O Pix, meio de pagamento instantâneo criado pelo Banco Central, chega a todos os brasileiros de maneira oficial no dia de hoje (16). Enquanto as instituições financeiras ajustam os últimos detalhes antes de disponibilizar o novo modelo ao público, cibercriminosos utilizam o tema como isca para obter vantagem.
Atenta a isso, a Forcepoint, por meio de seu braço de pesquisas, o X-Labs fez um levantamento e identificou diversas campanhas de phishing por e-mail usando o Pix como uma isca para roubar detalhes bancários e senhas de possíveis vítimas.
“Quando surge uma nova tecnologia, os cibercriminosos costumam aproveitar a oportunidade de usá-la como isca para roubar informações pessoais. Quando a tecnologia é apoiada por uma grande organização e destinada ao uso por um país inteiro, é quase certo será explorada por estes criminosos”, alerta Luiz Faro, diretor de engenharia de sistemas da Forcepoint para América Latina.
A maior campanha descoberta pelo X-Labs teve mais de 4 mil e-mails bloqueados pelo Forcepoint Email Security em 21 de outubro de 2020. Ela estimulava o usuário a se registrar no serviço com avisos de cobranças adicionais e contas bloqueadas se não agirem rapidamente através da seguinte mensagem:
“O cadastramento para o novo método de pagamento Pix está disponível desde 5 de outubro, mas ainda não identificamos sua adesão. Efetue a verificação e evite cobrança de tarifas ou bloqueio temporário de sua conta.
Afinal, o que é Pix?
– Uma maneira nova e muito mais fácil de pagar e receber dinheiro, em segundos, criada pelo Banco Central.
Verifique agora, o procedimento é rápido e simples.”
O X-Labs identificou também uma campanha um pouco menor em 6 de outubro de 2020 com mais de 1.500 e-mails com um simples link – supostamente enviado por uma das maiores instituições financeiras do Brasil – para se registrar no serviço. Esta informação é oportuna e enganosa, uma vez que o registo das chaves (e-mail, número de celular, etc.) teve início apenas em 3 de novembro de 2020.
Esta campanha usou uma URL de apelo à ação do serviço de hospedagem gratuita do Google para dar alguma legitimidade ao e-mail de phishing e contornar a verificação de segurança.
Nos últimos anos, pesquisadores de toda a indústria observaram um grande aumento no uso malicioso de serviços de host gratuitos, como o Firebase do Google, o Azure da Microsoft e outros. Isso foi amplamente coberto por muitas publicações de segurança, mas os serviços continuam sendo utilizados com pouquíssima atenção de seus administradores.
As URLs de phishing nas campanhas destacadas acima não exibiam nenhum conteúdo no momento da escrita, no entanto, o X-Labs está constantemente atualizando e criando novas análises para detectar páginas de phishing de coleta de credenciais conforme descobertas.
“É preciso muita cautela ao receber e-mails inesperados relacionados aos temas do momento como esse exemplo do PIX. As táticas, técnicas e procedimentos dos cibercriminosos seguem consistentes ao longo do tempo com o tema da isca mudando para alavancar os eventos atuais”, conclui Faro.
