As operações de fraude deixaram de se limitar às técnicas tradicionais de hacking e passaram a explorar serviços legítimos e a infraestrutura do mundo real.
Ao combinar dados públicos, falhas nos processos de verificação de identidade e lacunas operacionais, grupos criminosos estão criando fluxos de fraude escaláveis, de baixo custo e difíceis de detectar.
Um tutorial compartilhado em um grupo de chat focado em fraude e analisado por pesquisadores da Flare traz um passo a passo sobre como identificar e explorar imóveis residenciais vazios para interceptar correspondências sensíveis, revelando um método de baixa complexidade técnica, mas altamente eficaz, para viabilizar roubo de identidade e fraude financeira.
Diferentemente de técnicas tradicionais de cibercrime que dependem de malware, phishing kits ou invasões de rede, o método descrito no material se concentra quase inteiramente no abuso de serviços legítimos e da logística física.
A abordagem combina open-source intelligence, recursos dos serviços postais e fraude com identidade falsa em um fluxo coordenado, criado para obter acesso persistente às correspondências das vítimas.
O tutorial começa com a identificação dos chamados “drop addresses”, imóveis residenciais reais que estão temporariamente desocupados e podem ser usados para receber cartas sem levantar suspeitas imediatas dos moradores legítimos.
Os criminosos são orientados a buscar plataformas imobiliárias como Zillow, Rightmove ou Zoopla, filtrando anúncios de imóveis recém-listados para aluguel.
Ao focar em publicações novas, os atacantes aumentam a chance de que o local esteja vazio ou em transição entre inquilinos.
A orientação também sugere a análise de anúncios mais antigos para identificar casas que permaneceram desocupadas por longos períodos, o que aumenta a confiabilidade desses endereços como pontos de recebimento.
Em alguns casos, os criminosos chegam a recomendar a manutenção física de propriedades abandonadas para que elas pareçam ocupadas, reduzindo o risco de chamar atenção enquanto o endereço é usado para fins fraudulentos.
Depois de encontrar um endereço adequado, a próxima etapa envolve o uso de serviços postais digitalizados e legítimos para descobrir e monitorar a chegada de correspondências.
O Informed Delivery, por exemplo, é um serviço gratuito que oferece aos consumidores residenciais prévias digitais das cartas que estão chegando e acompanha a entrega de pacotes.
Ao cadastrar esses serviços para o endereço escolhido, os criminosos conseguem monitorar remotamente as correspondências recebidas, identificando itens valiosos como documentos financeiros, cartões de crédito ou cartas de verificação antes mesmo de acessar fisicamente a caixa de correio.
Isso transforma a entrega de correspondência em um mecanismo de inteligência, permitindo uma fraude mais direcionada e eficiente.
Se o endereço já estiver cadastrado, o tutorial cita os pedidos de mudança de endereço como forma de retomar o controle da entrega das cartas.
Esses serviços são destinados a usuários legítimos que mudam de residência e estão amplamente disponíveis em sistemas postais como o USPS.
Nesse caso, é possível enviar uma solicitação de Change of Address, ou COA, permanente ou temporária, online ou presencialmente, permitindo o redirecionamento da correspondência para um novo local por períodos que variam de algumas semanas até 12 meses.
Outros serviços, como o Premium Forwarding, podem consolidar e redirecionar toda a correspondência recebida de forma recorrente.
Embora esses mecanismos incluam salvaguardas de verificação de identidade, como um pequeno pagamento online vinculado a um endereço de cobrança ou a apresentação de um documento oficial com foto presencialmente, o tutorial sugere que os criminosos consideram esses controles insuficientes ou aplicados de maneira inconsistente.
Em especial, a possibilidade de enviar solicitações de encaminhamento remotamente, combinada com verificações baseadas em endereço e não em uma identidade fortemente vinculada, pode abrir espaço para abuso quando há dados pessoais comprometidos ou forjados.
Com isso, o controle da entrega postal pode, em alguns casos, ser transferido sem qualquer interação direta com o morador legítimo, transformando um serviço pensado para conveniência em um possível vetor de redirecionamento não autorizado.
Nesse ponto, a operação deixa de ser apenas uma ação passiva de monitoramento e passa a incluir vigilância ativa, dando aos criminosos visibilidade suficiente para aumentar significativamente a taxa de sucesso das fraudes seguintes.
Depois de confirmar que correspondências valiosas estão sendo entregues, o fluxo passa para a criação de acesso de longo prazo por meio de serviços de encaminhamento de correspondência.
Os atores são instruídos a criar contas pessoais de caixa postal que permitam redirecionar toda a correspondência recebida no drop address para outro local sob seu controle.
Como esses serviços normalmente exigem verificação de identidade, os criminosos recorrem a identidades falsas, documentos forjados ou dados pessoais comprados para concluir o processo.
Essa etapa marca uma transição importante, da interceptação oportunista para o acesso persistente.
Com o encaminhamento configurado, os criminosos não precisam mais voltar ao local físico, reduzindo a exposição e mantendo acesso contínuo a informações sensíveis.
O uso de identidades falsas, muitas vezes com dados pessoais fabricados ou Credit Privacy Numbers, os CPNs, mostra como essa técnica se integra a ecossistemas mais amplos de fraude.
Em vez de atuar isoladamente, o abuso de drop addresses passa a ser apenas uma parte de uma cadeia que pode sustentar account takeover, fraude de crédito e golpes de reembolso.
Na prática, essas identidades falsas podem ser usadas para registrar serviços de caixa postal, enviar pedidos de encaminhamento ou receber correspondências financeiras sensíveis ligadas a contas de vítimas.
Isso permite que os criminosos unam o comprometimento digital ao acesso físico, completando etapas de verificação, interceptando materiais de autenticação ou criando novas contas sob identidades assumidas.
Assim, o controle de um endereço físico pode se tornar uma peça importante em operações de fraude que dependem tanto de credibilidade identitária quanto de acesso a canais legítimos de comunicação.
O método descrito no tutorial reflete uma evolução mais ampla nas operações de fraude, em que a coleta de intelligence digital se combina à manipulação do mundo físico.
Além de explorar plataformas online e serviços postais, os criminosos também relatam o uso de indivíduos, por vezes recrutados entre populações vulneráveis, para acessar fisicamente caixas de correio ou recolher itens entregues.
Isso adiciona uma camada humana à operação, permitindo terceirizar riscos e afastar ainda mais os autores diretos da atividade.
A atividade descrita no tutorial acompanha uma tendência mais ampla de fraude baseada em correspondência, documentada em relatórios recentes.
Segundo dados relacionados ao U.S.
Postal Inspection Service, os registros de roubo de correspondência cresceram de forma significativa nos últimos anos, com aumento de 139% nos furtos em receptáculos postais entre 2019 e 2023.
O impacto financeiro também é expressivo, com esquemas de roubo de correspondência ligados a centenas de milhões de dólares em atividades suspeitas associadas a check fraud.
Ao mesmo tempo, o abuso de serviços de redirecionamento postal, semelhante à técnica mencionada no tutorial, também avançou, com aumento acentuado ano a ano nas fraudes de change of address.
Juntas, essas tendências mostram como o controle da correspondência física se tornou valioso.
Ainda assim, o tutorial reconhece desafios operacionais.
Endereços virtuais e locais frequentemente reutilizados estão sendo cada vez mais sinalizados por instituições financeiras, indicando que os defensores já começam a incorporar sinais de risco baseados em endereço em seus modelos de detecção.
Por isso, os criminosos destacam a importância de encontrar endereços residenciais “limpos”, que ainda não tenham sido associados a atividades fraudulentas.
No conjunto, esses elementos mostram um modelo de fraude que não depende de grande sofisticação técnica, mas de coordenação, adaptação e uso estratégico de sistemas legítimos.
Embora pareça um tutorial isolado, o conteúdo faz parte de um fenômeno mais amplo, com materiais que ensinam como localizar endereços físicos de recebimento, alguns gratuitos e outros pagos.
O surgimento dessas técnicas evidencia um desafio crescente para as organizações, já que muitos dos sistemas explorados, como plataformas imobiliárias, serviços postais e processos de verificação de identidade, estão fora do alcance das defesas tradicionais de cibersegurança.
À medida que as operações de fraude evoluem, a detecção passa a depender cada vez mais da correlação de sinais entre diferentes domínios, incluindo padrões de uso de endereços, atividade de encaminhamento de correspondência e inconsistências de identidade.
Sem essa visão mais ampla, ataques que dependem de serviços legítimos em vez de exploits técnicos tendem a continuar escapando dos controles convencionais de segurança.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...