.
Parece o enredo de uma série de suspense romcom-slash da Netflix um tanto rebuscada, talvez anunciada como Você atende Na minha casa ou na suacaindo bem a tempo para o Dia dos Namorados.
Nele, um matança de porco A golpista romântica tem como alvo sua próxima vítima: a principal pesquisadora de ameaças da Sophos. O setor de segurança provavelmente gostaria que esclarecêssemos que ninguém foi assassinado durante esta pesquisa.
E embora a Netflix provavelmente não o compre para uma série completa, temos que observar a pura estupidez – de grupos de crimes cibernéticos visando um pesquisador de empresa de segurança para seu golpe. E sim, isso é anéis – plural; um baseado em Hong Kong e o último no Camboja.
“Fui abordado pessoalmente por várias operações fraudulentas separadas, cada uma executando diferentes variações no abate de porcos”, disse o principal pesquisador de ameaças da Sophos, Sean Gallagher. escreveu em um post de blog hoje sobre uma dessas tentativas.
Alerta de spoiler: Gallagher não perde todas as economias de sua vida nem encontra seu verdadeiro amor neste conto, que não custará uma assinatura mensal para você aproveitar.
Uma equipe baseada em Hong Kong está por trás desse golpe ainda ativo, que usa o aplicativo MetaTrader 4 para executar um falso mercado de negociação de ouro. MetaTrader 4 é um aplicativo de negociação legítimo desenvolvido por uma empresa de software russa que foi ligado a outros golpes de criptomoeda.
Curiosamente, o golpista, se passando por uma mulher de 40 anos chamada Chen Zimo, de Hong Kong, inicialmente procurou Gallagher por meio de uma mensagem direta no Twitter, em oposição à rota mais tradicional de aplicativos de namoro. do golpista perfil do twitter ainda está ativo, apesar da Sophos relatar isso.
“Começando com um ‘Hallo’, o golpista me envolveu em mensagens diretas no Twitter para determinar se eu era um alvo adequado para o golpe”, escreveu Gallagher.
Aparentemente, mesmo revelando que ele era um pesquisador de ameaças de segurança cibernética que investigava golpes não foi suficiente para deter o vigarista, que rapidamente mudou a conversa para investir no mercado de ouro.
Este golpista não gostava de conversa fiada ou mensagens de flerte, como alguns outros fraudadores que usam mentiras mais elaboradas para induzir os alvos a investir.
Ela logo transferiu as mensagens do Twitter para o Telegram. Gallagher verificou o número de telefone vinculado à conta, que acabou sendo uma operadora de celular do Reino Unido que fornece suporte 3G e discagem Wi-Fi – essencialmente, voz sobre IP – e disse que o golpista mudou o nome da conta do Telegram para Chen Zimo para corresponder ao nome no Twitter.
A partir daí, Zimo deu a Gallagher o nome de uma falsa plataforma de mercado projetada para parecer uma operação legítima do Japão. Na verdade, o site falso da empresa fictícia está hospedado em Hong Kong, e pesquisas adicionais revelaram “sites quase idênticos para várias outras marcas”, escreveu Gallagher.
Zimo então instruiu Gallagher a baixar o aplicativo móvel do site falso – não do Google Play oficial, Apple App Store ou Microsoft Store. Acontece que o aplicativo MetaTrader 4 baixado do site falso foi modificado: os dados de conexão de todas as três versões do aplicativo foram alterados para adicionar servidores maliciosos controlados por invasores.
Além disso, o aplicativo iOS exigia a aceitação de um perfil de gerenciamento de dispositivo móvel corporativo conectando o telefone da vítima a um servidor na China.
Daqui em diante, o golpe segue um roteiro típico de “oportunidade de investimento”. Gallagher foi instruído a enviar um monte de informações de identificação pessoal, incluindo fotos de documentos de identificação do governo e números de identificação fiscal. Então, se Gallagher fosse uma vítima real, ele teria transferido dinheiro para os golpistas – um “imposto sobre ganhos” inicial – e provavelmente nunca teria ouvido falar dos golpistas novamente.
Infraestrutura ‘Whack-a-mole’
Desativar esses e outros golpes semelhantes, como jogar “whack-a-mole”: quando um conjunto de certificados de aplicativos e infraestrutura é retirado, outro surge rapidamente para ocupar seu lugar, disse Gallagher.
Ele observou que, embora a maioria dos elementos dos aplicativos falsos fosse hospedada em Binfang e Alibaba, algum conteúdo era fornecido por Cloudflare e alguns certificados eram testados usando Akamai.
A equipe da Sophos também denunciou o golpe ao CERT do Japão – porque a falsa marca de comércio de ouro imitava uma instituição financeira japonesa – junto com Apple, Google e “outros”, de acordo com o blog.
“Relatamos a ‘equipe’ inicial de distribuição de aplicativos corporativos à Apple e rotulamos os domínios como hosts de malware em nosso banco de dados de reputação”, escreveu Gallagher.
Ainda assim, os golpistas permaneceram um passo à frente e simplesmente mudaram suas operações para novos domínios, enquanto forneciam a Gallagher instruções passo a passo sobre como acessar a nova infraestrutura de download e o perfil de provisionamento móvel corporativo.
“Devido à natureza fluida do lado técnico desses golpes”, escreveu Gallagher, “a única defesa confiável contra eles é a conscientização pública de como essas ameaças operam”.
Detalhes completos da operação no Camboja serão divulgados de acordo com as regras de divulgação responsável em uma data posterior. ®
.
