Akamai Diversity

O Blog da Akamai

BRASIL É ALVO DE GOLPES DE PHISHING QUE EXPLORAM OS TEMORES DA COVID-19

Por Or Kaz

Os pesquisadores da Akamai identificaram uma nova campanha de phishing direcionada aos usuários brasileiros que estão preocupados com as finanças durante a epidemia de COVID-19. Durante duas semanas, identificamos que a campanha do questionário de três perguntas conseguiu atingir mais de 850.000 vítimas, coletando informações pessoais e, em alguns casos, convencendo-as a instalar um adware nos computadores.

O golpe é aplicado aos websites em português que oferecem falsos benefícios do governo. Nesse caso, a oferta foi de R$ 500 reais (US$ 96) para famílias de baixa renda afetadas pela COVID-19.

A página inicial do golpe, exibida na figura 1, informa às vítimas que "o governo está distribuindo gratuitamente R$ 500,00 para ajudar a população a se proteger do vírus (sic)".

A página é aberta com um pop-up que pergunta se a vítima gostaria de receber gratuitamente "um kit de prevenção do governo" e exibe um questionário que ela deverá responder para receber os benefícios.

Figure1.png

Figura 1: Os criminosos aproveitam a COVID-19 como parte de um golpe que aplica um questionário com três perguntas

Assim que a vítima abre o convite, aparece a solicitação para ela responder a uma série de perguntas, dentro de cinco minutos. As perguntas são simples, por exemplo:

  • Você é maior de idade?
  • Você tem mais ou menos de 30 anos?
  • Você compartilharia esta campanha do governo com outras pessoas?

Qualquer que sejam as respostas fornecidas, as vítimas são informadas posteriormente de que têm direito ao benefício prometido pelo governo, mas somente se compartilharem a campanha com dez amigos, ou cinco grupos, via WhatsApp, uma plataforma de mídia social conhecida. Um exemplo dessa exigência é mostrado na figura 2. Esse esquema permitiu que o golpe se propagasse a uma velocidade alarmante e se espalhasse a centenas de milhares de pessoas em poucos dias.

Figure2.png

Figura 2: Uma captura de tela mostra o golpe da COVID-19 solicitando que as vítimas compartilhem o questionário de três perguntas para poderem receber o suposto auxílio do governo

Conquistando a confiança da vítima

Os criminosos por trás dos golpes do questionário com três perguntas aproveitam a situação da COVID-19 de duas maneiras. Em primeiro lugar, eles se aproveitam disso diretamente por meio de domínios, usando alguma variação do nome coronavírus ou covid19 no URL. Em segundo lugar, eles mencionam a pandemia na página inicial. Qualquer que seja a forma como a pandemia é abordada, os criminosos se aproveitam da ansiedade, da insegurança e dos receios da vítima quanto à pandemia para obter vantagens.

As pessoas estão preocupadas com questões financeiras, com a própria saúde e os entes queridos, portanto, uma promessa de auxílio financeiro (ou de fornecimento de materiais de teste) causará uma reação instintiva natural da vítima em relação aos golpes e receberá atenção imediata. Isso é basicamente engenharia social e psicologia humana.

Para reforçar ainda mais o elemento de engenharia social, os golpistas começaram a incluir postagens falsas no Facebook, comentando sobre os questionários de três perguntas nas páginas deles. As postagens são geradas por um plug-in que cria os comentários, os nomes e as imagens de perfil exibidos. Essas postagens falsas são usadas para que o golpe pareça legítimo e amenizar qualquer preocupação ou dúvida persistente. Os comentários, exibidos na figura 3, contêm inclusive erros ortográficos e gramaticais para aumentar a impressão de legitimidade.

No entanto, o mesmo plug-in foi usado em vários domínios de questionário com três perguntas, o que evidenciou o fato de serem falsos. Em vários casos, o mesmo nome de usuário foi exibido, mas com uma imagem de perfil diferente, o que revelou esse aspecto de geração de perfis do plug-in. 

Figure3.pngFigure3-1.png

Figura 3: Criminosos utilizam publicações falsas no Facebook para espalhar o golpe do questionário de três perguntas

As vítimas que compartilharam o golpe com amigos e contatos tiveram que responder a mais perguntas e compartilhar informações pessoais ou foram redirecionadas para outra página da Web que as orientava a fazer download de um plug-in do Flash (figura 4), que é detectado como adware por 15 plataformas diferentes de antivírus.

Com esse adware, os criminosos atingiram os objetivos financeiros da campanha, e as versões dela foram fornecidas às vítimas conforme o sistema operacional usado no momento. O adware pode ser usado para coletar informações pessoais, realizar fraudes por cliques ou instalar software de terceiros em sistemas sob seu controle. 

Figure4.png

Figura 4: As vítimas são orientadas a instalar uma falsa atualização do Flash depois de compartilhar o questionário de três perguntas 

CAMPANHA EM AÇÃO

Examinando as estatísticas, a Akamai observou que 99% das vítimas estavam localizadas no Brasil, comprovando que o país era o foco principal da campanha. No entanto, como se vê na figura 5, o total de mais de 850.000 vítimas incluía pessoas de 37 países diferentes.

Figure5.png

Figura 5: Distribuição global do teste de três perguntas relacionado à COVID-19 

Em relação aos dispositivos, a maioria das vítimas eram usuárias de dispositivos móveis com sistema Android. A razão para isso se deve, em parte, aos próprios websites, que foram desenvolvidos para aceitar somente vítimas que estivessem usando dispositivos móveis. Um agente JavaScript, exibido na figura 6, verificou os cabeçalhos "User-Agent" da vítima e redirecionou aqueles que não estavam em um dispositivo móvel para o Google News. 

Figure6.png

Figura 6: Código JavaScript que garante que somente as vítimas com dispositivos móveis sejam aceitas  

Figure7.png

Figura 7: A maioria absoluta das vítimas estava usando dispositivos móveis e executando o Android

Com base nos dados coletados pela Akamai, o golpe do questionário de três perguntas relacionado à COVID-19 está funcionando há algum tempo, mas atingiu o pico rapidamente em 21 e 22 de março, devido à propagação acelerada. No entanto, como mostrado na figura 8, a campanha começou a diminuir em 23 de março, e a tendência de queda continuou até o fim do mês, em virtude de alguns dos domínios envolvidos no golpe ficarem off-line. 

Figure8.png

Figura 8: O golpe do questionário de três perguntas relacionado à COVID-19 atingiu o pico em 21 e 22 de março de 2020 

Conclusão

Com o tempo, depois de analisar os websites que executam o golpe referente à COVID-19, percebe-se algumas pequenas alterações nas imagens e nas perguntas, embora a essência do esquema permaneça a mesma: aproveitar-se do medo em torno da COVID-19 de propagação do vírus e contaminação das pessoas em massa. Com base nos números observados pela Akamai, o objetivo dos criminosos foi infelizmente atingido.

Os criminosos não têm escrúpulos quando se trata de buscar as pessoas mais vulneráveis e atacá-las. Eles desenvolvem as páginas de golpe e os kits de phishing para atingir as pessoas e seus pontos fracos, e, nos últimos anos, adaptaram os truques para se concentrar em plataformas e popularidade, desenvolvendo kits que visassem somente os usuários de dispositivos móveis, já que praticamente todo mundo os utilizam atualmente. Mas o elemento adicional da propagação de uma pessoa para outra é quando muitos desses golpes ganham força, já que esse é um processo difícil de combater, pois as pessoas são seres sociais.

Embora essa campanha tenha sido claramente direcionada ao território brasileiro, o panorama geral mostra que o kit de ferramentas do questionário de três perguntas foi amplamente usado no último ano no mundo inteiro. Alguns golpes eram sazonais, outros visavam marcas específicas e outros combinavam as duas situações, mas o objetivo era o mesmo, explorar a vítima e comprometer as informações confidenciais e outros ativos.

Considerando tudo o que está acontecendo, é necessário prestar bastante atenção a esses tipos de operações. É preciso entender que os criminosos se aproveitarão de situações, como a pandemia da COVID-19, para atacar as pessoas mais vulneráveis, sem hesitar.

Portanto, para proteger amigos e familiares que, mesmo em distanciamento social continuam usando as redes sociais, a melhor defesa é lançar mão de uma regra valiosa: se parece bom demais para ser verdade, desconfie.


IOC

https://auxiliocidadao.archivezap[.]live/

https://bolsafamilia.archivezap[.]live/

https://bolsafamilia.ficheiro[.]site/

https://dpvat.archivezap[.]live/

https://novidadesnet[.]com/beneficio/

https://novidadesnet[.]com/covid-19/

https://valegas.archivezap[.]live/