Campanhas de phishing da FAStag florescem nas mídias sociais

As campanhas de phishing da FAStag florescem nas mídias sociaisCom a FAStag, a cobrança de pedágio é o mais recente de nossos serviços diários que se tornaram digitais. E, como de costume, os cibercriminosos já descobriram maneiras de explorá-lo. O FAStag, que é um instrumento de cobrança eletrônica de pedágio (ETC), é exigido pelo governo da Índia para todos os veículos que passam por cabines de pedágio em todo o país. Considerando a crescente adoção, combinada com a experiência limitada dos usuários, não surpreende que os golpistas estejam lançando campanhas de phishing empregando abordagens novatas de engenharia social.

Neste artigo, exploramos os diferentes tipos de campanhas de phishing e os canais que as facilitam.

Campanhas de phishing FAStag

Embora o FAStag seja um serviço simples, existem vários caminhos, desde a distribuição até o suporte pós-venda, por meio dos quais os golpistas podem explorá-lo.

Os golpistas estão fraudando as pessoas das seguintes maneiras:

• Vendendo FAStags falsas
• Recrutamento de outros golpistas
• Venda de direitos de distribuidor FAStag
• Operando números falsos de linha de ajuda
• Fornecendo serviços de desbloqueio para FAStags na lista negra

Os golpistas estão entregando essas campanhas por meio de:

• Mídia social
• E-mail
• Mercados on-line
• Plataformas de bate-papo
• Sites da web profunda
• Sites do Surface

Investigaremos cada um desses métodos fraudulentos e os canais usados para facilitá-los. Embora os golpistas da FAStag estejam presentes na Internet, eles são especialmente ativos nas redes sociais devido à facilidade de criar contas e ocultar suas identidades.

Venda de Fastags falsas

Mídia social

Existem perfis de mídia social que promovem pessoalmente a implementação do projeto “FAStag” (especialmente nos idiomas locais), mesmo que não estejam oficialmente autorizados ou conectados ao projeto.

Algumas contas também oferecem serviços em nome de parceiros bancários autorizados da FAStag, anunciando o nome do banco junto com seus números de contato pessoais. Como não podemos verificar se essas pessoas estão autorizadas a agir em nome dessas instituições financeiras, é melhor evitar responder às suas postagens para aproveitar seus serviços.

Também existem postagens nas redes sociais que prometem serviços gratuitos de FAStags e FAStag, embora o preço real seja de INR 500. No entanto, elas parecem confiáveis para o público em geral porque algumas dessas campanhas incluem imagens genuínas.

E-mail

Desde que o FAStag se tornou obrigatório em 1st Em dezembro de 2019, observamos e-mails de phishing, enviados de várias redes, em IDs de e-mail pessoais. Muitas dessas campanhas usam a abordagem clássica de fornecer nomes “de” parecidos. Nesse caso, 'FAStag', de alguma forma, aparece no nome do remetente. O nome de domínio do e-mail só fica visível quando expandimos propositadamente o endereço “de”. Isso permite que os golpistas enganem os destinatários dos e-mails, já que geralmente não inspecionamos o endereço de e-mail completo do remetente.

Conforme visto acima, o nome do remetente é 'Axis FAStag' e somente em uma inspeção mais detalhada, notamos que o ID do e-mail é: [email protected] e o nome do domínio é:  indiafamous.info. E a localização do site está listada como Bihar. É seguro presumir que o e-mail abaixo é uma tentativa de phishing. (Percebemos que campanhas de phishing anteriores direcionadas ao NPCI também foram mapeadas para o mesmo local).

Mercados on-line

Dado o tamanho do público-alvo, os golpistas não pouparão nenhuma plataforma por meio da qual possam atacar o público.

Aqui está um caso de uma listagem da OLX que está anunciando o serviço FAStag do Axis Bank.

Uma investigação mais aprofundada revelou listagens como as abaixo, nas quais os preços foram inflacionados. Ao inflar e reduzir o preço das etiquetas, os golpistas estão tentando tornar sua proposta mais atraente. Essa é uma grande bandeira vermelha que indica uma campanha de phishing.

Também observamos que alguns fornecedores estão oferecendo GPS gratuito junto com as etiquetas. E as etiquetas em si são listadas a preços inferiores ao custo real de INR 500. Mas, não está claro na lista se um GPS independente vem de graça com a compra de um FAStag.

Como pode ser visto na postagem abaixo, na qual um fornecedor 'Vivek Shukla' da UP listou o FAStag como “Fastage” junto com um aplicativo GPS. O aplicativo não está oficialmente associado ao FAStag.

Campanhas na Deep Web

Vimos uma série de campanhas de phishing em vários blogs e sites da deep web. Esses anúncios oferecem serviços FAStag usando os nomes de bancos populares, como Axis Bank, HDFC Bank, etc.

Plataformas de bate-papo:

Essas campanhas estão sendo amplamente divulgadas por meio de plataformas de bate-papo, como Compartilhe o chat também.

Ao clicar no link, a página é redirecionada para uma campanha hospedada por anúncios que não está conectada aos serviços FastAG do Axis Bank. E visitar esses links maliciosos torna o dispositivo do visitante vulnerável a softwares maliciosos, como adware ou outros PUPs (programas potencialmente indesejados). Isso, por sua vez, cria um backdoor para todas as informações vitais no dispositivo e ajuda os golpistas a financiar outras campanhas maliciosas que realizam.

Além disso, ao analisar os detalhes da página por meio do Virus Total, descobriu-se que ela estava listada como spam.

Campanhas publicitárias em outros sites

Vimos campanhas publicitárias em outros sites não relacionados, como um serviço de download de músicas. Por meio do qual usuários incautos podem ser levados a sites de phishing.

Sites do Surface

A forma oficial de comprar FAStags é via NPCI , parceiros bancários autorizados, como ICICI ou HDFC, parceiros de carteira, como UPI Airtel Payments, ou fornecedores autorizados. No entanto, existem domínios de aparência semelhante, registrados para indivíduos, que podem estar mascarados como fornecedores oficiais da FAStag.

Alguns dos domínios com sons semelhantes:

• Rua: Porta nº 583, apartamento no G-100
• Cidade: Bengaluru
• Estado/Província: Karnataka
• Código postal: 560077
• País: Índia
• Telefone: +91 9884718277
• E-mail: [email protected]
• Nome do administrador: Ayush Enterprises

Fastagindia.org

• ID do registro: CR383877867
• Nome: Satheesh Kumar RST
• Organização: GOLDEN COMMUNICATION
• Rua: 306, Complexo Thangam, Rua T.H.
• Rua: New Washermenpet
• Cidade: Chennai
• Estado/Província: Tamil Nadu
• Código postal: 600081
• País: IN
• Telefone: +91 8608330505
• Correio eletrônico: [email protected]

• Nome: DARSHANKUMAR BHANUSHALI
• Rua: Gujarat
• Rua: Vapi
• Cidade: Vapi
• Estado/Província: Gujarat
• Código postal: 396191
• País: IN
• Telefone: +91 9016626456
• Correio eletrônico: [email protected]

http://fastag.app/ e http://fastag.in 

• ID do registro: CR397133995
• Nome: sankarsh reddy
• Organização: SANKARSH REDDY
• Rua: LOTE #142, ESTRADA #72, JUBILEE HILLS
• Cidade: HYDERABAD
• Estado/Província: Telangana
• Código postal: 500033
• País: IN
• Telefone: +91.4023551902
• Correio eletrônico: [email protected]

• ID do registro: CR358608589
• Nome: Gaganjot Singh
• Rua: Ludhiana
• Cidade: Ludhiana
• Estado/Província: Punjab
• Código postal: 141008
• País: IN
• Telefone: +91.9876700544
• E-mail: [email protected]
• ID do administrador: CR358608596
• Nome do administrador: Gaganjot Singh

Embora os sites mencionados acima não estejam funcionando no momento, há uma chance de que eles se tornem disponíveis a qualquer momento, para hospedar campanhas de phishing, assumindo um ar de legitimidade.

Esses são apenas alguns exemplos de domínios que usam alguma versão de “fastag” em seus nomes. Há muitos outros que ainda não foram listados ou encontrados. Alguns desses nomes de domínio, que ainda não foram comprados, estão disponíveis a preços baratos.

Recrutamento de outros golpistas

Embora os golpistas explorem diretamente os novos usuários do FAStag, eles também tentam recrutar outras pessoas para realizar essas campanhas. Aqui estão alguns exemplos dessas postagens, de um grupo privado do Facebook, em que um golpista anunciou o FAStag como uma oportunidade de ganhar dinheiro.

Venda de direitos de distribuidor FAStag

Provedores/fornecedores autorizados de vendas e serviços empregam agentes para vender e recarregar FAStags. No entanto, observamos a presença de pessoas não autorizadas, em grupos fechados do Facebook, que estão vendendo IDs de agentes gratuitos. É por isso que a FAStags adquiriu de 3vermelho agentes partidários, podem ou não ser genuínos.

Aqui estão alguns exemplos de postagens no Facebook que oferecem IDs de agentes gratuitos.

Operando números falsos da linha de ajuda da FAStag

Existem postagens em sites de redes sociais que anunciam números de telefone e IDs de e-mail que não são os contatos oficiais de suporte da FAStag. Eles oferecem a configuração do FAStags ou fornecem outro suporte relacionado. Ligar para esses números é uma maneira infalível de ser enganado.

Também encontramos várias contas de mídia social não oficiais listando IDs de e-mail que imitam o contato oficial de e-mail e os nomes dos fornecedores. Por exemplo: [email protected] contém “FAStag” e “HDFC”. Assim, montando um honeypot, para pessoas desavisadas que procuram apoio genuíno.

ID de e-mail: [email protected], [email protected]

Número de telefone: 9823017946

Outro ID de e-mail de phishing foi mencionado como ponto de contato em um sinalizado local na rede Internet. O site promove esse ID de e-mail para quaisquer problemas relacionados ao FAStag.

ID de e-mail: [email protected]

Conforme observado na postagem acima, os agentes de ameaças estão anunciando o FAStag a um preço com desconto de INR 300, embora o preço original seja de INR 500. Posteriormente, as pessoas tentadas por essas ofertas ligam para esses números e se tornam vítimas fáceis.

Um pôster bem elaborado atrai o público em geral como propaganda de serviços confiáveis/legítimos. Após investigação, descobrimos que o provedor de serviços 'Aveon' não tem um site oficial.

Fornecendo serviços de desbloqueio para FAStags na lista negra

Como acontece com qualquer novo serviço, o FAStag tem alguns problemas contínuos. Algumas etiquetas aparecem como “na lista negra” ao passar pelo pedágio, mesmo que haja saldo suficiente na carteira do proprietário. Consequentemente, os golpistas estão explorando essa brecha no sistema, lançando uma campanha que oferece o desbloqueio de tags “na lista negra”.

Como evitamos ser vítimas?

Em conclusão, esses exemplos são apenas a ponta do iceberg, no zeitgeist dos golpes contínuos. Mas eles mostram claramente que, se nós, como usuários finais do FAStag, não estivermos vigilantes, podemos nos tornar vítimas fáceis dessas campanhas maliciosas.

Precauções para o usuário final:

• Não confie em fornecedores individuais. Em vez disso, compre FAStags da NTEC ou de outros bancos oficiais.
• Não revele OTPs recebidos em seu telefone para ninguém por chamada ou pessoalmente.
• Nunca preencha formulários encontrados em blogs ou sites com domínios parecidos que incluam a palavra-chave “fastag”.
• Nunca clique em hiperlinks fornecidos em e-mails de phishing, especialmente com linhas de assunto como “Free FAStag” etc.
• Evite ligar para números gratuitos aleatórios, especialmente aqueles exibidos em sites/blogs de terceiros. E entre em contato com a NTEC ou com as linhas de apoio oficiais do banco para obter suporte.
• Acima de tudo, não publique nem twitte nenhum dos seus detalhes pessoais/da transação (se você não tiver recebido sua FAStag depois de solicitá-la). Pois isso ajudaria os fraudadores a personalizar sua abordagem com base em seu problema específico.