‘Peguei aquele boomer!’: Como os cibercriminosos roubam senhas únicas para ataques de troca de SIM e invasão de contas bancárias
A chamada recebida pisca no telefone da vítima.
Pode durar apenas alguns segundos, mas pode terminar com a vítima entregando códigos que dão aos cibercriminosos a capacidade de sequestrar suas contas online ou drenar suas criptomoedas e carteiras digitais.
“Esta é a equipe de segurança do PayPal aqui. Detectamos alguma atividade incomum em sua conta e estamos ligando para você como medida de precaução”, diz a voz robótica do chamador. “Insira o código de segurança de seis dígitos que enviamos para o seu dispositivo móvel.”
A vítima, ignorando as intenções maliciosas do chamador, digita no teclado do telefone o código de seis dígitos que acabou de receber por mensagem de texto.
“Peguei aquele boomer!” uma mensagem é lida no console do invasor.
Em alguns casos, o invasor também pode enviar um e-mail de phishing com o objetivo de capturar a senha da vítima. Mas, muitas vezes, esse código do telefone é tudo o que o invasor precisa para invadir a conta online da vítima. No momento em que a vítima encerra a chamada, o invasor já usou o código para fazer login na conta da vítima como se fosse o legítimo proprietário.
Desde meados de 2023, uma operação de interceptação chamada Estate permitiu que centenas de membros realizassem milhares de chamadas telefônicas automatizadas para induzir as vítimas a inserirem senhas únicas, descobriu o TechCrunch. O Estate ajuda os invasores a derrotar recursos de segurança como a autenticação multifatorial, que depende de uma senha única enviada para o telefone ou e-mail de uma pessoa ou gerada a partir de seu dispositivo usando um aplicativo autenticador. Senhas de uso único roubadas podem conceder aos invasores acesso às contas bancárias, cartões de crédito, carteiras criptográficas e digitais e serviços online da vítima. A maioria das vítimas estava nos Estados Unidos.
Mas um bug no código do Estate expôs o banco de dados back-end do site, que não estava criptografado. O banco de dados do Estate contém detalhes do fundador do site e de seus membros, além de registros linha por linha de cada ataque desde o lançamento do site, incluindo os números de telefone das vítimas que foram alvo, quando e por qual membro.
Vangelis Stykas, pesquisador de segurança e diretor de tecnologia da Atropos.ai, forneceu o banco de dados Estate ao TechCrunch para análise.
O banco de dados de back-end fornece uma visão rara de como funciona uma operação única de interceptação de senha. Serviços como o Estate anunciam as suas ofertas sob o pretexto de fornecer um serviço ostensivamente legítimo para permitir que os profissionais de segurança testem a resiliência a ataques de engenharia social, mas caem num espaço legal cinzento porque permitem que os seus membros utilizem estes serviços para ataques cibernéticos maliciosos. No passado, as autoridades processaram operadores de sites semelhantes dedicados à automatização de ataques cibernéticos por fornecerem os seus serviços a criminosos.
O banco de dados contém registros de mais de 93.000 ataques desde o lançamento do Estate no ano passado, visando vítimas que têm contas na Amazon, Bank of America, Capital One, Chase, Coinbase, Instagram, Mastercard, PayPal, Venmo, Yahoo (que possui o TechCrunch) e muitos outros. outros.
Alguns dos ataques também mostram esforços para sequestrar números de telefone realizando ataques de troca de SIM – uma campanha foi simplesmente intitulada “você está trocando sim, amigo” – e ameaçando doxar as vítimas.
O fundador do Estate, um programador dinamarquês de 20 e poucos anos, disse ao TechCrunch por e-mail na semana passada: “Eu não opero mais o site”. O fundador, apesar dos esforços para ocultar as operações online da Estate, configurou mal o servidor da Estate, o que expôs a sua localização no mundo real num centro de dados na Holanda.
Estate se anuncia como capaz de “criar soluções OTP personalizadas que atendam perfeitamente às suas necessidades” e explica que “nossa opção de script personalizado coloca você no controle”. Os membros do Estado exploram a rede telefónica global fazendo-se passar por utilizadores legítimos para obter acesso a fornecedores de comunicações a montante. Um fornecedor foi a Telnyx, cujo presidente-executivo, David Casem, disse ao TechCrunch que a empresa bloqueou as contas do Estate e que uma investigação estava em andamento.
Embora o Estate tenha o cuidado de não usar linguagem explícita que possa incitar ou encorajar ataques cibernéticos maliciosos, a base de dados mostra que o Estate é usado quase exclusivamente para a criminalidade.
“Esses tipos de serviços constituem a espinha dorsal da economia criminosa”, disse Allison Nixon, diretora de pesquisa da Unidade 221B, uma empresa de segurança cibernética conhecida por investigar grupos de crimes cibernéticos. “Eles tornam as tarefas lentas eficientes. Isso significa que mais pessoas recebem golpes e ameaças em geral. Mais idosos perdem a aposentadoria devido ao crime – em comparação com os dias anteriores à existência desses tipos de serviços.”
Como funciona a propriedade
O Estate tentou se manter discreto, escondendo seu site dos mecanismos de busca e atraindo novos membros de boca em boca. De acordo com seu site, novos membros podem entrar no Estate apenas com um código de referência de um membro existente, o que mantém o número de usuários baixo para evitar a detecção pelos provedores de comunicações upstream dos quais o Estate depende.
Depois de passar pela porta, o Estate fornece aos membros ferramentas para pesquisar senhas de contas previamente violadas de suas possíveis vítimas, deixando códigos únicos como o único obstáculo para sequestrar as contas dos alvos. As ferramentas do Estate também permitem que os membros usem scripts personalizados contendo instruções para enganar os alvos para que entreguem suas senhas únicas.
Alguns scripts de ataque são projetados para validar números de cartão de crédito roubados, enganando a vítima para que entregue o código de segurança no verso do cartão de pagamento.
De acordo com a base de dados, uma das maiores campanhas de telefonemas no Estate teve como alvo vítimas mais velhas, sob a suposição de que os “boomers” são mais propensos a atender um telefonema não solicitado do que as gerações mais jovens. A campanha, que contabilizou cerca de mil telefonemas, contou com um script que mantinha o cibercriminoso informado sobre cada tentativa de ataque.
“O velho f- respondeu!” piscaria no console quando a vítima atendesse a chamada e “Suporte de vida desconectado” apareceria quando o ataque fosse bem-sucedido.
O banco de dados mostra que o fundador do Estate está ciente de que sua clientela é composta em grande parte por atores criminosos, e o Estate há muito promete privacidade para seus membros.
“Não registramos nenhum dado e não exigimos nenhuma informação pessoal para usar nossos serviços”, diz o site da Estate, um desprezo pelas verificações de identidade que os provedores de telecomunicações upstream e as empresas de tecnologia normalmente exigem antes de permitir que os clientes acessem suas redes.
Mas isso não é estritamente verdade. Estate registrou todos os ataques realizados por seus membros em detalhes granulares, desde o lançamento do site em meados de 2023. E o fundador do site manteve acesso aos registros do servidor que forneciam uma janela em tempo real sobre o que estava acontecendo no servidor do Estate a qualquer momento, incluindo todas as chamadas feitas por seus membros, bem como sempre que um membro carregava uma página no site do Estate.
O banco de dados mostra que o Estate também monitora endereços de e-mail de membros em potencial. Um desses usuários disse que queria ingressar no Estate porque recentemente “começou a comprar ccs” – referindo-se a cartões de crédito – e acreditava que o Estate era mais confiável do que comprar um bot de um vendedor desconhecido. O usuário foi posteriormente aprovado para se tornar membro do Estate, mostram os registros.
O banco de dados exposto mostra que alguns membros confiaram na promessa de anonimato do Estate, deixando fragmentos de suas próprias informações identificáveis – incluindo endereços de e-mail e identificadores online – nos scripts que escreveram e nos ataques que realizaram.
A base de dados do Estate também contém os scripts de ataque dos seus membros, que revelam as formas específicas como os atacantes exploram as fraquezas na forma como os gigantes da tecnologia e os bancos implementam recursos de segurança, como códigos de acesso únicos, para verificar as identidades dos clientes. O TechCrunch não descreve os scripts em detalhes, pois isso poderia ajudar os cibercriminosos na realização de ataques.
O veterano repórter de segurança Brian Krebs, que relatou anteriormente sobre uma operação de senha única em 2021, disse que esses tipos de operações criminosas deixam claro por que você “nunca deve fornecer qualquer informação em resposta a um telefonema não solicitado”.
“Não importa quem afirma estar ligando: se você não iniciou o contato, desligue”, escreveu Krebs. Esse conselho ainda é válido hoje.
Mas embora os serviços que oferecem o uso de senhas únicas ainda forneçam melhor segurança aos usuários do que os serviços que não o fazem, a capacidade dos cibercriminosos de contornar essas defesas mostra que as empresas de tecnologia, bancos, carteiras e bolsas criptografadas e empresas de telecomunicações têm mais trabalho a fazer. fazer.
Nixon, da Unidade 221B, disse que as empresas estão numa “batalha eterna” com maus actores que procuram abusar das suas redes, e que as autoridades deveriam intensificar os esforços para reprimir estes serviços.
“A peça que falta é que precisamos da aplicação da lei para prender os atores do crime que se tornam um incômodo”, disse Nixon. “Os jovens estão deliberadamente a fazer disto uma carreira, porque se convencem de que são ‘apenas uma plataforma’ e ‘não responsáveis pelo crime’ facilitado pelo seu projeto.”
“Eles esperam ganhar dinheiro fácil na economia fraudulenta. Existem influenciadores que incentivam formas antiéticas de ganhar dinheiro online. A aplicação da lei precisa parar com isso.”