Como um jornalista acabou com uma campanha de phishing em dois dias

Como um jornalista acabou com uma campanha de phishing em dois dias

Por Felipe Demartini | Editado por Claudio Yuge | 13 de Setembro de 2021 às 20h00
Rawpixel

Campanhas de phishing são detonadas todos os dias, de olho nos dados pessoais e documentos de usuários incautos — essa, em específico, mirava cidadãos argentinos, com a promessa de auxílio governamental ao final da pandemia de covid-19 ainda sendo a isca para obter as informações. Normalmente, falamos em ações das autoridades e dicas para que os usuários não sejam vítimas de fraudes assim; neste caso específico, também, veio de uma pessoa comum a iniciativa de atacar a acabar com a operação.

O trabalho foi publicado pelo site TechRadar pelo repórter freelancer Fernando Cassia e mostra como um pouco de iniciativa pode ajudar a melhorar o estado da cibersegurança para todos os usuários. Neste caso, também ficou clara a dificuldade em criar interfaces que permitam a denúncia adequada de casos desse tipo. Na ausência de um mecanismo fácil e, principalmente, intuitivo, grandes são as chances de que os usuários desistam de ajudar, mesmo que tenham vontade de fazer isso.

O golpe em questão chegava disfarçado com a identidade da Administração Nacional de Seguro Social (ANSES, na sigla em espanhol). A promessa era de um auxílio financeiro no valor de 15 mil pesos, aproximadamente R$ 800, devido à pandemia do novo coronavírus, com um cadastro online que pedia documentação e, no maior dos alertas vermelhos, dados do cartão de crédito. É um tipo de dado cuja solicitação nem faz sentido, mas que ainda assim pode ser entregue por cidadãos inocentes, desacostumados com os perigos da web e com alertas desse tipo.

Quer ficar por dentro das melhores notícias de tecnologia do dia? Acesse e se inscreva no nosso novo canal no youtube, o Canaltech News. Todos os dias um resumo das principais notícias do mundo tech para você!

Site fraudulento tentava se passar por sistema do governo argentino, pedindo dados pessoais e de cartão de crédito em troca de um falso auxílio durante a pandemia (Imagem: Reprodução/Techradar)

Enquanto o e-mail e o próprio site copiavam a aparência de um serviço legítimo do governo argentino, seus endereços já entregavam o golpe. A mensagem fraudulenta chegava a partir de uma conta no Gmail, enquanto a URL do golpe em si era semelhante à oficial, com o domínio simples, da ANSES, sendo precedido por .shop. Sinais clássicos de fraude, que ainda assim, não impediram que a mensagem chegasse à caixa de entrada de Cassia sem ser identificada como tal.

Chegando às opções corretas

Há uma diferença entre denunciar um e-mail como spam ou phishing — no primeiro caso, a mensagem pode ser legítima, mas chega sem que o usuário peça ou de forma insistente, enquanto o golpe só se aplica no segundo caso. Entretanto, de acordo com a apuração de Cassia, essa opção específica para fraudes aparece apenas na interface web do Gmail e não está nem mesmo no app do serviço de correio eletrônico para Android, um sistema operacional do próprio Google.

Opção específica para denunciar um e-mail por phishing aparece apenas na interface web completa do Gmail; em todas as outras, só é possível indicar casos de spam, que não levam a análise focada em segurança (Imagem: Captura de tela/Felipe Demartini/Canaltech)

No restante das opções, como as interfaces para conexões limitadas no navegador do celular ou computador, assim como no app para iOS, apenas a opção de denunciar uma mensagem como spam está disponível. Para reportar um caso de phishing, o usuário precisaria utilizar o navegador e, no menu de configurações, solicitar a abertura da página para PCs do Gmail, que carrega de forma lenta e quebrada — desistir, para muita gente, será mais fácil do que fazer isso.

De acordo com o repórter, o uso do Gmail para disseminação da campanha de phishing também tem a ver com a própria interface, uma vez que, nos aplicativos para celular, o endereço fraudulento só é exibido caso o usuário clique para ver mais detalhes. O uso de uma conta no próprio sistema também serve como uma garantia adicional de que as mensagens fraudulentas chegarão, principalmente no caso de campanhas recém-iniciadas, que ainda não caíram no crivo de empresas de segurança e sistemas automatizados — neste caso, demoraria ainda mais já que, como dito, na maioria das interfaces, incluindo as mais populares, nem mesmo é possível denunciar a mensagem falsa da maneira certa.

Passos para o contra-ataque

Apesar dos pesadores, o repórter argentino seguiu adiante, indicando a mensagem como fraudulenta aos serviços do Google da forma devida. Mais do que isso, também acessou uma plataforma de navegação segura do Google, a Safe Browsing, para denunciar também a URL que vinha no e-mail. Assim, aponta, os sistemas da empresa passariam a identificar o endereço como perigoso, exibindo mensagens no browser Chrome até mesmo àqueles que o acessassem diretamente ou recebessem por WhatsApp, Telegram ou demais mensageiros instantâneos, outro vetor comum de disseminação de phishing.

Ainda focado no e-mail, Cassia denunciou a conta usada para enviar a mensagem golpistas a partir da central de ajuda do Gmail. A tentativa de golpe também foi encaminhada à Agência de Cibersegurança em Infraestrutura (CERT, na sigla em inglês), um órgão do governo dos EUA para combate aos delitos digitais e aceita relatos pelo e-mail [email protected] Em ambos os casos, o preenchimento de dados ou o envio da mensagem fraudulenta precisam ser feitos manualmente.

No caso do golpe que tentava atingir os argentinos, também foi usado o sistema de e-mail marketing SendinBlue, que presta serviços de distribuição e layout de mensagens publicitárias. A conta usada pelos golpistas na plataforma, também, seria bloqueada após análise dos responsáveis pela companhia, que responderam a ele por meio do Twitter.

Ataques de phishing se aproveitam de facilidades proporcionadas pelos serviços de e-mail para ampliar aparência de legitimidade, enquanto usuários podem ser ludibriados mais facilmente (Imagem: Reprodução/TechRadar)

Por fim, foi a vez de contato com a empresa de hospedagem na qual o site fraudulento que coletava os dados dos usuários está hospedado. O serviço é chileno — em um possível indicativo da origem dos criminosos —, mas como dito, mirava cidadãos argentinos. Mais uma vez, Cassia foi além do usual, usando catalogadores online de e-mails comerciais para falar com o diretor da empresa, não identificada na matéria, assim como alguns de seus funcionários de setores de tecnologia e segurança.

O retorno aconteceu no dia seguinte e, horas depois de receber o aviso de que o caso seria analisado, o site fraudulento saiu do ar. De acordo com Cassia, o trabalho levou, no total, dois dias úteis e serviu para mostrar, ao mesmo tempo, duas situações: a de que qualquer pessoa, em um caso como este, poderia tomar uma atitude, e que fazer isso pode envolver diferentes passos, opções escondidas e uma iniciativa que muitos, simplesmente, não teriam.

Mais do que isso, a ideia mais assustadora de toda a empreitada é que mesmo um ataque simples, envolvendo endereço de e-mail e URL claramente fraudulentos, ainda foi capaz de passar pelo crivo automatizado de sistemas robustos como o do Gmail. Plataformas com menos tecnologia à disposição, sistemas corporativos desprotegidos ou, simplesmente, usuários a uma mensagem direta de distância em um aplicativo, estariam à mercê de ataques desse tipo caso o próprio destinatário não percebesse se tratar de um golpe.

Fonte: TechRadar

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.