Já falamos diversas vezes sobre as falsas campanhas que circulam no WhatsApp, que vão desde a falsa possibilidade de mudar a cor do seu aplicativo até ofertas de emprego no SAMU. A quantidade de campanhas de phishing através de aplicativos de troca de mensagens, como o WhatsApp, é uma vertente que tende a receber cada vez mais campanhas maliciosas com o passar do tempo. Prova disso é esta falsa campanha que se faz passar pela Adidas e que, em apenas 3 dias de funcionamento, já afetou mais de 21.000 usuários, segundo o site HypeStat.
Antes de falarmos mais sobre esta campanha, explicaremos por que desse tipo de ameaça é cada vez mais comum.
Por que vemos tanto esse tipo de ataque
Antes de entrar um pouco mais na parte mecânica de como este golpe funciona, quero fazer um comparativo para que as pessoas mais leigas em tecnologia possam entender o golpe. Imagine que você é dono de uma empresa de bolos e pretende que a maior quantidade possível de pessoas compre o seu produto. Para isso, você tem duas estratégias de venda: anunciar os seus bolos no jornal (circulação diária) ou na rádio da cidade (divulgação de hora em hora). Para escolher em qual meio deve anunciar, você deu uma olhada em uma simples pesquisa:
- 3 de cada 10 habitantes da cidade leem o jornal
- 9 de cada 10 habitantes da cidade ouvem a rádio
Como queremos que a maior quantidade possível de pessoas compre os seus bolos, a escolha mais lógica seria anunciar na rádio, não é mesmo?
É exatamente isso que os cibercriminosos fazem, eles sabem que a quantidade de pessoas com acesso ao WhatsApp é muito grande, e, consequentemente, mais pessoas terão a chance de clicar no link malicioso criado por eles. Provavelmente, caso algum dia outro aplicativo (que não o WhatsApp) se torne também popular, os criminosos começarão a usar este outro aplicativo.
A ameaça
Agora que esclarecemos os motivos pelos quais está sendo cada vez mais comuns ataques através de aplicativos de troca de mensagens, vamos falar sobre a ameaça.
A propagação
Diversas campanhas maliciosas que circulam pelo celular via SMS, WhatsApp, entre outros, são distribuídas a princípio para uma vasta lista de contatos. Os criminosos obtêm estes números de telefone de diversas formas, através de bases de dados encontradas na Internet, por meio de pesquisas dentro de sites mal configurados ou até mesmo por outras campanhas maliciosas que induzem os usuários a preencherem formulários com seus dados pessoais.
As perguntas
Não é raro que este tipo de ataque tenha uma espécie de quis, perguntas em diferentes páginas para que o usuário responda antes de prosseguir. Quase todas as páginas são destinadas a gerar algum tipo de lucro para os cibercriminosos e a resposta das perguntas exibidas não costumam fazer diferença para a continuidade do processo.
Abaixo vemos uma página de perguntas e o código exibido para os botões das opções que o usuário pode escolher. Percebam que os dois botões têm exatamente a mesma função, tornando a resposta do usuário irrelevante para o processo.
A monetização
No caso desta campanha, as vítimas respondem perguntas em três diferentes páginas e em cada uma delas há uma publicidade, a mudança das páginas gera um pequeno retorno financeiro imediato ao criminoso.
Ainda segundo o portal HypeStat, a estimativa de retorno financeiro mensal para o site desta campanha maliciosa é de aproximadamente 111 dólares.
O ciclo
Esta campanha é como diversas outras que analisamos em publicações anteriores: após a resposta de todas as perguntas, as vítimas são instruídas a compartilhar o link da falsa campanha com mais 15 contatos.
Após o compartilhamento, as vítimas terão apenas que escolher o brinde que supostamente receberão e tudo estará concluído. No entanto, ao tentar concluir o processo selecionando o botão “ESCOLHER TAMANHOS”, os usuários recebem a mensagem de que terão que enviar a campanha falsa para mais contatos e, desta forma, poder prosseguir.
Observação: Caso o botão “ESCOLHER TAMANHOS” seja selecionado antes do compartilhamento, com pelo menos 15 usuários, a vítima seria redirecionada para diversas páginas de publicidade, entre elas uma página de download de extensão de browser chamada Incognito Searches, que muda o mecanismo de busca padrão do browser, solicita o download de conteúdo e exibe publicidade indesejada.
Com a necessidade de reenvio da campanha para mais pessoas, o ciclo da ameaça nunca se interrompe. Por isso, é necessário que todos fiquem cada vez mais atentos para este e outros tipos de golpe que, mesmo sem ter um malware (até o momento de análise desta campanha) presente em seu conteúdo, pode trazer uma série de dores de cabeça às vítimas.
Dicas para estar protegido
Separamos algumas dicas para que você se proteja dos criminosos:
- Pesquise e desconfie: Procure sobre quaisquer campanhas promocionais diretamente no site da empresa que a está ofertando e mantenha-se sempre atento sobre promoções que pareçam boas demais para serem verdade. Em geral, elas não são verdade mesmo.
- Cuide dos seus dados: Apesar de não ter sido o caso desta campanha, diversas delas solicitam que as vítimas preencham formulários com seus dados cadastrais. Nunca preencha dados em sites que tenham sido sugeridos em outras plataformas, seja por e-mail, WhatsApp, SMS ou de qualquer outra forma. Sempre acesse o site oficial da empresa ou serviço.
- Proteja seu smartphone: Muitas pessoas hoje em dia cuidam da segurança apenas dos computadores e notebooks e se esquecem que quase tudo é feito através dos smartphones. Pagamento de contas, acesso a e-mails, aplicativos de transporte, tudo gira em torno deste dispositivo que está sempre conosco. Por isso, é essencial que os dispositivos estejam sempre protegidos com softwares de segurança capazes de deter ameaças dos mais diversos tipos.
- Atualize: Diversos recursos de segurança são fornecidos com atualizações de software em geral, seja o próprio Windows, Android ou iOS, ou os aplicativos internos instalados posteriormente. Mantenha todos sempre atualizados.