O FBI, com a Google e a empresa de segurança Black Lotus Labs, desligou uma das maiores fábricas de burla online de que há memória: uma operação chinesa com cerca de 9 mil sites falsos, mais de um milhão de endereços (URL) para roubar cartões e palavras-passe, e um rasto estimado em 3,8 milhões de cartões de crédito roubados e 1,9 mil milhões de dólares de prejuízo. Chamava-se Outsider Enterprise e estava ativa desde, pelo menos, 2023.
O número que interessa não é o prejuízo. É o «um milhão». Durante anos, o conselho contra o phishing (as mensagens e páginas que imitam uma marca de confiança para te roubar dados) foi sempre o mesmo: olha com atenção, confere o endereço, procura o cadeado, desconfia do erro de português. Esse conselho assentava numa ideia que nunca dizíamos em voz alta: a de que o site falso é raro e trabalhoso de montar. Já não é. Quando a fábrica produz um milhão de endereços descartáveis, não há atenção humana que chegue. Apanhas um, nascem mil.
Como funciona a fábrica
O modelo chama-se phishing-as-a-service, a burla vendida como serviço. Quem ataca não precisa de saber programar nem de montar nada: aluga o kit pronto, com os sites, os endereços e até um robô de apoio no Telegram. A Outsider Enterprise punha a inteligência artificial a escrever as mensagens e a gerar as páginas em massa, a imitar marcas conhecidas em SMS enviados pelas redes dos operadores. Só em duas semanas de maio, foram 2,5 milhões de mensagens disparadas para telemóveis Android. A Google, que também levou a operação a tribunal, fala em centenas de milhares de vítimas.
A resposta foi à altura do alvo. Dentro da Operação Riptide, o FBI apreendeu os servidores de administração, uma loja Shopify usada para testar os kits e cerca de 100 mil dólares em criptomoeda das carteiras de pagamento, e redirecionou milhares de domínios para uma página do próprio FBI. É uma vitória real e merece ser dita como tal. Mas é uma vitória sobre uma instância, não sobre o método.
Portugal não é exceção
Isto não é um problema americano. Em Portugal, o smishing (phishing por SMS) já é rotina: a falsa mensagem dos CTT a pedir uma taxa alfandegária, o falso aviso do cartão Continente com «pontos a expirar», o falso banco. A Polícia Judiciária deteve há pouco dois cidadãos estrangeiros numa operação de fraude por SMS, a «Token Out», com apreensão de criptomoeda; a PSP e a DECO já alertaram para o uso de números falsos nestas burlas. A mesma fábrica que ataca os Estados Unidos hoje serve qualquer outro mercado amanhã, e a tradução é o passo mais barato de todos.
A imagem que ajuda a ver o que mudou é a da cadeia de custódia. Durante anos, pedimos ao utilizador para ser ele o ponto de verificação, para examinar cada link como quem examina uma prova. Só que a prova passou a ser fabricada em série e deitada fora ao segundo. Não se pede a uma pessoa que valide um milhão de provas por dia. O ponto de verificação tem de sair de cima dos teus olhos e passar para a arquitetura: para o sistema que recusa a credencial roubada mesmo quando tu já caíste.
Como te proteges
A defesa que aguenta esta escala já existe, e o melhor é que não te obriga a detetar nada:
- Nunca ajas a partir de um link recebido por SMS. Se a mensagem diz ser do banco ou dos CTT, fecha-a e abre tu a app ou o site oficial pelo teu próprio caminho.
- Liga a verificação em dois passos resistente a phishing. As passkeys (chaves de acesso que substituem a palavra-passe) e as chaves de segurança físicas não funcionam no site errado, por mais perfeito que ele pareça.
- Usa um gestor de palavras-passe. Ele só preenche a credencial no domínio verdadeiro; num site falso fica calado, e esse silêncio é o teu aviso.
- Trata cada palavra-passe como única. Se uma página falsa apanhar uma, não consegue abrir mais nenhuma porta.
- Denuncia. Reencaminha o SMS suspeito e participa à Polícia Judiciária ou ao Centro Nacional de Cibersegurança. Cada denúncia ajuda a apagar o milhão seguinte mais depressa.
O FBI fez o trabalho difícil, e fê-lo bem. Mas a lição para ti não é aprenderes a apanhar links mais depressa do que uma máquina os fabrica. É deixares de depender de os apanhar.
Fonte: Bleeping Computer.
#StaySafe
🙏🖖
