Serviço de phishing por assinatura usa iMessage para disparar mensagens

por | |
icone do Mensagens

A firma de segurança Catalyst publicou um artigo recentemente sobre um serviço de phishing chamado “Lucid”, o qual pode ser contratado por criminosos para performar ataques em massa via iMessage.

Esse detalhe é importante pois, ao contrário das tradicionais mensagens de SMS 1Short message service, ou serviço de mensagens curtas.2, as mensagens enviadas pelo sistema da Apple são criptografadas, o que significa que as operadoras não podem bloquear os números usados pelo “Lucid” para enviar mensagens de spam.

Lucid é uma plataforma sofisticada de Phishing-as-a-Service (PhAAS) operada por agentes de ameaças de língua chinesa, visando 169 entidades em 88 países globalmente […].

Seu modelo escalável e baseado em assinatura permite que os criminosos cibernéticos conduzam campanhas de phishing em larga escala para coletar detalhes de cartão de crédito para fraude financeira […].

Ainda de acordo com a firma, a XinXin — empresa por trás do serviço — diz ser capaz de enviar mais de 100.000 mensagens de phishing por dia pelo iMessage, algo que só é possível graças a manutenção de “fazendas de iPhones”, os quais rodam Contas Apple temporárias.

iPhone farm da XinXin

Além do iMessage, o serviço também consegue enviar mensagens via RCS 3 com criptografia — padrão que também passou recentemente a ser suportado pelos celulares da gigante de Cupertino.

E não para por aí: o serviço, que se descreve como um PhAAS 4, também oferece templates de páginas de phishing, como falsas páginas de banco, de taxas de pedágio, de pagamento de impostos e mais.

Como se proteger?

Como dito, mensagens de spam enviadas pelo iMessage costumam ser mais difíceis de serem detectadas do que imagens enviadas por meio mais tradicionais, então é sempre bom desconfiar de qualquer tentativa de comunicação por parte de empresas pelo serviço da Apple, por mais legítima que ela possa parecer (principalmente se tiver algum tipo de pagamento envolvido).

Isso inclui nunca clicar em links ou arquivos suspeitos enviados por estranhos, e também nunca fornecer dados sensíveis como documentos ou credenciais de login.

via Macworld

Notas de rodapé

1    
2    
3    Rich communications service, ou serviço de comunicação rico.
4    phishing-as-a-service, ou phishing como um serviço.
Adicionar aos favoritos o Link permanente.