🚀 A CloudSEK se torna a primeira empresa de segurança cibernética de origem indiana a receber investimentos da Estado dos EUA fundo
🚀 CloudSEK se torna a primeira empresa indiana de segurança cibernética a fazer parceria com o The Private Office
🚀 O CloudSEK aumentou Rodada da Série B1 de $19 milhões — Potencializando o futuro da cibersegurança preditiva
Voltar
Scam

Expondo o uso indevido de e-mail da Qwiklabs em fraudes de pagamento sorrateiras envolvendo a configuração de contas comerciais da UPI

A equipe de inteligência de ameaças da CloudSEK descobriu um novo vetor de ataque para sujar a reputação da marca das organizações ao complementar a infraestrutura de fraude existente.
January 17, 2024
8
min
Tabela de conteúdo
Exemplo H2
Exemplo H2

Sumário executivo

A equipe de inteligência de ameaças da CloudSEK descobriu um novo vetor de ataque para sujar a reputação da marca das organizações ao complementar a infraestrutura de fraude existente.

Os agentes de ameaças sempre procuraram maneiras de fazer com que suas operações fraudulentas parecessem legítimas. Historicamente, vimos que, mesmo que o domínio falso ou o domínio fraudulento pareçam muito reais, o objetivo final do agente da ameaça é receber dinheiro das vítimas. Uma simples verificação geralmente revela se o pagamento está realmente indo para a organização desejada ou não.

Nesse vetor de ataque, a falta de verificação do nome da organização ao registrar uma conta comercial usando um provedor de pagamento torna bastante difícil para a vítima diferenciar entre um VPA/transação de comerciante legítimo e ilegítimo.

O Qwiklabs é uma plataforma baseada em nuvem que oferece experiências práticas de aprendizado para desenvolvedores e profissionais de TI. Ele fornece credenciais temporárias para o Google Cloud Platform (GCP) e outras plataformas de nuvem, permitindo que os usuários pratiquem suas habilidades em ambientes reais. Embora o uso pretendido das credenciais temporárias seja aprender habilidades do GCP, os agentes de ameaças estão abusando disso para adicionar uma camada de obscuridade ao usar essas credenciais para criar contas comerciais.

Análise e atribuição

Descobrimos o seguinte ao investigar esse vetor de ataque:

  

A captura de tela à direita é de um revendedor autorizado da Apple na Índia e todos os detalhes são verificáveis, incluindo o número do celular, as informações de e-mail e o site. Por outro lado, a captura de tela à esquerda é uma conta fraudulenta de comerciante pelos seguintes motivos:

  1. O botão Site é aberto https://accounts.google.com que não está relacionado à Apple
  2. O endereço de e-mail de contato é uma conta temporária fornecida ao assinar o qwiklabs

Captura de tela de como podemos ver o e-mail da conta do comerciante

Por que usar a Qwiklabs?

O Qwiklabs é usado porque, ao criar uma conta do Gmail e se inscrever no pay.google.com para configurar transações comerciais, é necessária uma verificação do número de telefone, o que pode causar problemas ao agente da ameaça. Ao se inscrever no qwiklabs, é necessário o seguinte -

  1. Um e-mail corporativo
  2. Nome completo
  3. Data de nascimento
  4. Senha

Por favor, note - Um provedor de caixa de entrada temporário, como temp-mail.org, pode ser usado para preencher o e-mail da empresa.

Depois que um invasor se conecta ao portal, ele pode escolher um plano de aprendizado que contenha um laboratório de aprendizado prático. Para isso, o qwiklabs fornece acesso temporário à caixa de entrada do Gmail. Essa caixa de entrada do Gmail é então usada para configurar um ID UPI do comerciante sem o uso de um número de telefone.

Mapa mental de como o golpe funciona

A conta acima foi criada sem divulgar nenhuma informação pessoal.

Vantagens deste método

  1. Divulgar pouca ou nenhuma informação durante o processo de inscrição
  2. Configurar uma conta com um nome comercial muito semelhante à marca que o atacante tem como alvo, conforme mostrado acima.
  3. A infraestrutura UPI também pode ser usada para solicitar uma transação da vítima
  4. A partir de 2023, os comerciantes também podem solicitar pagamentos por EMI às vítimas, portanto, o usuário só precisa cair no golpe uma vez e a ordem de pagamento será estabelecida.
  5. Um invasor pode criar várias caixas de correio temporárias usando o método qwiklabs.
  6. Será muito difícil para a vítima identificar uma transação iniciada de forma fraudulenta.
  7. Um agente de ameaças também pode gerar um alias de VPA (endereço privado virtual) específico da marca. A partir de agora, uma conta bancária permite 4 aliases.

Precauções

Um usuário pode tomar as seguintes precauções para se proteger desse tipo de esquema elaborado:

  1. Sempre verifique o valor final da transação que está sendo solicitado pelo comerciante
  2. Verifique os detalhes de contato do comerciante para o qual você está transferindo dinheiro
  3. Sempre verifique se o comerciante solicitou a definição de um mandato, isso drenaria a conta da vítima mensalmente sem inserir o PIN da UPI repetidamente.
  4. Sempre verifique se o comerciante é um comerciante verificado

Recomendações para provedores de pagamento

  1. Verifique com mais rigor os endereços de e-mail da qwiklabs que estão sendo usados para se inscrever.
  2. Melhores regulamentações sobre como reivindicar um nome comercial para um lojista

Referências

Apêndice

Captura de tela de uma conta POC criada em pay.google.com usando as credenciais temporárias do qwiklabs

Anirudh Batra
Threat Analyst at CloudSEK
Nenhum item encontrado.

Blogs relacionados

Este é um texto dentro de um bloco div.
Scam
March 13, 2025
5
min
Os golpes do Ramadã estão em alta: brindes falsos, armadilhas criptográficas e doações fraudulentas
Leia mais
Este é um texto dentro de um bloco div.
Scam
March 11, 2025
3
min
O lado negro do comércio eletrônico: como redes de avaliações falsas manipulam as compras on-line
Leia mais
Este é um texto dentro de um bloco div.
Scam
March 6, 2025
5
min
PrintSteal: Expondo sites não autorizados que se fazem passar por CSC envolvidos em fraudes de geração de documentos KYC em grande escala
Leia mais