natural que os criminosos estejam tentando burlar essa proteção.”
Para isso, os criminosos estão usando bots e canais do Telegram, bem como uma série de táticas com o fim de obter informações sobre as contas hackeadas, o que inclui ligações para as vítimas e falsificação de identidade de bancos e serviços legítimos.
Por meio da engenharia social, eles também enganam os usuários para que lhes forneçam uma OTP ou outro código de verificação por meio de um dispositivo móvel, que os criminosos usam para fraudar contas financeiras, explica o relatório.
“A facilidade com que os invasores podem usar esses bots não deve ser subestimada. Embora algum conhecimento de programação seja necessário para criar os bots, um usuário de bot só precisa pagar para acessar o bot, obter um número de telefone, clicar em alguns botões e pronto: tem um alvo em mãos.”
Não é à toa que os bots do Telegram se tornaram uma ferramenta popular para os cibercriminosos, que exploram a ferramenta de várias maneiras para aplicar golpes em seus usuários.
Uma campanha semelhante, por exemplo, foi descoberta em janeiro; apelidada de Classiscam, os bots eram vendidos como um serviço que possibilitava aos invasores roubar dinheiro e dados de pagamento de vítimas europeias. Outros agentes de ameaças também foram encontrados usando bots do Telegram como software de comando e controle para spyware.
Os pesquisadores observaram e analisaram a atividade da campanha em relação a três bots – denominados SMSRanger, BloodOTPbot e SMS Buster.
Bot de uso simplificado como serviço
Os pesquisadores caracterizaram o SMSRanger como “fácil de usar”, de acordo com o relatório. Os atores pagam para acessar o bot e podem usá-lo digitando comandos, de maneira semelhante à forma como os bots são usados na amplamente utilizada plataforma de colaboração Slack, eles explicaram.
“Um simples comando ‘/’ permite que um usuário habilite vários ‘modos’ – scripts direcionados a vários serviços – que podem ter como alvo bancos específicos, bem como PayPal, Apple Pay, Google Pay, ou uma operadora sem fio”, escreveram os pesquisadores.
O SMSRanger, então, envia a uma vítima em potencial uma mensagem de texto solicitando seu número de telefone. Depois que o número de telefone do alvo é inserido em uma mensagem de bate-papo, o bot assume a partir daí, “em última análise, concedendo [aos cibercriminosos] acesso a qualquer conta que tenha sido afetada”, detalha o relatório.
Cerca de 80% dos usuários visados pelo SMSRanger acabam fornecendo informações completas aos cibercriminosos, permitindo-lhes fraudar essas vítimas.
Personificando empresas confiáveis
O BloodTPbot também explora a capacidade de enviar aos usuários um código OTP fraudulento via SMS, observaram os pesquisadores. No entanto, esse bot exige que um invasor falsifique o número de telefone da vítima e se faça passar por um banco ou representante da empresa.
O bot tenta ligar para as vítimas e usa técnicas de engenharia social para obter um código de verificação. O invasor receberá uma notificação do bot durante a chamada, especificando quando solicitar o OTP durante o processo de autenticação, explicaram os pesquisadores. O bot, então, envia o código para o operador assim que a vítima recebe o OTP e o insere no teclado do telefone.
O bot sai por uma taxa mensal de 300 dólares; os usuários também podem pagar entre 20 a 100 dólares a mais para acessar painéis de phishing que têm como alvo contas em redes de mídia social, como Facebook, Instagram e Snapchat; serviços financeiros, como PayPal e Venmo; o aplicativo de investimentos Robinhood; e o mercado de criptomoedas Coinbase, disseram os pesquisadores.
Disfarçando-se de bancos
Por fim, o terceiro bot analisado pelos pesquisadores, SMS Buster, requer um pouco mais de esforço do que os outros para que um criminoso obtenha acesso às informações da conta de um usuário, mostra o relatório.
O bot oferece opções para que um invasor possa disfarçar uma chamada feita de qualquer número de telefone para fazer com que pareça um contato legítimo de um banco específico, disseram os pesquisadores. Ao ligar para uma vítima em potencial, o invasor segue um script para tentar enganar o alvo a fornecer informações como um PIN de cartão, número de verificação de cartão de crédito (CVV) ou OTP.
Os pesquisadores observaram, também, cibercriminosos usando SMS Buster contra vítimas canadenses, usando inglês e francês para atingir os alvos. Na época em que a postagem foi escrita, os pesquisadores haviam testemunhado invasores acessando ilegalmente contas em oito bancos canadenses usando o SMS Buster.
“De modo geral, os bots mostram que algumas formas de autenticação de dois fatores podem ter seus próprios riscos de segurança”, concluíram os pesquisadores. “Embora os serviços de OTP baseados em SMS e chamadas telefônicas sejam melhores do que nada, os criminosos encontraram maneiras de contornar essas estratégias de segurança.”
Mantenha seu dispositivos protegidos. Conheça as soluções de segurança da Compugraf e saiba como podemos te ajudar!