A empresa multinacional de transporte UPS está alertando os clientes do Canadá que algumas de suas informações pessoais podem ter sido expostas por meio de suas ferramentas de busca de pacotes online e abusadas em ataques de phishing.
À primeira vista, as cartas enviadas pela UPS Canadá, intituladas "Combatendo phishing e smishing - uma atualização da UPS", parecem ser um aviso aos clientes sobre os perigos do phishing.
No entanto, descobriu-se que esta é realmente uma notificação de violação de dados, com a empresa inserindo uma divulgação afirmando que tem recebido relatos de mensagens de phishing por SMS contendo os nomes dos destinatários e informações de endereço.
"A UPS está ciente de que alguns destinatários de pacotes receberam mensagens de texto fraudulentas exigindo pagamento antes que um pacote possa ser entregue", disse a UPS em uma carta compartilhada pelo analista de ameaças da Emsisoft, Brett Callow.
"As notificações de violação precisam ser absolutamente claras desde o início.
Enfeitá-las não ajuda ninguém e simplesmente aumenta as chances de que elas sejam colocadas no lixo sem serem lidas", disse Callow ao BleepingComputer.
Após receber os relatos de phishing, a UPS trabalhou com parceiros na cadeia de entrega para entender o método usado pelos atores de ameaça para coletar as informações de envio de seus alvos.
Após uma revisão interna, a UPS descobriu que os atacantes por trás desta campanha de phishing por SMS em andamento estavam usando suas ferramentas de busca de pacotes para acessar os detalhes de entrega, incluindo as informações de contato pessoal dos destinatários, entre fevereiro de 2022 e abril de 2023.
A empresa agora implementou medidas projetadas para restringir o acesso a esses dados sensíveis para frustrar essas tentativas convincentes de phishing.
A UPS diz que está notificando os indivíduos cujas informações podem ter sido afetadas para garantir transparência e conscientização da situação.
"As informações disponíveis por meio das ferramentas de busca de pacotes incluíam o nome do destinatário, endereço de envio e potencialmente o número de telefone e número do pedido", disse a UPS.
"Não podemos fornecer o período exato em que o uso indevido de nossas ferramentas de busca de pacotes ocorreu.
Pode ter afetado pacotes de um pequeno grupo de remetentes e alguns de seus clientes de 1º de fevereiro de 2022 a 24 de abril de 2023."
Os clientes da UPS em todo o mundo foram afetados por esses ataques de phishing, como mostrado por relatos online mostrando os atores de ameaça usando seus nomes, números de telefone e códigos postais, bem como informações sobre pedidos recentes.
De acordo com numerosas mensagens de texto maliciosas vistas pelo BleepingComputer e acredita-se que tenham sido enviadas durante esta campanha, os atores de ameaça estão se passando por remessas da LEGO e da Apple, com outras empresas provavelmente também sendo afetadas.
Um porta-voz da UPS não estava imediatamente disponível para comentar quando contatado pelo BleepingComputer hoje cedo sobre o número de clientes afetados e quais outros remetentes foram falsificados nos ataques.
Em setembro e julho, o Internal Revenue Service (IRS) e a Federal Communications Commission (FCC) alertaram os americanos sobre um aumento maciço em ataques de phishing por SMS.
As duas agências federais pediram que fossem cautelosos com mensagens de texto vindas de números desconhecidos com links suspeitos e muitas vezes contendo informações enganosas e incompletas.
Para se defender contra esses ataques, nunca clique em links embutidos em mensagens suspeitas ou responda com informações confidenciais.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...