A voz do perigo: Como cibercriminosos enganam vítimas por telefone

A chamada telefônica que parece inofensiva pode ser o prelúdio de um pesadelo digital. “Esta é a equipe de segurança do PayPal aqui,” começa a voz robótica, e em segundos, a vítima, sem suspeitar, fornece o código de segurança que permite aos cibercriminosos tomar controle de suas contas online ou esvaziar suas carteiras digitais e de criptomoedas.

A operação chamada Estate, tem permitido a centenas de membros realizar milhares de chamadas automatizadas para enganar vítimas a revelarem senhas únicas, essenciais para a autenticação multifator. Essas senhas, uma vez nas mãos dos invasores, abrem as portas para contas bancárias, cartões de crédito, e serviços online, com a maioria das vítimas nos Estados Unidos.

Um erro no código do Estate expôs seu banco de dados não criptografado, revelando detalhes do fundador, membros e cada ataque realizado, incluindo números de telefone das vítimas, datas e responsáveis pelos ataques. Vangelis Stykas, da Atropos.ai, forneceu esses dados que oferecem um vislumbre raro no funcionamento interno de uma operação de interceptação de senha.

O Estate se promove como um serviço legítimo para testar a resiliência contra ataques de engenharia social, mas na realidade, opera em uma zona cinzenta legal, sendo usado quase exclusivamente para atividades criminosas. Autoridades já processaram operadores de serviços similares no passado por fornecerem suas ferramentas a criminosos.

O banco de dados contém registros de mais de 93.000 ataques, visando usuários de grandes empresas como Amazon, Bank of America, Capital One, Chase, Coinbase, Instagram, Mastercard, PayPal, Venmo, Yahoo e outros. Alguns ataques também visam sequestrar números de telefone através de ataques de troca de SIM e até ameaçar expor informações pessoais das vítimas.

O fundador do Estate, um jovem programador dinamarquês, admitiu que não opera mais o site, mas a má configuração do servidor expôs sua localização em um data center na Holanda. O Estate oferece “soluções OTP personalizadas” e permite que seus membros explorem a rede telefônica global, fingindo ser usuários legítimos para obter acesso a fornecedores de comunicações a montante. Um desses fornecedores, a Telnyx, bloqueou as contas do Estate e iniciou uma investigação.

O Estate promete privacidade aos seus membros, mas registrou meticulosamente cada ataque desde seu lançamento em meados de 2023. O fundador manteve acesso aos logs do servidor, fornecendo uma visão em tempo real das atividades no servidor do Estate.

Allison Nixon, da Unidade 221B, descreve esses serviços como a espinha dorsal da economia criminosa, tornando golpes e ameaças mais eficientes e prejudicando principalmente os mais vulneráveis.

O Estate se mantém discreto, atraindo membros por referência e fornecendo ferramentas para procurar senhas de contas violadas, além de scripts personalizados para enganar as vítimas a entregarem suas senhas únicas. Uma das maiores campanhas do Estate visava vítimas mais velhas, assumindo que seriam mais propensas a atender chamadas não solicitadas.

Este relato é um alerta sobre a sofisticação e o perigo dos ataques cibernéticos modernos, e a necessidade de vigilância constante para proteger nossas informações pessoais e financeiras.