Smishing

A Google entrou com um processo judicial no distrito de Nova York contra um grupo de hackers da China, conhecido por operar uma plataforma de phishing-as-a-service (PhaaS) chamada Lighthouse. Este grupo é acusado de realizar golpes massivos de smishing, afetando mais de 1 milhão de usuários em 120 países, utilizando a confiança em marcas como E-ZPass e USPS para enganar as vítimas. Os golpistas exploraram a reputação da Google e de outras empresas, criando sites fraudulentos que imitavam suas marcas, resultando em lucros estimados em até US$ 1 bilhão nos últimos três anos. A empresa está tomando medidas legais para desmantelar essa infraestrutura criminosa, com base em leis anticorrupção e de fraude computacional. A operação, conhecida como Smishing Triad, está ligada a mais de 17.500 domínios de phishing e comprometeu entre 12,7 milhões e 115 milhões de pagamentos por cartão nos Estados Unidos entre julho de 2023 e outubro de 2024. A evolução das ferramentas de cibercrime, como o Ghost Tap, também foi destacada, permitindo que os golpistas adicionassem detalhes de cartões de crédito a carteiras digitais em dispositivos móveis.

O Google anunciou uma ação legal contra o ‘Lighthouse’, uma plataforma de Phishing-as-a-Service (PhaaS) que tem sido responsável por um aumento significativo de ataques de phishing via SMS, conhecidos como ‘smishing’, desde 2020. Com mais de 1 milhão de vítimas em mais de 120 países, os prejuízos nos EUA incluem o roubo de até 115 milhões de cartões de crédito. A investigação forense do Google revelou pelo menos 107 modelos de sites que usavam a marca oficial do Google para enganar usuários e coletar dados sensíveis, como credenciais de e-mail e informações bancárias. Os ataques geralmente envolvem mensagens de texto que simulam comunicações de organizações confiáveis sobre pacotes ou taxas de pedágio não pagas, levando as vítimas a sites fraudulentos. A ação legal do Google se baseia em várias leis, incluindo a Lei RICO, e busca desmantelar a infraestrutura do Lighthouse. Além disso, a empresa está promovendo três projetos de lei no Congresso dos EUA para fortalecer a resposta a operações criminosas. O Google também está implementando soluções tecnológicas, como IA para detectar fraudes em tempo real, visando proteger os usuários antes que interajam com conteúdos maliciosos.

O smishing e o vishing são formas de phishing que utilizam SMS e chamadas telefônicas, respectivamente, para enganar as vítimas e roubar informações pessoais. O smishing combina mensagens de texto com engenharia social, frequentemente se disfarçando como comunicações de bancos ou empresas conhecidas, alertando sobre problemas urgentes que exigem ação imediata, como o bloqueio de contas ou entrega de pacotes. Já o vishing envolve ligações telefônicas em que golpistas se passam por funcionários de instituições financeiras ou autoridades, solicitando dados sensíveis sob pretextos de urgência. Ambas as táticas exploram a confiança das vítimas e podem resultar em sérios danos financeiros e de privacidade. Para se proteger, é fundamental estar atento a sinais de alerta, como mensagens ou ligações que exigem informações pessoais e sempre verificar a autenticidade das comunicações recebidas.

O malware Herodotus, recentemente identificado pela Threat Fabric, tem gerado preocupações no Brasil e na Itália por sua capacidade de imitar o comportamento humano e enganar sistemas de segurança bancários. Este software malicioso, que opera como um Malware-as-a-Service (MaaS), é distribuído através de fraudes conhecidas como SMiShing, onde usuários recebem mensagens de texto com links maliciosos. Ao clicar no link, a vítima baixa um dropper que instala o Herodotus no dispositivo Android, permitindo que o malware obtenha acesso total ao aparelho.

Uma nova pesquisa da Palo Alto Networks revela que um grupo ligado à China, conhecido como Smishing Triad, está por trás de uma campanha de smishing em larga escala, que já registrou mais de 194 mil domínios maliciosos desde janeiro de 2024. Esses domínios, registrados por meio de um registrador baseado em Hong Kong, utilizam servidores de nomes chineses, mas a infraestrutura de ataque está predominantemente hospedada em serviços de nuvem dos EUA. A campanha visa enganar usuários com mensagens fraudulentas sobre violações de pedágio e entregas de pacotes, levando-os a fornecer informações sensíveis. Nos últimos três anos, os atacantes conseguiram lucrar mais de 1 bilhão de dólares. Além disso, a pesquisa indica um aumento significativo no uso de kits de phishing para atacar contas de corretoras, com um crescimento de cinco vezes no segundo trimestre de 2025 em comparação ao ano anterior. A análise também mostra que a maioria dos domínios tem uma vida útil curta, o que sugere uma estratégia de evasão de detecção. O USPS é o serviço mais imitado, com 28.045 domínios dedicados a fraudes. Essa campanha representa uma ameaça global e descentralizada, exigindo atenção urgente das organizações.

Desde fevereiro de 2022, um grupo de atacantes desconhecidos tem explorado vulnerabilidades em roteadores celulares industriais da Milesight para conduzir campanhas de smishing, principalmente em países europeus como Suécia, Itália e Bélgica. A empresa de cibersegurança SEKOIA identificou que os atacantes estão utilizando a API dos roteadores para enviar mensagens SMS maliciosas que contêm URLs de phishing, muitas vezes disfarçadas como plataformas governamentais ou serviços bancários. Dos 18.000 roteadores acessíveis na internet pública, 572 foram considerados potencialmente vulneráveis, com cerca de metade localizados na Europa. A vulnerabilidade explorada está relacionada a uma falha de divulgação de informações (CVE-2023-43261) que foi corrigida, mas que permitiu o acesso não autenticado a recursos SMS. Os URLs de phishing são projetados para enganar os usuários, solicitando que atualizem suas informações bancárias. Além disso, algumas páginas maliciosas tentam dificultar a análise ao desabilitar ferramentas de depuração do navegador. A natureza descentralizada dos ataques torna a detecção e a mitigação mais desafiadoras, o que representa um risco significativo para a segurança cibernética.

Recentemente, as empresas de cibersegurança PRODAFT e Netcraft revelaram a existência de serviços de phishing-as-a-service (PhaaS) conhecidos como Lighthouse e Lucid, que estão facilitando a realização de ataques cibernéticos em larga escala. Esses serviços, que podem ser adquiridos por valores que começam em R$ 465, oferecem ferramentas para a criação de campanhas de phishing personalizadas, atingindo 316 marcas em 74 países. Os ataques incluem smishing, que é o phishing realizado via SMS, utilizando plataformas como iMessage e RCS. A plataforma Lucid, por exemplo, permite que hackers montem campanhas direcionadas a setores como pedágios, correios e instituições financeiras, com a capacidade de monitorar as vítimas em tempo real. Além disso, os criminosos estão voltando a usar e-mails para coletar dados roubados, o que torna a detecção mais difícil. Os pesquisadores também identificaram técnicas avançadas, como o uso de caracteres homóglifos para criar URLs enganosas. Esses desenvolvimentos destacam a evolução das táticas de phishing e a necessidade urgente de medidas de segurança mais robustas.