Ataques de SMiShing afetam usuários de mobile banking no Brasil

Criminosos brasileiros estão começando a apontar seus ataques contra usuários de mobile banking de forma mais regular. O número de usuários de serviços bancários móveis tem aumentado consideravelmente nos últimos 2 anos. Para realizar esses ataques, phishers têm se valido de SMiShing (phishing enviado por SMS), além de registrar novos domínios preparados para esse fim.

Em 2015 o uso dos serviços de mobile banking alcançou a marca de 11,2 bilhões de transações no Brasil – um aumento de 138% se comparado a 2014, que registrou 4,7 bilhões de operações. O mobile banking é hoje o segundo canal mais popular de acesso a uma conta bancária. Existem mais de 33 milhões de contas com mobile banking ativas de acordo com a FEBRABAN. Tais números e a capacidade de enviar mensagens SMS em massa de forma barata tem atraído cibercriminosos, que estão investindo seu tempo nesses ataques.

Para iniciar um ataque é simples, não é necessário muito dinheiro: primeiro o criminoso registra um domínio, prepara a página de phishing em formato móvel, contrata um serviço de envio de SMS em massa (geralmente pagando com um cartão de crédito clonado) e assim começa o ataque. Obter o número de telefone das vítimas não é difícil, pois bancos de dados com esses números são facilmente encontrados em mercados underground. As mensagens informam de supostos bloqueios de contas, cartões, etc:

Porque atacar usuários de mobile banking? É mais fácil invadir uma conta bancária a partir de terminais móveis do que via desktop, pelas razões descritas abaixo:

• Sem proteção: uma pesquisa realizada pela B2B International em 2015 mostrou que apenas 56% dos usuários tem um software de proteção instalado em seus dispositivos.
• Sem plugins: a maioria dos bancos não exigem que o usuário instale plug-ins de segurança em seus dispositivos, como exigem no acesso via desktop, apesar da maioria dos bancos oferecerem um app de acesso dedicado a conta. Como já vimos no passado, apps falsos de bancos já apareceram na Play Store, enquanto um ataque de phishing pode afetar qualquer plataforma, pois todas elas possuem navegadores.
• Autenticação simples: a maioria dos Bancos brasileiros usam uma autenticação mais simples para acesso móvel, geralmente eles solicitam apenas número da conta e senha de 4 ou 6 dígitos.
• Notificações reais via SMS: sabemos que a maioria dos bancos brasileiros tem usado SMS como um canal de comunicação com seus clientes, informando-os de saques e compras no cartão, o que inclusive tem possibilitado a identificação mais rápida de fraudes. Portanto confundir uma mensagem de SMiShing com um SMS legítimo pode ser fácil.

Para adaptar-se aos novos tempos, phishers estão preparando versões móveis das páginas dos bancos, que podem ser abertas em qualquer navegador. A tática dos phishers é forçar a vítima a acessar o site falso através do celular – se o acesso for feito via desktop, essa será a mensagem exibida:

Somente quando o acesso é feito pelo navegador do celular é que a página de phishing irá mostrar sua cara por completo:

Phishers estão criando páginas falsas de vários bancos, em todas as cores e formas:

A maioria dos domínios falsos estão usando o TLD .mobi.

Publicamos a lista de alguns desses domínios aqui.

Também é importante dizer que a maioria desses domínios impedem o acesso a partir de IPs for a do Brasil. Trata-se de uma forma de limitar o acesso somente a usuários brasileiros e fazer com que o ataque fique mais tempo no ar e seja mais efetivo, pois companhias de segurança sem presença local irão demorar mais para bloquear o ataque.

Usuários dos nossos produtos, incluindo o Safe Browser para iOS, Windows Phone, Android e as soluções de Fraud Prevention estão protegidos contra estes ataques.