- Ataques de phishing agora ignoram a autenticação multifatorial usando táticas de provisionamento de carteira digital em tempo real
- Os códigos únicos não são mais suficientes para interromper os fraudadores com kits de phishing otimizado para dispositivos móveis
- Milhões de vítimas foram direcionadas usando alertas cotidianos, como pedágio, pacotes e avisos de conta
Uma onda de campanhas avançadas de phishing, rastreada aos sindicatos cibercriminais de língua chinesa, pode ter comprometido até 115 milhões de cartões de pagamento nos EUA em pouco mais de um ano, alertaram especialistas.
Pesquisadores da Secalliance revelaram que essas operações representam uma convergência crescente de engenharia social, desvios de autenticação em tempo real e infraestrutura de phishing projetada para escalar.
Os investigadores identificaram um número referido como “Lao Wang” como o criador original de uma plataforma agora amplamente adotada que facilita a colheita de credenciais baseada em dispositivos móveis.
Roubo de identidade escalado através do compromisso móvel
No centro das campanhas estão os kits de phishing distribuídos por um canal de telegrama conhecido como “dy-tongbu”, que rapidamente ganhou força entre os atacantes.
Esses kits são projetados para evitar a detecção por pesquisadores e plataformas, usando geofencing, blocos IP e direcionamento de dispositivos móveis.
Esse nível de controle técnico permite que as páginas de phishing atinjam alvos pretendidos, excluindo ativamente o tráfego que pode sinalizar a operação.
Os ataques de phishing normalmente começam com mensagens SMS, iMessage ou RCS usando cenários diários, como alertas de pagamento de pedágio ou atualizações de entrega de pacotes, para levar as vítimas a páginas de verificação falsas.
Lá, os usuários são solicitados a inserir informações pessoais sensíveis, seguidas pelos dados do cartão de pagamento.
Os sites geralmente são otimizados para o celular para se alinhar com os dispositivos que receberão códigos de senha única (OTP), permitindo o desvio imediato de autenticação de vários fatores.
Essas credenciais são provisionadas em carteiras digitais em dispositivos controlados pelos invasores, permitindo que eles ignorem as etapas adicionais de verificação normalmente necessárias para transações de cartões não presentes.
Os pesquisadores descreveram essa mudança para o abuso de carteira digital como uma mudança “fundamental” na metodologia de fraude de cartões.
Permite o uso não autorizado em terminais físicos, lojas on -line e até caixas eletrônicos sem exigir o cartão físico.
Os pesquisadores observaram redes criminosas que agora vão além das campanhas de smishing.
Há evidências crescentes de sites falsos de comércio eletrônico e até plataformas falsas de corretagem sendo usadas para coletar credenciais de usuários inocentes envolvidos em transações reais.
A operação cresceu para incluir camadas de monetização, incluindo dispositivos pré-carregados, contas de comerciantes falsas e colocações de anúncios pagas em plataformas como Google e Meta.
Como emissores de cartões e bancos procuram maneiras de se defender contra essas ameaças em evolução, padrão As suítes de segurança, a proteção do firewall e os filtros SMS podem oferecer ajuda limitada, dada a segmentação de precisão envolvida.
Dada a natureza secreta dessas campanhas de smishing, não existe um único banco de dados público listando os cartões afetados. No entanto, os indivíduos podem tomar as seguintes medidas para avaliar a possível exposição:
- Revise transações recentes
- Procure atividade inesperada da carteira digital
- Monitore para verificação ou solicitações de OTP que você não iniciou
- Verifique se seus dados aparecem em serviços de notificação de violação
- Ativar alertas de transação
Infelizmente, milhões de usuários podem permanecer sem saber que seus dados foram explorados para roubo de identidade em larga escala e fraude financeira, facilitada não através de violações tradicionais.
Via InfoSecurity
Fique conectado