É diferente, mas igualzinho: novo phishing rondando na praça

A fraude é fruto de uma variação do golpe mais sofisticado, que utiliza clonagem de página

ap.jpg

Anna tem 26 anos, mora em São Paulo e procurava por um apartamento na região central da cidade. Com fácil acesso à internet, ela buscou por imóveis mobiliados a preços acessíveis. Apesar de não ser real, Anna representa uma parcela expressiva da sociedade que desconhece os riscos que existem na Internet e não sabem como se proteger deles. Além disso, a personagem representa as vítimas deste Phishing. 

Quando se trata de "phishing", geralmente é comum pensarmos naqueles e-mail ou SMS padrão, que tentam enganar usuários para que acessem páginas destinadas a roubar seus dados confidenciais. Isso ainda existe, mas criminosos vêm também sofisticando cada vez mais seus ataques.

Recentemente, detectou-se uma variação desse ataque bastante elaborada: um criminoso utilizou sites de terceiros para convencer um usuário a transferir dinheiro para sua conta. Neste caso, a página utilizada para o golpe foi a plataforma de aluguéis de imóveis Airbnb.

É neste ponto em que nossa personagem entra. Assim como muitas outras pessoas, após uma breve pesquisa e alguns cliques em links indicados pelo buscador, Anna encontrou este anúncio:

(Anúncio em site conhecido e renomado. O anúncio está finalizado pois o print foi tirado após o atacante desaparecer)  

(Anúncio em site conhecido e renomado. O anúncio está finalizado pois o print foi tirado após o atacante desaparecer)
 

(Inclusive a descrição do apartamento foi construída para enganar os usuários)  

(Inclusive a descrição do apartamento foi construída para enganar os usuários)
 

A descrição do apartamento era tão convincente que Anna se interessou pelo anúncio. O imóvel tinha o perfil que melhor atendia às suas expectativas. Convencida de que havia encontrado o lugar ideal, a jovem entrou em contato com o "anunciante" e obteve a seguinte resposta:

(Resposta do atacante para interessados no anúncio)

(Resposta do atacante para interessados no anúncio)

"Oi, Meu nome é Roger. Eu sou engenheiro civil, nascido no Reino Unido. Estou procurando uma pessoa responsável que cuide muito bem da minha casa. Eu não estou atrás do dinheiro do aluguel, mas eu gostaria que a pessoa que alugasse a casa a visse como sua própria. Eu espero que você possa compartilhar algumas informações pessoais sobre você. 
O apartamento está mobiliado (como visto nas fotos). Tem máquina de lavar louças e máquina de lavar e secar roupas. Tem duas vagas de estacionamento, um depósito onde você pode depositar minha mobília (caso não goste dela ou não queira utilizá-la). Animais de estimação são permitidos. 
O aluguel do apartamento é R$ 1500 mensais e inclui condomínio e todos os serviços, como água, eletricidade, internet, TV a cabo, estacionamento etc. Não há nada mais a ser pago além disso. Estou procurando alguém para alugar entre 1 mês e 5 anos ou mais. 
O único problema é que eu tive que voltar para o Reino Unido, em Londres (onde estou agora). A propriedade está sendo administrada pelo Airbnb e eles vão lidar com todo o processo de aluguel.
Se você quiser saber mais sobre o processo de aluguel, por favor me avise e eu mandarei para você o passo a passo do procedimento."

De forma convincente, o atacante simula exposição de sua vida pessoal para Anna. O objetivo é desenvolver um laço de confiança. O próximo passo é o envio deste e-mail:

Captura de Tela 2017-09-25 às 10.23.37.png

"Fico feliz que ainda esteja interessada no meu apartamento, aceito ter você como minha inquilina. Você pode fazer o booking pela Airbnb diretamente seguindo o link: hxxp://apt-sao-paulo-brazil-address12.unaux{.}com/av-paulista-sao-paulo-brazil/booking.html
O link ficará disponível por 24 horas. se você não conseguir fazer o booking neste período, por favor, me avise e eu providenciarei um novo.
Você receberá uma notificação da empresa de aluguel com as instruções que você precisará seguir, assim como a fatura. Para assegurar o aluguel do apartamento, você será instruída a depositar os dois primeiros meses para a agência e então você começa a pagar o aluguel a partir do terceiro mês depois que se mudar. As chaves e o contrato de aluguel serão entregues pela agência no seu endereço atual no mesmo dia que o depósito for pago ou você pode se encontrar com o agente no apartamento quando você chegar. Você terá cinco dias de inspeção a partir do dia que receber as chaves e o contrato. Se você estiver satisfeita com o apartamento, tudo que terá que fazer é assinar o contrato e informar a agência. Se não assinar o contrato, você receberá integralmente o seu dinheiro de volta no mesmo dia que tomar a decisão de não alugar. Após mudar-se para o apartamento, o pagamento será enviado diretamente para minha conta bancária.

Caso deseje prosseguir, por favor, siga as instruções no link do Airbnb, e claro, tenha certeza de que o pagamento esteja disponível e, por favor, responda com seu nome completo e endereço atual (onde deseja receber as chaves) para informar o Airbnb.

Estou ansioso para nos falarmos novamente. Obrigado pelo seu tempo e por sua cooperação.

Atenciosamente, 
Roger."

 

Assim como grande parte dos cidadãos, Anna não entende muito de segurança da informação e não têm conhecimento suficiente para reconhecer ataques. Inocentemente, ela acaba clicando no link enviado pelo atacante, convicta de que está sendo redirecionada para a página oficial do Airbnb.

  • Este é o link da página real do Airbnb: https://www.airbnb.com.br/
  • Este é o link em que Anna clicou: hxxp://apt-sao-paulo-brazil-address12.unaux{.}com/av-paulista-sao-paulo-brazil/booking.html
(Site clonado do Airbnb)

(Site clonado do Airbnb)

(Site clonado do airbnb)

(Site clonado do airbnb)

Sem desconfiar e sem verificar a URL, a jovem segue para a requisição do aluguel do apartamento e se depara com a seguinte página:

Após preencher o formulário com seus dados e clicar em “enviar”, ela recebeu o seguinte PDF: 

(É neste momento que os usuários compartilham suas informações pessoais com o atacante)

(É neste momento que os usuários compartilham suas informações pessoais com o atacante)

Para concluir o aluguel, Anna transferiu o dinheiro requisitado pelo criminoso. Com o pagamento, o suposto locatário desapareceu e ela se deu conta do golpe. 

Apesar desta campanha ter sido finalizada no Airbnb, ainda há versões ativas a partir de outros sites de locação de imóveis:

(Imagem requisitando transferência de dinheiro via Moneygram)

(Imagem requisitando transferência de dinheiro via Moneygram)

Além disso, tais sites têm compartilhado a propaganda do anúncio nas redes sociais, provando que essas páginas ainda não detectaram o phishing. Inclusive, este é um cenário que beneficia o atacante, já que as chances de “fisgar” as vítimas é maior.

Captura de Tela 2017-09-25 às 10.52.49.png

 

Como evitar cair em golpes como esse

1- Confira o URL

Hoje já não é mais possível afirmar que um endereço com “HTTPS” é seguro. Já existem phishings que simulam esse protocolo. Neste caso, preste bastante atenção nos domínios dos sites que acessar. Como foi possível ver, no link encaminhado pelo atacante não havia menção ao Airbnb. Este é um indicativo para dar um sinal de alerta.

2- Procure opiniões

Quando o assunto é fazer transações na internet, seja em compras ou, como neste exemplo, seja um aluguel, buscar opiniões de terceiros sobre o site ou promoção pode evitar que o usuário caia em golpes ou tenha seus dados confidenciais roubados. 

Uma busca rápida no site Reclame Aqui, por exemplo, mostrou que esta campanha já havia sido aplicada antes.
 

(Propaganda do phishing no Facebook)

(Propaganda do phishing no Facebook)

 

3- Visite o local

Quando se trata de alugar um imóvel, visitar o local é essencial e com isso pode-se descobrir facilmente o golpe. É provável que o apartamento divulgado na oferta sequer esteja vago. Falar com porteiros e vizinhos desse suposto locatário pode evidenciar a farsa. Caso não exista a possibilidade de visitar o local, busque outras maneiras de checar a veracidade do empreendimento. 

 

O que fazer caso se torne uma vítima

Caso tenha sido vítima deste golpe ou conheça alguém que foi induzido a realizar o pagamento, procure uma delegacia comum ou uma delegacia especializada em cibercrimes e faça a denúncia. 

É com base nas informações de vítimas que os órgãos responsáveis desenvolvem estratégias de investigação em casos como esse. Deixar de prestar queixa dificulta o mapeamento desses golpes e, portanto, a responsabilização dos cibercriminosos. 

 

Edição: Ana Carolina Saccardo

Fonte: Flipside