Está a circular uma nova campanha de phishing através de SMS que tem em vista a obtenção de credenciais de acesso a contas de PayPal, adverte a empresa de cibersegurança ESET.
A campanha, que foi referida originalmente pelo site BleepingComputer, consiste em mensagens via SMS que simulam serem enviadas pelo PayPal e que “informam” as potenciais vítimas de que as suas contas foram “permanentemente limitadas” devido a atividade suspeita, razão pela qual deverão verificar a sua identidade, seguindo o link enviado nesse SMS.
À primeira vista, este é o tipo de mensagem que não parece ser imediatamente suspeita, uma vez que o PayPal impõe efetivamente limites ao envio e levantamento de dinheiro. E isto é feito sempre que existe uma suspeita de que a conta possa ter sido acedida por terceiros sem autorização, quando sejam detetadas “atividades de alto risco” na conta ou quando um utilizador viola a chamada Política de Utilização Aceitável (AUP – Acceptable Use Policy).
Contudo, neste caso, trata-se efetivamente de uma campanha de phishing baseada em SMS, também conhecida por smishing. E, quando clicamos no link incluído na mensagem, somos redirecionados para uma página de login falsa que irá requerer a introdução das nossas credenciais de utilizador do PayPal.
Caso a vítima faça efetivamente esse login fraudulento, as credenciais serão imediatamente enviadas para o autor do ciberataque, ao mesmo tempo que, na mesma página, haverá a tentativa de obter dados pessoais adicionais, tais como o nome completo, a data de nascimento e, até, detalhes da conta bancária.
Fazer-se passar por um popular processador de pagamentos eletrónicos não é uma tática nova, claro. Afinal, o PayPal é uma das empresas mais usadas em esquemas de phishing e as tentativas de obter credenciais de acesso e/ou dados pessoais têm sido feitas inúmeras vezes ao longo dos anos. A ESET tem até já desmontado e explicado o funcionamento de alguns deles.
No entanto, os cibercriminosos gostam de mudar as coisas e usar diferentes métodos de fraude do PayPal. Por exemplo, é muito habitual a utilização de mensagens indicando que o destinatário recebeu um determinado prémio, mas que, para o receber, será necessário pagar uma “taxa de transferência”; outra abordagem passa pelo envio de emails com faturas falsas como se tratasse de uma transferência feita a favor de uma obra de caridade ou similar.
Claro que, se o alvo das mensagens cai numa destas armadilhas, os dados obtidos pelos atacantes poderão ser usados para compras fraudulentas, fraude bancária ou até roubo de identidade. Os dados poderão também ser compilados em listas valiosas que são depois vendidas a outros cibercriminosos em lojas na dark web.
Pior: caso a vítima utilize as mesmas credenciais para aceder a outros serviços online, como tantas vezes sucede, os cibercriminosos poderão usar os dados obtidos para obterem acesso a outros contas, incluindo banca online, redes sociais e contas de email.
De forma a evitar ser alvo deste tipo de ataques, a ESET recomenda que tenha sempre em atenção qualquer mensagem que contenha um link e, em caso de dúvida, contacte sempre diretamente a entidade que supostamente lhe enviou a mensagem de forma a determinar se ela é legítima ou, pelo contrário, se trata de uma tentativa de roubo de dados pessoais.
Além disso deverá, sempre que possível, ativar métodos de autenticação de dois fatores (os quais requerem o envio de um código temporário além da combinação de nome de utilizador e password). De forma a não “reciclar” dados de acesso entre diferentes serviços, deverá também considerar a utilização de uma aplicação de gestão de passwords.