Smith vasculhou o Reddit e outras fontes online para encontrar pessoas relatando o golpe e os URLs usados, o que ele publicado posteriormente. Alguns dos sites que executam as ferramentas do Smishing Triad estavam coletando milhares de informações pessoais de pessoas por dia, diz Smith. Entre outros detalhes, os sites solicitavam nomes, endereços, números de cartão de pagamento e códigos de segurança, números de telefone, datas de nascimento e sites bancários. Esse nível de informação pode permitir que um golpista faça compras on-line com os cartões de crédito. Smith diz que sua esposa cancelou rapidamente seu cartão, mas percebeu que os golpistas ainda tentavam usá-lo, por exemplo, com o Uber. O pesquisador diz que coletava dados de um site e retornava a ele algumas horas depois, apenas para encontrar centenas de novos registros.
O pesquisador forneceu os detalhes a um banco que o contatou após ver suas postagens iniciais no blog. Smith se recusou a nomear o banco. Ele também relatou os incidentes ao FBI e, mais tarde, forneceu informações ao United States Postal Inspection Service (USPIS).
Michael Martel, um oficial nacional de informação pública do USPIS, diz que as informações fornecidas por Smith estão sendo usadas como parte de uma investigação em andamento do USPIS e que a agência não pode comentar detalhes específicos. “O USPIS já está buscando ativamente esse tipo de informação para proteger o povo americano, identificar vítimas e fazer justiça aos atores maliciosos por trás de tudo isso”, diz Martel, apontando para conselhos sobre identificando e relatando golpes de entrega de pacotes do USPS.
Inicialmente, Smith diz que ele estava cauteloso sobre tornar pública sua pesquisa, pois esse tipo de “hacking back” cai em uma “área cinzenta”: pode estar violando o Computer Fraud and Abuse Act, uma lei abrangente de crimes de computador dos EUA, mas ele está fazendo isso contra criminosos estrangeiros. Algo que ele definitivamente não é o primeiro, ou o último, a fazer.
Múltiplas pontas
O Smishing Triad é prolífico. Além de usar serviços postais como iscas para seus golpes, o grupo de língua chinesa tem como alvo bancos online, comércio eletrônico e sistemas de pagamento nos EUA, Europa, Índia, Paquistão e Emirados Árabes Unidos, de acordo com Shawn Loveland, diretor de operações da Resecurity, que tem rastreado o grupo consistentemente.
A Smishing Triad envia entre 50.000 e 100.000 mensagens diariamente, de acordo com Pesquisa da Resecurity. Suas mensagens de golpe são enviadas usando SMS ou o iMessage da Apple, sendo este último criptografado. Loveland diz que a Tríade é composta por dois grupos distintos — uma pequena equipe liderada por um hacker chinês que cria, vende e mantém o kit de smishing, e um segundo grupo de pessoas que compram a ferramenta de golpes. (Um backdoor no kit permite que o criador acesse detalhes de administradores usando o kit, diz Smith em um postagem de blog.)
“É muito maduro”, diz Loveland sobre a operação. O grupo vende o kit de golpes no Telegram por uma assinatura de US$ 200 por mês, e isso pode ser personalizado para mostrar a organização que os golpistas estão tentando personificar. “O ator principal é chinês se comunicando em chinês”, diz Loveland. “Eles não parecem estar hackeando sites ou usuários em chinês.” (Em comunicações com o contato principal no Telegram, o indivíduo alegou a Smith que era um estudante de ciência da computação.)
O custo relativamente baixo da assinatura mensal do kit de smishing significa que é altamente provável, com o número de detalhes de cartão de crédito que os golpistas estão coletando, que aqueles que o usam estejam obtendo lucros significativos. Loveland diz que usar mensagens de texto que imediatamente enviam uma notificação às pessoas é uma forma mais direta e bem-sucedida de phishing, em comparação ao envio de e-mails com links maliciosos incluídos.
Como resultado, o smishing tem aumentado nos últimos anos. Mas há alguns sinais reveladores: se você receber uma mensagem de um número ou e-mail que não reconhece, se ele contiver um link para clicar ou se ele quiser que você faça algo urgentemente, você deve desconfiar.
