Uma campanha de phishing focada em serviços bancários para celular usou mais de 200 páginas para representar sites legítimos de bancos conhecidos nos EUA e no Canadá.
Milhares de vítimas foram atraídas para sites falsos com mensagens curtas entregues por meio de uma ferramenta automatizada do kit de phishing.
Principais bancos visados na campanha de phishing para celular
Em um esforço para capturar credenciais bancárias, os cibercriminosos falsificaram as páginas de login de pelo menos uma dúzia de bancos, segundo um relatório dos pesquisadores de segurança da empresa Lookout.
A lista de bancos-alvo inclui os principais players do mercado, como Scotiabank, CIBC, RBC, UNI, HSBC, Tangerine, TD, Meridian, Laurentian, Manulife, BNC e Chase.
Segundo a pesquisa, as páginas de phishing foram criadas especificamente para dispositivos móveis, imitando o layout e o tamanho. Além disso, na tentativa de enganar as vítimas, os bandidos usavam links como Segurança e Privacidade do Banco Móvel e Ativar o Banco Móvel.
Além de aumentar a confiança na página, esses links também podem ser usados para coletar informações confidenciais, solicitando as credenciais ao acessá-los.
Os cibercriminosos por trás desta campanha usaram uma ferramenta de SMS automatizada disponível no kit de phishing para entregar mensagens personalizadas para vários números de celular.
Dessa maneira, esse ato pode contribuir para o sucesso da campanha, já que os usuários esperam uma comunicação bancária via SMS.
Segundo a Lookout:
Muitas das páginas desta campanha parecem legítimas por meio de ações como levar a vítima a uma série de perguntas de segurança, solicitando que ela confirme sua identidade com a data de validade do cartão ou verifique duas vezes o número da conta.
Páginas falsas acessadas a partir de milhares de IPs
Os pesquisadores encontraram nas páginas de phishing listas de endereços IP pertencentes a dispositivos que acessaram o link malicioso. Dessa maneira, eles viram que as vítimas desta campanha se espalharam por todo o mundo.
Detalhes adicionais disponíveis incluem até que ponto as vítimas foram e se foram completamente enganadas pelo golpe. Assim, a partir desses dados estatísticos, os criminosos puderam ver quais informações foram coletadas, como número da conta e data de nascimento.
A empresa de segurança identificou mais de 200 páginas de phishing criadas para esta campanha. Desde 27 de junho de 2019, os links maliciosos foram acessados em mais de 3.900 endereços IP exclusivos, a maioria deles na América do Norte.
A campanha não está mais ativa e a Lookout entrou em contato com todos os bancos-alvo sobre as tentativas de representação.
Além disso, evitar esses golpes é mais difícil no celular do que no computador desktop, porque o espaço limitado na tela é aproveitado para a vantagem do invasor.
No entanto, existe um truque simples que pode evitar que você seja vítima de uma tentativa de phishing móvel: em vez de clicar em um link que você recebe em uma mensagem de texto, digite-o em um navegador ou inicie o aplicativo do banco, se você o tiver no dispositivo.
Fonte: Bleeping Computer