Pesquisadores de segurança descobriram uma rede altamente avançada de sindicatos cibercriminosos de língua chinesa orquestrando ataques de smishing que exploram a tokenização da carteira digital, potencialmente comprometendo até 115 milhões de cartões de pagamento somente nos Estados Unidos.
Essas operações, que evoluíram drasticamente desde agosto de 2023, aproveitam as plataformas de phishing como serviço (PaaS) para coletar credenciais e contornar Autenticação multifator (MFA), transformando dados de cartões roubados em ativos tokenizados em ecossistemas como Apple Pay e Google Wallet.
Operações de smishing visam carteiras digitais
Ao contrário da fraude tradicional de cartão não presente (CNP), esse método contorna os sistemas legados de detecção de fraudes provisionando cartões em dispositivos controlados por invasores, permitindo pagamentos sem contato contínuos, transações online e até ataques de retransmissão NFC para monetização global sem padrões diretos de uso de cartão acionando alertas.
Os sindicatos, liderados por atores como “Lao Wang” (também conhecido como Wang Duo Yu), desenvolveram kits de phishing resilientes com geofencing, aplicação de agentes de usuário móvel e bloqueio de IP para evitar a detecção de fornecedores de segurança e redes Tor.
As iscas iniciais via SMS, iMessage ou mensagens RCS se passam por serviços como USPS ou pagamentos de pedágio, orientando as vítimas por meio de processos de coleta de dados em vários estágios que capturam informações de identificação pessoal (PII), detalhes do cartão enriquecidos por meio de bancos de dados integrados de Número de Identificação Bancária (BIN) e códigos OTP em tempo real para provisionamento de carteira.
Em agosto de 2024, a plataforma “Lighthouse” de Lao Wang introduziu front-ends modulares, controle de acesso baseado em função (RBAC) e captura de pressionamento de tecla baseada em AJAX, suportando mais de 80 países e expandindo de 17 para centenas de marcas direcionadas.
De acordo com o relatório, essa infraestrutura semelhante ao SaaS inclui integrações WordPress e WooCommerce para sites de comércio eletrônico falsos, onde as vítimas inserem credenciais durante checkouts aparentemente legítimos, aprimorados ainda mais pelos módulos de controle de conta do PayPal.
Táticas de monetização em evolução
As estratégias de monetização demonstram profunda perspicácia técnica, com as operadoras provisionando de 4 a 7 cartões por dispositivo para vítimas dos EUA e de 7 a 10 para alvos do Reino Unido em modelos de iPhone mais antigos para explorar recursos de segurança mais fracos.
As atividades fraudulentas incluem transações de alta velocidade após um período de inatividade de 2 a 10 dias, lavagem física de PDV por meio de contas de comerciantes mal-intencionadas em plataformas como Stripe ou Flutterwave e vendas no atacado de dispositivos pré-carregados enviados por frete aéreo.
O ecossistema gerou concorrentes como Chen Lun, PepsiDog, Darcula (lidando com 80-90% dos URLs de smishing observados), XinXin, Loja do Pandae Mouse, cada um especializado em destinos regionais e empregando controle de versão baseado em Git para troca rápida de marca.
Expansões recentes em phishing de corretagem para aquisições de contas permitem exfiltração por transferência eletrônica ou esquemas de pump and dump usando contas comprometidas para manipular penny stocks.
As avaliações de impacto, com base na análise de domínio de 32.094 sites temáticos do USPS entre julho de 2023 e outubro de 2024, estimam de 12,7 a 115 milhões de cartões comprometidos, fatorando médias de 387-3.485 cartões por domínio de estudos independentes.
Essa escala sem precedentes impõe custos enormes às instituições financeiras para reemissão, investigações e remediação de cartões, exacerbados pela mudança dos sindicatos para lojas virtuais falsas anunciadas no Meta, TikTok e Google, minando o treinamento tradicional de conscientização do usuário.
Para combater essas ameaças, os especialistas recomendam revisar o provisionamento de carteira digital com autenticação baseada em aplicativo, vinculação de dispositivos a aplicativos bancários, alertas de provisionamento em tempo real e controles do cliente, como congelamentos de provisionamento.
A colaboração entre setores entre bancos, gigantes da tecnologia como Apple e Google e provedores de telecomunicações é crucial para o compartilhamento de inteligência de ameaças e detecção de padrões.
Sem essas reformas, a natureza adaptável desses sindicatos, evidente em sua progressão de golpes básicos para impérios globais de PaaS, representa um risco existencial para a segurança do pagamento digital, exigindo uma ação coordenada imediata para mitigar perdas contínuas e futuras.
The Ultimate SOC-as-a-Service Pricing Guide for 2025
–Baixe de graça