Os cibercriminosos desenvolveram uma nova e elaborada plataforma de phishing que está sendo usada atualmente para roubar credenciais de usuários de iPhone e Android em mais de 100 países.
Conforme relatado por BipandoComputadora nova plataforma foi apelidada de Darcula por seus criadores e utiliza 20.000 domínios falsos para personificar marcas populares com mais de 200 modelos diferentes para escolher ao lançar ataques de phishing contra usuários direcionados.
Embora tenhamos visto detalhes elaborados golpes de phishing antes, o que diferencia este é que, em vez de usar mensagens de texto SMS comuns para enviar mensagens de phishing, ele usa o iMessage da Apple e o protocolo RCS do Google para atingir os usuários.
Esteja você usando um dos melhores iPhones ou um dos melhores telefones Androidaqui está tudo o que você precisa saber sobre esse novo serviço de phishing, junto com algumas etapas que você pode seguir para evitar ser vítima de um ataque de phishing e potencialmente ter suas contas online invadidas por hackers.
Phishing como serviço
Como com malware como serviço ofertas, Darcula é distribuído on-line fóruns de hackers por um preço. Depois de pagar as taxas necessárias, os hackers podem usar a plataforma para lançar seus próprios ataques contra usuários desavisados.
Embora Darcula tenha sido descoberto pela primeira vez no verão passado pelo pesquisador de segurança Oshri Kalfon, a empresa de detecção e interrupção de crimes cibernéticos Netcraft revelou em um novo postagem no blog que a plataforma de phishing em língua chinesa se tornou recentemente ainda mais popular entre os cibercriminosos.
Além de utilizar iMessage e RCS em seus ataques, Darcula também emprega outras tecnologias modernas como JavaScript, React, Docker e Harbor. Isso permite atualizações contínuas da plataforma que incluem novos recursos e modelos. Além disso, os hackers que usam este kit de phishing não precisam reinstalá-lo quando uma atualização estiver disponível.
Além de facilitar a criação de mensagens de phishing por hackers, o Darcula inclui páginas de destino falsas para empresas de transporte como USPS, DHL e outras marcas populares. Essas páginas falsas parecem quase idênticas às suas contrapartes legítimas e também não possuem nenhum erros ortográficos ou gramaticais, que geralmente é uma maneira muito fácil de detectar uma página de phishing.
Depois que um invasor seleciona uma marca que deseja representar e executa um script de configuração, o Darcula instala um site de phishing correspondente, bem como um painel de gerenciamento diretamente em um ambiente Docker. De acordo com a Netcraft, a plataforma de phishing normalmente usa os domínios de nível superior “.top” e “.com” para hospedar esses sites falsos.
Indo além do SMS
Se você está se perguntando por que a plataforma de phishing Darcula usa iMessage e RCS em vez de SMS, a razão é simples: isso adiciona mais legitimidade às suas mensagens de phishing.
As vítimas potenciais são mais propensas a acreditar que uma mensagem é legítima se vier através do iMessage ou for entregue usando RCS. Ao mesmo tempo, como ambos os padrões de mensagens suportam criptografia de ponta a ponta, assim como o melhores aplicativos de mensagens criptografadasmensagens de phishing enviadas por meio deles não podem ser interceptadas e bloqueadas com base em seu conteúdo.
No entanto, existem algumas salvaguardas em vigor. Por exemplo, a Apple banirá contas que enviam muitas mensagens para vários destinatários. Ao mesmo tempo, o Google adicionou recentemente uma restrição que impede que telefones Android com root enviem ou recebam mensagens RCS. Ainda assim, os hackers que usam a plataforma tentam contornar essas restrições criando vários IDs Apple ou usando farms de dispositivos para enviar um pequeno número de mensagens de cada dispositivo.
No entanto, o iMessage tem ainda outra restrição. O serviço de mensagens da Apple não permitirá que usuários do iPhone cliquem em um link dentro de uma mensagem se não responderem primeiro. É por isso que essas mensagens de phishing pedem aos destinatários que respondam com “Y” ou “1” e depois reabram a mensagem para acessar o link que ela contém.
Como se manter protegido contra phishing
Tal como acontece com muitos outros ataques cibernéticos, os ataques de phishing muitas vezes tentam introduzir um senso de urgência em suas vítimas para levá-las a agir.
Nos exemplos compartilhados pela Netcraft, muitas das mensagens de phishing eram sobre pacotes não entregues. Se você faz compras online com frequência – por exemplo, durante o Prime Day, Black Friday ou outros grandes dias de compras – é mais provável que você veja uma dessas mensagens de phishing e tome medidas, pois é fácil acreditar que pode haver algo errado com um de seus pedidos .
Por isso, você sempre precisa ter cuidado ao receber qualquer tipo de mensagem sobre um pedido online ou entrega. Você deseja evitar aqueles que pedem para você clicar em um link, especialmente se você não conhece o destinatário. Mesmo assim, é bastante fácil se passar por uma empresa copiando seu logotipo e a linguagem que ela usa em suas mensagens. É por isso que você deve sempre parar e pensar um pouco antes de responder a uma mensagem suspeita ou clicar em qualquer link dentro dela.
Se a mensagem disser que um pacote USPS não pode ser entregue, verifique se algo que você pediu foi enviado por essa transportadora específica. Você também deseja verificar a página da loja para obter informações de rastreamento atualizadas. Normalmente, USPS, FedEX, UPS e outras empresas de entrega não enviam mensagens como esta. Outra coisa a procurar são domínios de nível superior estranhos. A maioria das empresas nos EUA usa apenas “.com”, portanto, se você vir o endereço da web do USPS, mas terminar em “.top”, saberá imediatamente que está lidando com uma mensagem de phishing.
O phishing continua a ser uma tática de ataque muito bem-sucedida tanto para cibercriminosos quanto para golpistas, portanto, provavelmente não os veremos abandoná-la tão cedo. Isso significa que cabe a você verificar suas mensagens com cuidado e ficar atento a qualquer coisa suspeita. Porém, em caso de dúvida, não clique nem responda a esses tipos de mensagens, mesmo que elas possam ser legítimas.