Fraudes de impressão de cartões de identidade orquestrados por um grupo com sede na UP fraudam o público indiano

Pesquisador: Aarushi Koolwal
Analistas: Abhinav Pandey e Vikas Kundu
Editor: Benila Susan Jacob

Apesar da revolução digital da Índia, uma grande parte da população ainda prefere cópias físicas às digitalizadas, especialmente quando se trata de carteiras de identidade, como carteiras de habilitação, Aadhaar, etc. Essa necessidade explica a existência de lojas de esquina que fornecem serviços de impressão de identidade. No entanto, com o fechamento das lojas físicas devido à pandemia, muitos recorreram à Internet para aproveitar os serviços de impressão de identidade.

Essa tendência fez com que os agentes de ameaças entrassem na onda hospedando sites falsos e se passando por grandes empresas indianas que afirmam entregar cópias impressas de carteiras de identidade. Dezenas de cidadãos indianos foram vítimas desse golpe. Como as perdas individuais chegam a apenas algumas centenas de rúpias, as vítimas e as autoridades não têm pressa em desmantelar essas campanhas. Mas, dada a escala da operação, ela merece uma investigação mais aprofundada.

Neste blog, investigamos o modus operandi de um grupo com sede em Uttar Pradesh que está realizando uma campanha fraudulenta de impressão de cartões de identidade em grande escala que se faz passar por marcas indianas populares para fraudar o público indiano.

Grupo baseado na UP que executa fraudes de impressão de cartões de identificação em grande escala

CloudSEKda plataforma contextual de risco digital de IA XV Vigília descobriu um grupo de ameaças baseado em Uttar Pradesh que opera centenas de sites de impressão de identidade falsa, com as seguintes características compartilhadas:

• Os domínios representam marcas indianas populares, incluindo vários provedores de telecomunicações, bancos, carteiras de pagamento, serviços de correio, etc. Isso inclui o Fino Payments Bank, o DTDC, o India Post, etc., para se apresentarem como uma empresa legítima.
• O grupo de ameaças emprega o Google Ads, páginas de redes sociais e técnicas de otimização de SEO para distribuir e popularizar esses domínios.
• Os sites oferecem serviços de impressão de carteiras de identidade como Aadhaar, PAN, carteira de motorista, abertura de conta, etc.
• As vítimas são induzidas a compartilhar suas PII (informações de identificação pessoal) e OTPs em um portal KYC integrado a canais de pagamento populares.
• Os agentes de ameaças podem vender as PII ou usá-las para orquestrar outros golpes. Eles também usam os OTPs para obter acesso às contas das vítimas, bloqueá-las e realizar transações não autorizadas.

Aumento de fraudes em serviços de impressão na Índia

Recentemente, houve um aumento significativo no uso do Aadhaar e a demanda por autenticação baseada em Aadhaar cresceu entre 2018 e 2021 (Relatório anual da UIDAI (2020-21). Esse aumento pode ser atribuído ao uso aprimorado do Aadhaar junto com outros métodos de autenticação de dois fatores (2FA). O gráfico abaixo mostra o uso do Aadhaar para autenticação e pode ser visto atingindo um recorde histórico de 1.413,40 milhões de transações no ano fiscal de 2020-21.

 

Os dados Whois sobre domínios recém-registrados revelam uma correlação notável entre o número de domínios maliciosos registrados em 2020-21 e o aumento na autenticação baseada em Aadhaar.

 

Investigação da CloudSEK sobre fraudes de impressão de identidade

XV VigíliaA digitalização de rotina identificou vários domínios falsos anunciando serviços baratos de impressão e laminação para enganar as pessoas. Uma investigação mais aprofundada revelou vários sites fraudulentos anunciando serviços semelhantes com números falsos de suporte ao cliente concentrados no Oeste de Uttar Pradesh região. Um exame minucioso da campanha revelou que esses sites fazem parte de uma campanha em grande escala envolvendo acesso não autorizado aos portais KYC das vítimas. Várias reclamações foram publicadas pelas vítimas desses golpes em várias plataformas de mídia social, como Twitter e Facebook.

 

Anatomia do golpe

Atraindo vítimas para domínios maliciosos

Usuários desavisados são enganados ao visitar esses sites maliciosos de forma direta ou indireta.

O método direto

Esse é um método de enviar spam às vítimas com mensagens, e-mails ou comunicação nas redes sociais que contêm URLs de sites maliciosos, juntamente com a promessa de parceria e retornos financeiros. A atração do dinheiro fácil faz com que o usuário clique no link e visite o site malicioso.

O método indireto

Nesse método, os domínios maliciosos são distribuídos usando técnicas de SEO (Search Engine Optimization) ou outras plataformas de mídia social.

Técnica de SEO

• Os domínios maliciosos são colocados estrategicamente nas consultas dos mecanismos de pesquisa do Google usando técnicas de SEO e otimizados com várias palavras-chave relacionadas a Aadhaar, PAN, ID de eleitor, etc.
• Por exemplo, os domínios maliciosos aadharprint [.] in e digitalfastprint [.] in estão em segundo e quinto lugar, respectivamente, após o site original.
• Essas altas posições de SERP (Search Engine Results Pages) são formuladas empregando várias técnicas de SEO blackhat, como adicionar um grande número de backlinks não solicitados.

Mídia social

• Os links maliciosos são distribuídos aos usuários por meio de sites como Facebook, Twitter e YouTube.
• A pesquisa descobriu vários vídeos e canais do Youtube com muitas visualizações. Eles foram incorporados aos links associados a esses domínios maliciosos.

Visão geral da campanha

• O XVigil detectou centenas de URLs, espalhando a campanha, que tinha 9 domínios raiz comuns.
• Dos domínios raiz investigados, roboprints [.] em e digitalfastprint [.] em recebeu a maior parte do tráfego, 32,7% e 22%, respectivamente.
• Outros domínios proeminentes foram ukprintz [.] xyz, ecyberlink [.] in e aadharprint [.] em, que receberam 14,3%, 9,5% e 4,8% do tráfego, respectivamente.

 

• Cada domínio tem vários subdomínios com correlações com outros domínios raiz maliciosos. Por exemplo, o aadharprint [.] in tem um subdomínio chamado shivyog [.] aadharprint [.] in, que se assemelha a shivyogprint [.] info, indicando que os domínios podem ser de propriedade de uma única entidade.

• Atualmente, há um total de 69 domínios ainda em funcionamento, com um número considerável de subdomínios inativos, que estavam ativos no passado ou podem ser utilizados no futuro quando retirados.
• A maioria desses domínios está hospedada no Publicdomainregistry [.] com (12) e godaddy [.] com (17) usando vários TLD (domínio de nível superior).
• 11 dos domínios usavam .in, 10 usavam .com, 4 usavam .online, 3 usavam .info e cada um usava .us e .top.
• Os domínios também empregam soluções de segurança como Cloudflare e Litespeed WAF.
• O CloudSEK descobriu de uma fonte confidencial que esses sites usam um banco de dados chamado 'adhaar' com uma tabela chamada 'DetailOrder_MST' contendo 54.452 entradas, coletadas ao longo do tempo.
• A maioria desses domínios contém logotipos e links da UIDAI e de outras agências governamentais.
• Uma grande parte dos sites observados tinha um design de front-end deficiente e erros gramaticais.

Análise detalhada dos domínios falsos descobertos

Os domínios maliciosos descobertos como parte da investigação da CloudSEK tinham as seguintes características compartilhadas:

• Os sites anunciavam serviços como:
  • Serviços de registro para Ayushman Bharat
  • Serviços de abertura de conta para bancos Kotak, RBL, Indusind e ICICI a INR 99.
  • Serviços de registro PAN e NSDL
  • Serviços de recarga de carteira
  • Serviços de impressão de cadernetas
  • Serviços para Fino, NSDL, India Post e outros serviços de carteira.
  • Scanner de código QR
  • Serviços de laminação de cartões Aadhaar
• As páginas de inscrição e login exigem números de telefone e e-mails como entradas.
• Logotipos de organizações proeminentes, como o Fino Payment Bank.
• Logotipos de serviços governamentais, incluindo Ayushman Bharat, e-Shram, etc.
• Números falsos de atendimento ao cliente e serviços de suporte do WhatsApp.
• Listou parceiros de pagamento legítimos, como PayU.
• O India Post e o DTDC estão listados como parceiros de entrega.
• Presença nas redes sociais com cerca de milhares de seguidores no Facebook.

Identificando os golpistas

• Um dos agentes de ameaças relacionados a esse golpe é o proprietário do número de telefone 88659 53003, obtido de um dos sites de phishing, printkaro [.] xyz.
• O ator escreveu uma crítica da Amazon na qual afirma pertencer a Najibabad, Uttar Pradesh. (Para obter mais informações, consulte o Apêndice)
• A maioria dos números de telefone listados nos sites fraudulentos pertence a indivíduos no oeste de Uttar Pradesh. Assim, pode-se inferir que os golpistas estão sediados em Najibabad, Uttar Pradesh, Índia.

Números falsos de atendimento ao cliente descobertos

TelefoneNomeE-mail (se houver)Localização 97615 02188Aman Kumarn/Oeste de Auttar Pradesh 97615 02191Liza Khan[email protected]76185 33517 New Print/Mohd [email protected] Pradesh West9546801090 Gungun Mobilen/Abihar8340469639Gungun Mobile Shop Pachrukhiya Internet World/ Rahul Patel[email protected]Bihar9761502183N/AN/Auttar Pradesh West9761502184Imprimir Karo [email protected] 8865953003Digital Pan Banking[email protected]Oeste de Uttar Pradesh9152500514Raj Brn/Amumbai9536878878Kendra[email protected]Uttar Pradesh West9760606361AadharSmartCardN/Auttar Pradesh West01341-297075Washif New Pradesh West

Impacto do golpe

Um Tweet de 2017 sobre uma plataforma fraudulenta chamada “Maza Aadhaar” O golpe “Maza Aadhaar” de 2016 teve como alvo usuários sob o pretexto dos serviços de impressão de cartões plásticos da Aadhaar

• Os agentes de ameaças podem aproveitar as PII para realizar outros ataques de engenharia social, roubos de identidade, ataques de phishing etc.
• Os OTPs podem ser usados para realizar transações não autorizadas nas contas bancárias das vítimas.
• Os agentes de ameaças podem registrar cartões SIM em nome da vítima e usá-los para atividades ilegais.
• Os detalhes do cartão Aadhaar e do cartão PAN podem ser usados para criar contas bancárias falsas, solicitar empréstimos ou realizar outras atividades maliciosas.
• Em um recente segmentação por fraude, os fraudadores teriam usado os detalhes do PAN das vítimas para obter empréstimos instantâneos por meio de um pedido de empréstimo.

Medidas de mitigação

• Evite clicar em links suspeitos.
• Garanta o uso da MFA (Multi-Factor Authentication) e não compartilhe OTPs.
• Insira seus dados de identificação somente em sites oficiais do governo (sites com extensões.gov). Tenha cuidado ao inseri-lo em qualquer outro site.
• Ignore e-mails e mensagens de fontes desconhecidas, especialmente com algum tipo de valor monetário anexado. Se possível, use uma solução anti-spam para seu e-mail e antivírus em seu dispositivo.
• Se você se deparar com um domínio malicioso, procure seu registrador em whois.com e denuncie o abuso.

Referências

• Mais de 27 milhões de adultos indianos sofreram roubo de identidade
• UIDAI adverte as pessoas contra o “cartão inteligente” de Aadhaar

 

Apêndice

 

 

 

 

Imagens associadas ao número de telefone 8865953003