Há uma nova campanha de phishing em andamento, roubando cartão de crédito de usuários de Cingapura. A ação está roubando os detalhes de pagamento dos vendedores em sites de classificados.
Os agentes de ameaças também tentam transferir os fundos diretamente para suas contas usando senhas de uso único (OTPs) válidas na plataforma real do banco. Analistas de ameaças do Group-IB, que detectaram essa onda recente em março de 2022, acreditam que ela faz parte de uma operação global chamada “Classicscam”, que eles descobriram em 2020.
Phishing e o roubo de cartão de crédito
Cingapura é alvo da operação criminosa, o que é um mau sinal, indicando que o esquema ainda está crescendo e seu alcance está se expandindo. Classicscam é uma plataforma de “fraude como serviço” totalmente automatizada que visa usuários de sites de classificados que tentam vender ou comprar algo listado nas páginas.
O esquema também visa bancos, exchanges de criptomoedas, empresas de entrega, empresas de mudanças e outros tipos de provedores de serviços, refletindo seu amplo escopo de segmentação. Ele conta com 90 canais do Telegram para promoção e coordenação operacional e, desde 2019, quando foi lançado, estima-se que tenha causado mais de US$ 29 milhões (aprox. 146,5 mi) em danos.
Segundo o Group-IB, a rede criminosa conta atualmente com 38.000 usuários cadastrados que recebem cerca de 75% dos valores roubados, enquanto os administradores da plataforma recebem um corte de 25%.
O Classicscam foi visto anteriormente na Rússia, Europa e Estados Unidos, mas recentemente adicionou a opção de criar sites de phishing que imitam sites de classificados populares de Cingapura. Assim, um novo e considerável pool de destino foi aberto.
Os golpistas abordam o vendedor de um item e declaram interesse em comprá-lo e, eventualmente, enviam a URL do site de phishing gerado. Se os vendedores clicarem nele, eles irão para um site que parece parte do portal de classificados, indicando que o pagamento do item mencionado foi concluído.
O golpe diz que o vendedor deve inserir os dados completos do cartão para receber os fundos da compra, incluindo o número do cartão, data de validade, nome do titular e código CVV. Em seguida, a vítima recebe uma página OTP (senha de uso único) falsa, enquanto o serviço Classicscam a usa para fazer o login do golpista no portal do banco real por meio de um proxy reverso.
Finalmente, para separar contas valiosas daquelas com menos fundos, a vítima é solicitada a inserir o saldo de sua conta, supostamente como uma etapa de verificação.