No post de hoje, a ESET traz para você um novo golpe que está sendo aplicado pelos cibercriminosos. Desta vez, os emoticons voltaram a ser utilizados para aplicar fraudes, prometendo às vítimas supostos novos emoticons românticos para usar no WhatsApp.
Ao acessar o link, a vítima é informada que, para obter os novos emoticons, deve compartilhar a mensagem com 10 pessoas ou em 3 grupos diferentes. No entanto, ao cumprir o requisito de compartilhamento, nenhum novo emoticon é ativado. Ao invés disso, a vítima é redirecionada para páginas de anúncios ou de registro de serviços pagos não solicitados.
Para aumentar a eficiência do golpe (mesmo não realizando os compartilhamentos), a vítima é redirecionada para o mesmo link de anúncio/registro ao qual seria submetida caso compartilhasse a mensagem.
É importante estar atento para não correr o risco de se inscrever em serviços pagos, sem se dar conta de que não se trata dos desejados novos emoticons. Além disso, sempre que um registro ocorre, o fraudador recebe uma comissão pela conversão.
Montagem da fraude
A intenção do fraudador nesse golpe é enganar as vítimas e captar comissão das conversões realizadas. A montagem dessa fraude é de baixa complexidade técnica, uma vez que o intuito é converter através da viralização e não da sofisticação.
A página carregada, ao abrir o link da mensagem, possui um controle via Javascript para modificar sua aparência, conforme os compartilhamentos são realizados. Além disso, após a conclusão dos compartilhamentos, redireciona os usuários às páginas de subscrição.
As funções de controle e aparência dos botões “Compartilhar” e “Continuar” são modificadas de acordo com o estágio em que a vítima se encontra.
A viralização é viabilizada pela função fn1(), onde é feita uma verificação do user agent, do navegador do usuário, para tentar garantir que o acesso seja realizado a partir de um dispositivo móvel.
Algo que chama atenção, na função de viralização fn1(), é o uso de um vetor (variável text) para ser utilizado na preparação da mensagem de viralização.
Esse vetor possui duas entradas contendo duas URLs iguais, que correspondem a URL da página do golpe. Isso sugere que o código está preparado para agregar novas URLs e pode ser reutilizado para outros golpes.
A função go() é executada após clicar no botão “Compartilhar”, abrindo uma nova janela com a URL da plataforma de publicidade que redireciona a vítima para os serviços de subscrição. Caso os compartilhamentos não sejam concluídos dentro de 5 minutos, a vitima é redirecionada para o mesmo link da função go().
É importante destacar que o serviço da plataforma de publicidade é legitimo e disponibiliza um link fixo que funciona como um rotador de anúncio, no entanto, este link é abusado pelo fraudador. Na verdade, o link deveria estar embutido em aplicativos que desejam realizar publicidade, mas o fraudador utiliza-o para realizar campanhas de viralização, o que não é permitido pela plataforma.
Anonimato dos fraudadores
Para proteger o anonimato, os fraudadores registraram o domínio sob a proteção do Domains by Proxy, que evita a publicação do nome e contatos do donos do domínio nas buscas de whois.
As informações de geolocalização do IP do site da fraude indicam que este servidor está hospedado em Madri.
Pelo conteúdo veiculado no golpe, é possível perceber que há a participação de brasileiros, pois são utilizadas expressões do cotidiano como “funcionou no meu whats!!”.
No entanto, ao analisar o código, é possível encontrar comentários em inglês e italiano, o que sugere que trechos de outros código foram reutilizados de excertos de código na internet ou que há a colaboração de membros de outros países.
Contramedida da plataforma de publicidade
Para evitar esse tipo de fraude, a plataforma de publicidade deveria gerar mecanismos que permitissem assegurar que cada link é acessado apenas uma vez. Assim, caso cada acesso (principalmente conversão) fosse vinculada a uma URL diferente, a fraude já não seria mais lucrativa.
Para combater esse tipo de fraude, a Google utiliza o recurso de auto-tagging através do parâmetro gclid, no Google AdWords. Este parâmetro é alterado sempre que o link do AdWords é requisitado e, portanto, cada URL é única e pode propiciar apenas uma conversão.
Cuidados com o WhatsApp
Esse golpe não visa infectar os smartphones das vítimas, apesar disso, não deixa de ter potenciais impactos financeiros. É necessário estar sempre atento para não clicar em links desconhecidos, principalmente quando o tema é chamativo.
É importante observar as implicações ao se registrar em serviços na internet. No caso do golpe destacado neste post, na maioria das vezes, as vítimas foram redirecionadas para serviços com crédito na conta da operadora de celular, descontados tão logo o regitro foi realizado. Além disso, procure evitar o compartilhamento desse tipo de campanha. Não seja mais uma vítima!
Saiba mais informações sobre como proteger seu WhatsApp.