Os sindicatos chineses de smishing podem ter comprometido até 115 milhões de cartões de pagamento nos EUA entre julho de 2023 e outubro de 2024.
Pesquisadores da SecAlliance estimaram que esses compromissos resultaram em bilhões de dólares em perdas financeiras.
O Relatório da SecAlliance destacou a natureza sofisticada dessas campanhas, que envolveram a exploração estratégica da tokenização da carteira digital, particularmente Apple Pay e Google Wallet, para contornar os mecanismos tradicionais de detecção de fraudes.
“Essas operações representam uma mudança de paradigma na fraude de cartões de pagamento, combinando engenharia social avançada baseada em SMS, RCS e iMessage com infraestrutura sofisticada de phishing e tempo real Autenticação multifator (MFA)”, observaram os pesquisadores.
A investigação, que durou quase dois anos, observou que as campanhas são orquestradas por sindicatos cibercriminosos chineses, que têm sistematicamente como alvo vítimas em todo o mundo desde o início de 2023.
Entre 12,7 milhões e 115 milhões de cartões de pagamento foram comprometidos nessas campanhas nos EUA com base em pesquisas de pesquisadores de segurança independentes e na própria análise da SecAlliance sobre os padrões de atividade do domínio.
Leia agora: Tríade de Smishing atualiza ferramentas e táticas para ataques globais
Grande evolução na infraestrutura de phishing
O relatório, publicado em 5 de agosto, demonstra como as campanhas evoluíram de simples golpes de entrega de pacotes para sofisticados phishing como serviço (PaaS), operações falsas de comércio eletrônico e, mais recentemente, esquemas de aquisição de contas de corretagem.
A investigação identificou inicialmente um desenvolvedor de língua chinesa operando sob o nome de “Lao Wang”, que se acredita ter estabelecido uma das primeiras operações populares de PaaS com uma integração para apoiar a exploração de carteiras digitais.
Um canal do Telegram apelidado de “dy-tongbu” é operado pelo mesmo indivíduo, foi criado em fevereiro de 2023.
Este canal evoluiu para um enorme mercado de serviços de phishing, crescendo de cerca de 2800 membros em agosto de 2023 para mais de 4400 no início de 2025.
Os kits de phishing disponíveis nesta plataforma contêm recursos defensivos sofisticados, projetados principalmente para impedir a capacidade dos pesquisadores de segurança de analisar e categorizar essas páginas de phishing, bem como a resiliência contra Quedas.
Essas medidas incluem mecanismos de geofencing para restringir o acesso a regiões geográficas específicas, bloqueio de IP de provedores de hospedagem conhecidos, nós de saída do Tor e aplicação de agente de usuário móvel para garantir que apenas dispositivos móveis possam interagir com as páginas de phishing.
Essa abordagem também garante que as vítimas sejam vítimas de phishing nos mesmos dispositivos móveis que, em última análise, receberão mensagens de senha de uso único (OTP) para contornar o MFA.
O MySQL é usado como um banco de dados para armazenar dados da vítima e parâmetros de configuração.
O sucesso da plataforma de smishing de Lao Wang levou vários atores de língua chinesa a desenvolver suas próprias plataformas de smishing focadas em carteira digital, observaram os pesquisadores.
Como funcionam os ataques de smishing
Os ataques começam com mensagens SMS, iMessage ou RCS sendo enviadas às vítimas. Eles empregam iscas de engenharia social relacionadas a entregas de pacotes, pagamentos de pedágios, restituições de impostos, registros de veículos ou outros assuntos urgentes que requerem atenção imediata.
Os links nessas mensagens direcionam as vítimas para páginas de phishing otimizadas para dispositivos móveis. Essas páginas solicitam que os alvos insiram informações de identificação pessoal, incluindo nomes completos, endereços físicos, endereços de e-mail e números de telefone, sob o pretexto de serem necessários para verificação de serviço ou coordenação de entrega.
A próxima etapa envolve a coleta de informações do cartão de pagamento, normalmente justificada por pequenas taxas para reentrega de pacotes, pagamentos de pedágio ou taxas de processamento.
Por fim, as páginas de phishing capturam códigos OTP da vítima, normalmente iniciados quando os agentes de ameaças tentam provisionar as informações do cartão roubado para carteiras digitais em dispositivos controlados pelo invasor
Mudança para o comprometimento da carteira digital
Os pesquisadores disseram que o foco dessas operações na exploração de sistemas de tokenização de carteira digital representa uma “mudança fundamental” na metodologia de fraude de cartão de pagamento.
A fraude tradicional de “cartão não presente” depende do uso direto de números de cartão roubados em plataformas que contêm sistemas de detecção de fraude.
Com dtokenização de carteira digital, uma vez que as credenciais do cartão de pagamento são coletadas, os agentes de ameaças provisionam imediatamente esses cartões para carteiras digitais em dispositivos controlados pelo invasor.
Essa abordagem elimina requisitos adicionais de autenticação para transações individuais, pois o processo de provisionamento inicial valida a identidade do titular do cartão por meio do desvio de MFA.
“As oportunidades de monetização criadas por essa abordagem são extensas. Os pagamentos sem contato em terminais físicos de ponto de venda permitem compras por meio de canais de varejo legítimos. As compras online por meio de aplicativos que suportam pagamentos de carteira digital fornecem acesso a outros bens e serviços. Em alguns locais, os saques em caixas eletrônicos tap-to-pay fornecem acesso direto ao dinheiro sem exigir a posse do cartão físico”, explicaram os pesquisadores.
Agentes de ameaças foram observados criando contas de comerciantes maliciosas com processadores de pagamento legítimos, incluindo Stripe, PayPal, HitPay e Flutterwave.
Sindicatos indo além do smishing
O ecossistema criminoso evoluiu para incluir a venda de dispositivos pré-posicionados carregados com vários cartões roubados.
Os pesquisadores da SecAlliance disseram que esse desenvolvimento indica a existência de redes criminosas downstream especializadas em monetizar cartões provisionados em dispositivos.
Outra evolução significativa nessas operações criminosas ocorreu em agosto de 2024, com o surgimento de sites falsos de comércio eletrônico. Ao contrário das campanhas tradicionais de smishing que dependem de mensagens não solicitadas para direcionar o tráfego, essas operações de compras falsas têm como alvo usuários que buscam ativamente produtos e serviços por meio de canais aparentemente legítimos.
Os agentes de ameaças empregam uma estratégia de publicidade sofisticada para essas lojas falsas, incluindo a compra de espaço publicitário de plataformas como Meta, TikTok e Google.
A evolução mais recente observada envolveu o direcionamento de grandes corretoras globais, com essas páginas de phishing projetadas para facilitar a aquisição de contas no setor financeiro, em vez do roubo de cartões.