As autoridades de aplicação da lei na Holanda prenderam dois supostos indivíduos pertencentes a um coletivo cibercriminoso holandês que estava envolvido no desenvolvimento, venda e aluguel de estruturas sofisticadas de phishing para outros agentes de ameaça no que é conhecido como operação de "fraude como serviço"
Os suspeitos presos, um engenheiro de software de 24 anos e um menino de 15, teriam sido os principais desenvolvedores e vendedores das estruturas de phishing utilizadas para coletar dados de login de clientes do banco. Os ataques visaram principalmente usuários na Holanda e na Bélgica.
Acredita-se que esteja ativo desde pelo menos 2020, o sindicato do cibercriminoso recebeu o codinome de " Família de fraudes " pela empresa de segurança cibernética Group-IB. As estruturas vêm com kits de phishing, ferramentas projetadas para roubar informações e painéis da web, que permitem que os fraudadores interajam com o site de phishing real em tempo real e recuperem os dados do usuário roubados.
"As estruturas de phishing permitem que invasores com habilidades mínimas otimizem a criação e o design de campanhas de phishing para realizar operações fraudulentas maciças ao mesmo tempo que contornam a 2FA", afirma Roberto Martinez, analista sênior de inteligência de ameaças do Group-IB Europe, e Anton Ushakov, vice-chefe da o departamento de investigação de crimes de alta tecnologia, em um relatório, acrescentando que a gangue "anuncia seus serviços e interage com outros criminosos cibernéticos no mensageiro do Telegram"
Infecções envolvendo Fraud Family começam com uma mensagem de e-mail, SMS ou WhatsApp que se faz passar por marcas locais conhecidas contendo links maliciosos que, quando clicados, redirecionam o destinatário desavisado para sites de phishing de roubo de informações de pagamento controlados por adversários. Em um cenário de ataque alternativo, os fraudadores foram observados se passando por um comprador em uma plataforma de anúncios classificados holandesa para entrar em contato com um vendedor e, posteriormente, mover a conversa para o WhatsApp para enganar este último a visitar um site de phishing.
Os pesquisadores do Grupo IB observaram o "alto nível de personalização" oferecido pelos sites de phishing, que não apenas personificam um mercado holandês legítimo, mas também afirmam usar um sistema de pagamento de comércio eletrônico bem conhecido no país, apenas para levar a vítima para uma página da Web de um banco falso, de onde as credenciais são desviados com base no banco selecionado.
"Quando as vítimas enviam suas credenciais bancárias, o site de phishing as envia para o painel da web controlado pelo fraudador", disse o Group-IB. "Este realmente notifica os malfeitores que uma nova vítima está online. Os golpistas podem então solicitar informações adicionais que os ajudarão a obter acesso às contas bancárias, incluindo tokens de autenticação de dois fatores e informações pessoais identificáveis."
De acordo com mensagens postadas pelo grupo no Telegram, os painéis web - um dos quais é um fork de outro painel chamado " U-Admin " - podem ser alugados por € 200 mensais (Painel Express), ou por € 250 se outros cibercriminosos opte pelo painel confiável (ou administrador confiável). Até à data, foram identificados nada menos do que oito canais de Telegram operados pela Fraud Family, com os canais com 2.000 assinantes entre eles.
"Os ataques que contam com a infraestrutura da Fraud Family aumentaram nos últimos meses de 2020", disseram os pesquisadores do Group-IB. "Essa tendência continua em 2021 com o surgimento do Painel Expresso e do Painel Confiável."
