A ascensão de bots OTP e remetentes de SMS no arsenal de agentes de ameaças

Autores: Shreya Talukdar e Bablu Kumar

No campo em constante evolução da segurança cibernética, o aumento de bots OTP e remetentes de SMS usados por agentes de ameaças representa um desafio contínuo que exige nossa atenção. Os cibercriminosos estão combinando cada vez mais técnicas de pesca com serviços de captura de OTP para amplificar suas atividades maliciosas. A pesca, ou phishing por voz, envolve manipular indivíduos para que divulguem informações confidenciais por telefone. O toque humano na pesca adiciona um elemento convincente a esses ataques, aumentando a probabilidade de as vítimas confiarem no chamador. Eles empregam sistemas sofisticados de resposta de voz interativa (IVR), gravações de voz autênticas de pessoas reais ou até empregam métodos de chamada em tempo real que parecem ser provenientes de uma empresa confiável. Por meio dessas táticas, os usuários são habilmente manipulados para revelar suas senhas de uso único, normalmente enviadas por meio de mensagens de texto.

A importância dos OTPs no campo da segurança on-line não pode ser exagerada. Uma infinidade de serviços on-line, incluindo instituições financeiras, confiam fortemente nos OTPs como a melhor proteção da verificação. Em certos cenários, a senha de uso único ou OTP é a única porta de entrada para acessar a conta. Essa mesma confiança torna esses serviços um alvo atraente para aqueles que usam serviços de bots OTP.

‍

No passado, vimos serviços semelhantes, como Bandidos de SMS e SMSRanger sendo oferecidos em fóruns clandestinos e canais do Telegram.

Bandidos de SMS surgiu como um serviço on-line idealizado por um ator de ameaças de 20 anos, com o objetivo de orquestrar campanhas de phishing em grande escala por meio de mensagens de texto móveis. As mensagens de phishing engenhosamente se disfarçaram de várias entidades, abrangendo iniciativas de alívio da pandemia, PayPal, gigantes das telecomunicações e agências governamentais de receita tributária. O serviço estava vinculado a outro serviço de captura de OTP chamado Agência Otp [.] projetado para ajudar a interceptar senhas únicas necessárias para fazer login em vários sites. Depois que a chamada é feita, a ligação faz com que o alvo insira uma senha de uso único, gerada pelo aplicativo móvel, no sistema. Essa senha é então enviada secretamente de volta ao painel de usuário do golpista hospedado no site da OTP Agency.

Para destacar a utilização de táticas bem estabelecidas, como a pesca, como ponto inicial de ataque e ilustrar como essas técnicas podem ser aproveitadas para fins maliciosos, encontramos recentemente um ataque cibernético em Resorts MGM em 14 de setembro de 2023. Esse incidente é atribuído ao Scattered Spider, um grupo reconhecido por sua experiência em engenharia social. Usando a pesca como método de escolha, os cibercriminosos obtiveram com sucesso credenciais de funcionários, garantiram privilégios de administrador global no Azure Tenant, extraíram dados e, posteriormente, mantiveram vários hipervisores ESXi como reféns para obter um resgate. Mais detalhes sobre isso são adicionados abaixo.

Uma das ofertas mais recentes desse tipo é um serviço conhecido como “SpoofMyAss.com” — um balcão único para esquemas de phishing de ponta a ponta relacionados a SMS. O serviço está sendo oferecido com declarações ousadas, como:

• Capacidade de fazer chamadas em todo o mundo em mais de 30 idiomas.
• Pronuncie o nome da vítima, detalhes do serviço e muito mais.
• Capacidade de fazer chamadas anônimas
• Serviço gratuito de criação de modelos de bots com a ajuda do código Speech Synthesis Markup Language (SSML) para maior personalização nas respostas de áudio.

Esse serviço (e todos os outros mencionados nesta postagem) pressupõe que o agente da ameaça já tenha as credenciais de login do alvo por diferentes meios.

O SpoofMyAss capacita os cibercriminosos com recursos avançados de pesca

O SpoofMyAss oferece a escalada de bots OTP e os remetentes de SMS podem ajudar significativamente os cibercriminosos a orquestrar ataques de pesca (phishing de voz) em grande escala. A seguir estão os recursos fornecidos pelo SpoofMyAss que indicam ataques de pesca de alto desempenho:

• Extração OTP: O objetivo principal desse serviço de pesca é extrair OTPs das vítimas. Os Vishers podem empregar várias táticas, como se passar por entidades legítimas ou criar cenários urgentes, para induzir as vítimas a revelar suas senhas de uso único.

• Chamadas globais em vários idiomas: Os agentes de ameaças podem usar esse serviço para fazer ligações para possíveis vítimas em todo o mundo, utilizando um idioma com o qual a vítima se sinta confortável ou esperada.

• Personalização: A capacidade de pronunciar o nome da vítima e os detalhes do serviço adiciona um toque humano convincente à chamada de pesca. Os agentes de ameaças podem usar esse recurso para fazer com que a chamada pareça mais legítima e confiável.

• Chamadas anônimas: Os agentes de ameaças podem fazer chamadas anônimas, ocultando suas verdadeiras identidades e localizações. Esse anonimato pode tornar mais difícil para as vítimas rastrear a origem da chamada, aumentando a probabilidade de pesca bem-sucedida.

• Criação de modelo de bot: Ao criar bots usando o código SSML, os pescadores podem personalizar as respostas de áudio de acordo com seus cenários específicos de pesca. Essa personalização permite uma abordagem mais realista e direcionada ao tentar enganar as vítimas.

Usando esses três principais recursos de serviço, os pescadores podem criar ainda mais chamadas de pesca altamente convincentes:

• SMA rápido: Os pescadores podem criar rapidamente chamadas de pesca usando modelos personalizados. Por exemplo, eles podem ligar para a vítima, usar seu nome e alegar pertencer a uma organização respeitável, como um banco, convencendo-a a fornecer sua OTP.

• Transmita SMA: Os pescadores podem aprimorar a autenticidade das chamadas de pesca usando suas próprias gravações de áudio, fazendo com que a chamada pareça ainda mais legítima e confiável.

• Transferir SMA: esse serviço permite chamadas anônimas com identificadores de chamadas manipulados e opções de encaminhamento de chamadas. Os Vishers podem se passar por entidades confiáveis e manipular o roteamento de chamadas, mantendo o anonimato durante toda a chamada e dificultando o rastreamento da origem das vítimas.

‍

‍

‍

‍

‍

‍

‍

Serviços oferecidos pelo SpoofMyAss:

A inscrição do usuário é gratuita no portal. Além disso, também oferece USD 1 como saldo bem-vindo na conta do usuário, um convite atraente para explorar as diversas ofertas da plataforma.

O serviço consiste principalmente em dois subserviços principais:

• Spoofer OTP Bot
• Remetente de SMS

Spoofer OTP Bot

‍

De acordo com o anúncio, o OTP Spoofer é um serviço de chamadas automatizado que pode ser usado para capturar OTPs de qualquer tamanho. O bot possui a capacidade de facilitar chamadas globais, buscar várias OTPs e se comunicar perfeitamente em mais de 30 idiomas.

O serviço é oferecido em 3 categorias:

• SMA rápido
• Transmita SMA
• Transfere SMA (provavelmente um erro de digitação cometido pelo desenvolvedor)

‍

SMA rápido

O primeiro serviço é SMA rápido que é, de acordo com o anúncio, rápido e fácil de usar com a ajuda de modelos SSML personalizados ou pré-fabricados, o que significa que pode ser desenvolvido para expressar o nome da vítima e os detalhes do serviço, adicionando um toque personalizado à sua funcionalidade.

Depois que a chamada é iniciada e o usuário é induzido a divulgar sua OTP, ela fica visível na tela do atacante da seguinte maneira.

Transmita SMA

O segundo serviço oferece aos agentes de ameaças a capacidade de utilizar suas próprias gravações de áudio, que podem ser armazenadas nos formatos MP3 ou WAV. Quando esses arquivos de áudio são empregados, eles aumentam muito a autenticidade geral das chamadas. Essa maior autenticidade aumenta significativamente a probabilidade de os usuários serem induzidos a compartilhar suas senhas de uso único (OTPs) durante a chamada.

‍

Transferir SMA

O serviço final permite que qualquer pessoa faça chamadas anônimas com identificadores de chamadas manipulados e opções de encaminhamento de chamadas, oferecendo aos agentes de ameaças oportunidades de falsificação de identidade, chamadas fraudulentas e campanhas de phishing em grande escala. Para o Transfere SMA, quando a vítima atende a chamada, o sistema a conecta a um número de telefone da escolha do agente da ameaça que foi especificado no painel. Essa funcionalidade leva a chamadas anônimas. Se o país da vítima corresponder a um dos números de país designados disponíveis no painel, a chamada será encaminhada adequadamente. Caso contrário, ele aparecerá como um número dos EUA. O sistema inicia uma chamada para a vítima, solicitando que ela atenda e ouça uma mensagem de “espere, por favor”. Simultaneamente, o sistema inicia uma chamada para o agente da ameaça (TA). Ao atender a chamada, o TA conversará com a vítima. A comunicação flui da vítima por meio do serviço Spoofmyass e depois para o TA. É importante ressaltar que a vítima só vê o número associado ao serviço, mantendo o anonimato e a confidencialidade durante toda a ligação.

Os agentes de ameaças podem se passar por entidades confiáveis, como bancos, para induzir as vítimas a revelar informações confidenciais, e podem usar identificadores de chamadas falsificados para induzir os destinatários a compartilhar dados pessoais ou visitar sites falsos, levando ao roubo de dados e aumentando os riscos de segurança.

‍

‍

Descobrindo a cortina: exemplos reais de como os agentes de ameaças estão aproveitando o 'SpoofMyAss' para fraudes por SMS e pesca

Informações sobre o incidente da MGM Resorts

Em 14 de setembro de 2023, A MGM Resorts teria sido atingida por um ataque cibernético fazendo com que vários sistemas fiquem off-line. Acredita-se que Aranha dispersa, que especialista em engenharia social, é responsável pela violação. O cibercriminoso, depois de coletar informações de funcionários nas mídias sociais, provavelmente no LinkedIn, se passou pelo Help Desk de TI da MGM Resorts. Usando técnicas de pesca, os cibercriminosos poderiam reunir credenciais. Os agentes da ameaça supostamente obtiveram acesso aos privilégios de administrador global do Azure Tenant, realizaram a exfiltração de dados e, posteriormente, bloquearam mais de centenas de hipervisores ESXi como resgate.

Observamos que os agentes de ameaças frequentemente confiam em técnicas bem estabelecidas ao realizar ataques cibernéticos. Consequentemente, esses métodos testados e comprovados podem ser adotados por agentes de ameaças menos sofisticados e imitadores, geralmente com a ajuda de serviços como o SpoofMyAss.

A Okta é uma plataforma de gerenciamento de identidade e acesso (IAM) baseada em nuvem que fornece às empresas e organizações uma maneira segura e centralizada de gerenciar identidades de usuários e acesso a vários aplicativos e serviços.

‍

Tática de pesca em ação

Fraude bancária e pesca

Em um golpe de pesca bancária, os agentes de ameaças geralmente se apresentam como representantes ou funcionários do banco. Eles normalmente usam as seguintes táticas:

• Falsificação de identificação de chamadas: O visualizador pode usar serviços como “spoofmyass” para manipular seu identificador de chamadas para fazer parecer que a ligação está vindo do banco da vítima.

• Situação urgente: O observador cria um senso de urgência, alegando que há um problema de segurança com a conta da vítima ou com transações não autorizadas. Eles insistem que uma ação imediata é necessária.

• Solicitação de verificação: Para ganhar a confiança da vítima, o pescador pode pedir que ela verifique sua identidade fornecendo informações pessoais como nome completo, data de nascimento ou até mesmo uma senha de uso único (OTP).

• Extração OTP: Se a vítima for induzida a compartilhar sua OTP, o pescador obtém acesso à conta da vítima e pode realizar transações não autorizadas

Fraude de pesca de suporte técnico

Em fraudes de pesca de suporte técnico, os atacantes geralmente atacam indivíduos que alegam problemas técnicos em seus computadores ou dispositivos:

• Personificação: O pescador se apresenta como um agente de suporte técnico de uma empresa conhecida (por exemplo, Microsoft ou Apple) e informa a vítima sobre um problema crítico com seu computador.

• Solicitação de acesso remoto: Para resolver o suposto problema, o observador pede à vítima que lhe conceda acesso remoto ao dispositivo. Isso geralmente é feito usando um software como o TeamViewer.

• Solicitação de pagamento: Depois de obter acesso ao computador da vítima, o visualizador pode alegar que há uma taxa pelo serviço ou que precisa acessar o banco on-line da vítima para processar um reembolso.

• Fraude financeira: O pescador pode manipular a vítima para fazer pagamentos ou transferir fundos, resultando em perda financeira para a vítima.

Fraude de loteria via SMS

Nesse golpe de SMS, as vítimas recebem uma mensagem de texto alegando que ganharam uma quantia substancial em dinheiro na loteria. A mensagem parece ser de uma conhecida organização lotérica. A mensagem normalmente contém um link ou um número de telefone para reivindicar o prêmio. Os agentes de ameaças podem usar serviços como “spoofmyass” para enviar essas mensagens SMS com identificadores de chamadas convincentes.

• Mensagem enganosa: As vítimas recebem uma mensagem informando que ganharam na loteria, criando entusiasmo e curiosidade.

• Instruções para reclamar: A mensagem fornece instruções sobre como reivindicar o prêmio, o que pode incluir ligar para um número específico ou visitar um site.

• Solicitação de informações pessoais: Ao ligar, as vítimas devem fornecer informações pessoais e, em alguns casos, um pagamento antecipado de impostos ou taxas para liberar o prêmio.

Falsificação de identidade de empresa de serviços públicos via Vishing

Nesse cenário de pesca, os agentes de ameaças se fazem passar por uma empresa de serviços públicos, como uma fornecedora de eletricidade ou gás. Eles geralmente têm como alvo empresas ou indivíduos com as seguintes táticas:

• Manipulação de identificação de chamadas: Usando serviços como “spoofmyass”, o visualizador faz com que a chamada pareça vir de uma concessionária legítima.

• Ameaça de interrupção do serviço: O pescador alega que há um problema com a conta da vítima ou uma fatura não paga que precisa de atenção imediata para evitar a interrupção do serviço.

• Solicitação de pagamento: Para resolver o problema, o pescador pede que a vítima faça um pagamento por telefone usando um cartão de crédito ou compartilhe informações bancárias confidenciais.

‍

Gateway de SMS

Atualmente, esse serviço afirma estar usando 269 gateways de SMS legítimos para enviar mensagens de texto para usuários desavisados em diversas regiões do mundo. Desses, existem 87 gateways de SMS baseados nos EUA e 13 na Índia. Por exemplo:

• movil.tricom.net
• digitextjm.com
• claro.net.do
• vtexto.com
• ml.bm

‍

Criador de modelos

Um modelo é um código SSML que o bot do SMA lerá em voz alta quando o atacante passar uma chamada para obter um código OTP. O idioma do bot e seu estilo de fala são personalizáveis, após o qual o teste de voz pode ser feito para garantir o tipo de voz. O código pode ser editado para incluir informações dinâmicas. Por exemplo, para abordar o chamador pelo nome # #cname ## é usado e para mencionar o nome do banco # #service ## pode ser usado. Isso permite que o bot personalize a mensagem que o atacante deseja. Opções como taxa de fala, tipo de tom e tempo de intervalo também são personalizáveis. O modelo pode ser reproduzido, editado ou excluído de acordo com a exigência do agente da ameaça.

‍

Da mesma forma, outro modelo pode ser criado depois que a vítima insere uma OTP como mensagem final para parecer mais legítimo.

‍

Ferramentas

Existem 4 serviços oferecidos na seção de ferramentas

• Gerador
• Validador
• Detector
• Filtro SMS

‍

‍

Gerador de números

O recurso gerador de números oferece a capacidade de produzir números de telefone de forma eficiente em grandes quantidades, com a opção de especificar a quantidade desejada e até mesmo selecionar o país de destino para geração de números.

Por meio de fontes de Inteligência Humana (HUMINT), percebemos que essa ferramenta emprega algoritmos desenvolvidos internamente para gerar esses números.

‍

‍

Validador de números

O validador de números é usado para garantir que os números gerados sejam precisos e também verifica o país. Não conseguimos verificar se esses números são validados em relação a algumas fontes externas.

‍

Detector transportador

O terceiro serviço na lista é o Detector, que é um detector portador. Um detector de operadora de número de celular é um software ou serviço projetado para identificar a operadora de celular ou operadora de rede associada a um determinado número de telefone celular. Essa ferramenta pode ser usada para determinar qual empresa de telecomunicações fornece serviços para um determinado número de telefone. De acordo com a reclamação, o serviço pode identificar o país e a operadora associados ao número de telefone.

‍

‍

Filtro SMS

Um filtro de gateway de SMS é um mecanismo ou componente dentro de um sistema de gateway de SMS projetado para filtrar e gerenciar mensagens SMS (Short Message Service). Seu objetivo principal é controlar o fluxo de mensagens SMS e garantir que somente mensagens legítimas, desejadas e compatíveis sejam enviadas ou recebidas pelo gateway.

‍

Gerenciador de listas

O Gerenciador de listas é um recurso em que números em massa podem ser carregados juntos para organizar números de telefone em listas sem esforço, simplificando o processo de envio de mensagens SMS. Também pode ser usado para revisar a lista de números de telefone e remover quaisquer entradas indesejadas

‍

Remetente de SMS ilimitado SMA

O texto anuncia uma atualização significativa em um serviço de remetente de SMS chamado “SPOOF MY ASS UNLIMITED SMS SENDER”, que agora é um modelo privado baseado em assinatura. Os principais pontos da atualização incluem:

• ‍Gateway de SMS privado: Os usuários inscritos terão acesso ao gateway de SMS privado para melhorar a qualidade e a confiabilidade do serviço.‍
• Assinatura mensal: Os usuários precisam se inscrever por $300 por mês para acessar o serviço premium de SMS.‍
• ID de remetente dedicado: os assinantes podem personalizar os IDs de remetente para personalização e identidade visual.‍
• Envio ilimitado: Os assinantes podem enviar mensagens SMS ilimitadas em todo o mundo.‍
• Um assinante, um gateway: Cada assinante recebe seu gateway de SMS privado para exclusividade e desempenho.‍
• Processo de ativação: Para ativar o gateway de SMS privado, os usuários devem entrar em contato com o administrador no Telegram para obter orientação.

‍

‍

‍

Atualizações recentes no painel de serviço SpoofMyAss

De acordo com sua afirmação, estas são as atualizações na versão 2 (V2) do serviço:

• Gateway de SMS privado: Os usuários inscritos agora terão acesso ao seu gateway de SMS privado. De acordo com a reivindicação, esse gateway garantirá o mais alto nível de qualidade e confiabilidade do serviço.

• Assinatura mensal: Para acessar esse serviço premium de SMS, os usuários precisarão se inscrever mensalmente. A taxa de assinatura é de $300 por mês.

• ID de remetente dedicado: Os assinantes terão a flexibilidade de personalizar o ID do remetente de suas mensagens, aprimorando a personalização e a marca.

• Envio ilimitado: Com a assinatura, os usuários terão recursos ilimitados de envio de SMS, permitindo que eles alcancem destinatários em todo o mundo sem limitações.

• Um assinante, um gateway: Cada assinante terá seu gateway de SMS privado por um mês, garantindo exclusividade e desempenho.

‍

‍

‍

Ramificações dos serviços OTP SMS e OTP Call Grabber

‍

As ramificações dessa exploração são profundas. Os cibercriminosos, ao obterem acesso ao banco on-line e a outras contas confidenciais da vítima, estão preparados para realizar uma ampla variedade de transações on-line fraudulentas. No entanto, o escopo da ameaça representada por esses serviços vai muito além da mera captura de OTPs. Essas ferramentas insidiosas são versáteis, capazes de usar técnicas de engenharia social, propagar malware ou fraudes e até mesmo infligir assédio e extorsão a seus alvos.

Os serviços OTP SMS e OTP call Grabber apresentam consequências graves e apresentam riscos substanciais para indivíduos e organizações. Abaixo estão vários exemplos de como esses serviços podem ser explorados para fins maliciosos:

Aquisição de conta: Indivíduos mal-intencionados podem utilizar os serviços OTP Grabber para interceptar OTPs transmitidos por SMS ou chamadas de voz. Armados com esses OTPs interceptados, eles podem entrar ilicitamente nas contas da vítima, incluindo e-mail, mídias sociais e contas financeiras, assumindo efetivamente o controle dessas contas. Em uma instância específica, um atacante emprega um serviço OTP Grabber para interceptar a OTP enviada para o dispositivo móvel da vítima durante uma tentativa de login. Posteriormente, aproveitando a OTP roubada, o atacante protege o acesso à conta de e-mail da vítima, armazenando dados pessoais e financeiros confidenciais.

Roubo de identidade: Os serviços OTP Grabber podem ser utilizados para a aquisição ilícita de OTPs usados na verificação de identidade em uma variedade de serviços on-line. Posteriormente, agentes mal-intencionados podem explorar esses OTPs para assumir a identidade do alvo, permitindo a execução de atividades fraudulentas e potencialmente facilitando o roubo de identidade. Nesse processo, um agente malévolo intercepta o OTP por meio de um serviço OTP Grabber, permitindo que ele assuma a personalidade do usuário legítimo e execute transações não autorizadas com intenção fraudulenta.

Acesso não autorizado: Os OTPs geralmente são usados para autenticação de dois fatores (2FA) para fornecer uma camada adicional de segurança. O uso indevido dos serviços OTP Grabber pode contornar essa medida de segurança, permitindo o acesso não autorizado a sistemas ou aplicativos confidenciais.

Fraude financeira: O acesso às OTPs pode permitir que os invasores cometam fraudes financeiras. Eles podem fazer transações não autorizadas, transferir fundos ou sacar dinheiro das contas bancárias ou carteiras digitais da vítima.

Invasão de privacidade: Interceptar OTPs é uma violação de privacidade, pois envolve monitorar e acessar os canais de comunicação da vítima sem consentimento. Essa invasão de privacidade pode causar sofrimento emocional e ansiedade nas vítimas.

Autenticação simultânea: Os serviços OTP Grabber podem interceptar OTPs em tempo real, permitindo que os atacantes se autentiquem em nome da vítima, dificultando que a vítima perceba ou responda a tempo.

Sequestro de contas: Os serviços OTP Grabber podem levar ao sequestro completo da conta, pois os invasores podem alterar as senhas da conta, as configurações de segurança e as informações de recuperação, bloqueando o proprietário legítimo da conta de suas próprias contas.

Propagação de malware ou fraudes: Os agentes de ameaças podem usar o Fast SMA para automatizar chamadas que promovem downloads de malware ou outros esquemas fraudulentos. Ao personalizar o conteúdo da chamada para atender a diferentes alvos, eles podem espalhar software malicioso ou cometer fraudes em maior escala.

Assédio e extorsão: Em alguns casos, os agentes de ameaças podem usar esse serviço para assédio ou extorsão. Eles podem enviar repetidamente ligações ameaçadoras ou enganosas às vítimas, exigindo dinheiro ou informações confidenciais em troca de interromper o assédio.

É importante que indivíduos e organizações estejam atentos à proteção de OTPs e à implementação de medidas de segurança adicionais, como o uso de aplicativos autenticadores ou tokens de hardware, para se proteger contra a interceptação de OTPs. Além disso, denunciar qualquer suspeita de uso indevido dos serviços do OTP Grabber às autoridades policiais ou relevantes é crucial para combater essas atividades ilegais.

Cortando a raiz com o módulo subterrâneo do CloudSEK

A plataforma de monitoramento da deep and dark web da CloudSEK vasculha milhares de fontes na deep web e na dark web para identificar fraudes e ameaças direcionadas. O serviço oferece aos analistas um único painel para monitorar as atividades da dark web. Nesse caso específico, se as credenciais bancárias estiverem sendo vendidas na dark web, você será notificado diretamente para que possa tomar medidas de segurança instantaneamente e informar os usuários/clientes afetados.

Comentários e críticas sobre o painel de serviço SpoofMyAss:

As análises indicam que o serviço está ganhando força em fóruns clandestinos e que os agentes de ameaças já começaram a usá-lo para fins nefastos.

‍

Referências

• https://krebsonsecurity.com/2021/02/u-k-arrest-in-sms-bandits-phishing-service/ 
• https://twitter.com/MGMResortsIntl/status/1702290900217413783 

Apêndice

‍

‍

‍

‍