Smishing-as-a-Service é a nova, e também velha, ameaça para roubar clientes de bancos

Destaques do estudo

De acordo com o estudo de Thill, o Neo_Net tem conduzido uma extensa campanha de e-Crime direcionada a clientes de bancos importantes em todo o mundo, de junho de 2021 a abril de 2023. O foco principal dos criminosos são bancos espanhóis e chilenos, tanto que 30 das 50 instituições financeiras-alvo têm sede na Espanha ou no Chile, incluindo grandes bancos como Santander, BBVA e CaixaBank. Instituições-alvo em outras regiões incluem Deutsche Bank, Crédit Agricole e ING.

Apesar de usar ferramentas relativamente pouco sofisticadas, o Neo_Net alcançou uma alta taxa de sucesso adaptando sua infraestrutura para alvos específicos, o que resultou no roubo de mais de 350 mil euros das contas bancárias das vítimas e comprometeu informações de identificação pessoal (Personally Identifiable Information - PII) como números de telefone, de identidade nacional e nomes de milhares delas.

O Neo_Net estabeleceu e alugou uma ampla infraestrutura, incluindo painéis de phishing, software de smishing e trojans Android para vários afiliados; vendeu dados comprometidos de vítimas e lançou o Ankarex, uma oferta bem-sucedida de Smishing-as-a-Service, direcionada a vários países em todo o mundo.

A campanha emprega uma estratégia de ataque em vários estágios, começando com mensagens SMS de phishing direcionados, distribuídas pela Espanha e outros países, e usando o serviço proprietário da Neo_Net, o Ankarex, sua plataforma de Smishing-as-a-Service. Essas mensagens aproveitavam IDs de remetente (SIDs) para criar uma ilusão de autenticidade, imitando instituições financeiras respeitáveis para enganar as vítimas. 

As mensagens SMS usam várias táticas de intimidação, como alegar que a conta da vítima foi acessada por um dispositivo não autorizado ou que o limite do seu cartão foi temporariamente limitado devido a questões de segurança. As mensagens também contêm um hiperlink para uma página de phishing do criminoso. Essas páginas são projetadas para se assemelhar a aplicativos bancários genuínos, completos, com animações para criar uma fachada convincente.

Após o envio das credenciais, as informações das vítimas são exfiltradas ilicitamente para um bate-papo no Telegram por meio da API do Telegram Bot, concedendo aos criminosos acesso irrestrito aos dados roubados, incluindo os endereços IP e dados de usuário das vítimas.

O montante adquirido ilicitamente das vítimas durante um ano de operação totalizou, no mínimo, 350 mil euros. No entanto, é provável que o valor real seja significativamente maior, uma vez que operações e transações mais antigas, que não envolvem mensagens de confirmação por SMS, podem não ter sido totalmente contabilizadas devido à visibilidade limitada.

Saiba mais de Neo_Net

Os profissionais do CLM explicam que, além do serviço smishing, a Neo_Net também oferece leads, incluindo nomes de vítimas, endereços de e-mail, IBANs e números de telefone para venda no Ankarex Channel. Ele também anunciou seu serviço de spyware SMS para Android para membros selecionados.

Ao longo de sua operação de um ano, o Neo_Net foi rastreado até vários endereços IP exclusivos, indicando que ele atualmente reside no México. Neo_Net opera principalmente em países de língua espanhola e se comunica predominantemente em espanhol com suas afiliadas. A comunicação no Ankarex Channel é quase exclusivamente feita em espanhol.

No entanto, o Neo_Net também foi observado colaborando com pessoas que não falam espanhol, incluindo outro cibercriminoso identificado pelo Telegram como devilteam666. Essa operação em particular envolveu o uso do Google Ads visando proprietários de carteiras criptográficas, e o devilteam666 continua a oferecer serviços maliciosos do Google Ads em seu canal do Telegram.