Criminosos estão utilizando serviços legítimos para clonar gigantes do comércio eletrônico
3 de Abril de 2023

Criminosos brasileiros estão usando serviços legítimos de hospedagem e e-commerce para clonar sites de grandes marcas do setor, como forma de enganar usuários e obter dados pessoais e de cartão de crédito, além de pagamentos fraudulentos.

Nomes como Magazine Luiza e Amazon aparecem em uma nova campanha, que ganhou força no recente Dia do Consumidor com a ajuda de anúncios patrocinados em plataformas de busca.

A sequência de golpes utiliza duas plataformas para ludibriar os clientes; o site fraudulento em si é hospedado nos sistemas da Shopify, enquanto a Ist Pay foi a intermediária de pagamentos usada para receber valores relacionados a falsos produtos.

Itens de todos os tipos eram anunciados em nome das duas varejistas, variando desde pneus até placas de vídeo.

A campanha denunciada ao Canaltech pelo especialista em segurança que se identifica como Cool Carlos segue em andamento.

Páginas fraudulentas seguem sendo publicadas e anunciando os mesmos produtos, usando técnicas comuns em golpes de phishing, como valores abaixo dos praticados pelo mercado e pagamento facilitado.

A utilização de serviços conhecidos, enquanto isso, diminui a chance de identificação por sistemas automatizados de proteção.

Os valores irreais, aliás, são os primeiros sinais de golpe.

Nas páginas falsas, um televisor smart da Samsung, de 43 polegadas, é anunciado por apenas R$ 705 — no mercado, o mesmo modelo sai em torno dos R$ 1.799.

Outro exemplo é uma placa de vídeo GeForce RTX 3060, da fabricante iGame, listada por menos da metade do preço oficial: R$ 1.340, enquanto uma pesquisa rápida mostra o modelo variando entre R$ 3.899 e R$ 4.999.

O uso de plataformas legítimas para aplicação dos golpes, como os anúncios patrocinados e sites reconhecidos de comércio eletrônico, faz com que os bandidos não sejam cautelosos com outros elementos.

Além da URL que nem tenta ser similar às das lojas oficiais, em uma das páginas, o e-mail de contato listado que pertenceria à Amazon é de outra empresa, chamada Shop Varejo Independência, enquanto o endereço é de um bairro residencial na cidade de Belo Horizonte (MG).

Em outros casos, nem mesmo parece haver uma intenção de esconder o golpe, tamanha a confiança nas táticas.

Um anúncio adquirido no Google em nome de “americans”, por exemplo, leva os usuários a um anúncio de placa de vídeo com layout do Magazine Luiza e endereço falso em um prédio que não existe na cidade de São José dos Campos (SP).

O e-mail para contato já deixa claro o golpe, com o usuário “nemtentaqueemelhor” atendendo em um serviço gratuito de correio eletrônico.

“Com pesquisa simples, é possível encontrar alguns destes links patrocinados de golpe”, indicou Cool Carlos.

“Já encontrei métodos similares sendo usados em nome [de marcas] como Americanas, Carrefour, Casas Bahia, Renner e outras lojas conhecidas”, continua, indicando o uso do Dia do Consumidor como um elemento que traz maior sucessos às fraudes, que pode ser repetido em outras datas sazonais como Páscoa, Dia das Mães e a Black Friday.

A denúncia feita à reportagem conversa diretamente com métodos que já vem sendo citados como tendências cibercriminosas.

Os ataques de phishing não param de crescer, a um ritmo de cerca de 15 sites falsos sendo criados todos os dias em nome de varejistas do comércio eletrônico, segundo dados da empresa de segurança Redbelt Security.

Ao lado deles, está o uso de técnicas de otimização e aquisição de propagandas para que as páginas fraudulentas apareçam acima das buscas legítimas em sites de pesquisa.

Um estudo publicado no início de março pela empresa de cibersegurança Tempest apontou esse aumento no interesse.

Em fóruns cibercriminosos, as menções a mecanismos desse tipo saíram do zero, há um ano, para a casa das centenas, enquanto páginas fraudulentas também são usadas para a disseminação de vírus ou realização de falsos cadastros visando o roubo de dados e credenciais.

Ao longo da apuração, algumas das páginas foram retiradas do ar, com um aviso da Shopify indicando que a loja acessada se tornou indisponível.

Entretanto, a cada dia, mais e mais sites fraudulentos continuavam a aparecer, com os anúncios correspondentes em motores de busca também ampliando a chance de descoberta das fraudes, que de acordo com Carlos, também pode estar sendo distribuída por e-mail, mensageiros instantâneos e redes sociais.

Enquanto a remoção dos sites indica atitudes por parte das empresas envolvidas, a proliferação dos golpes mostra que o esforço pode estar sendo insuficiente.

O Canaltech entrou em contato com a Shopify para falar sobre o caso, mas a empresa não respondeu até a publicação.

A Ist Pay também foi contatada por um e-mail de suporte, já que a assessoria de imprensa não pôde ser localizada; ela não havia retornado até o fechamento.

A atenção segue sendo a maior arma dos usuários para que evitem ser vítimas de golpes desse tipo.

Ficar de olho nos sites acessados e conferir se a URL corresponde ao domínio legítimo já ajuda a flagrar golpes desse tipo; erros de ortografia, marcas grafadas de forma diferente das oficiais ou a ausência de endereços válidos ou e-mails para contato também são fortes indicadores de fraude.

Usar um bom antivírus é importante, já que soluções de segurança podem alertar sobre links perigosos.

Desconfie, também, de preços muito abaixo dos praticados pelo mercado.

Basta uma pesquisa para descobrir quando um produto está custando por aí, mas claro, fique atento aos anúncios fraudulentos que servem justamente para corroborar os golpes.

Novamente, garanta que sua pesquisa seja feita em sites legítimos e reconhecidos.

Caso seja vítima de um golpe desse tipo, o ideal é alertar bancos e instituições financeiras para que os devidos bloqueios sejam realizados, enquanto a abertura de um boletim de ocorrência junto à autoridade policial serve como comprovação da fraude.

Depois, fique de olho no extrato bancário e na fatura do cartão, buscando compras indevidas e qualquer sinal de movimentação estranha.

Trocar senhas de e-mails, redes sociais e outros serviços são atitudes necessárias caso credenciais sejam obtidas em fraudes assim.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...