A sofisticação varia entre os agentes da ameaça, mas o golpe principal continua o mesmo.
Esses criminosos usam uma rede de serviços de encaminhamento de remessas, armazéns independentes e “mulas” de dinheiro individuais para viabilizar seus crimes.
Os pesquisadores de ameaças da Proofpoint, Inc., analisaram a fundo um golpe generalizado de Solicitação de Cotação (RFQ) para roubar uma variedade de eletrônicos e produtos de alto valor.
Golpes de RFQ são uma categoria diversificada de fraudes voltadas para negócios e estão entre os cinco temas de engenharia social mais frequentemente observados por fraudadores. Em campanhas de RFQ, o fraudador entra em contato com uma empresa para solicitar orçamentos de diversos produtos ou serviços. Os orçamentos recebidos podem ser usados para criar iscas muito convincentes para o envio de malware, links de phishing e, até mesmo, fraudes de comprometimento de e-mail comercial (BEC) e engenharia social.
Eles também podem ser usados como desculpa para abrir uma linha de crédito com uma empresa para receber produtos de alto valor, com base na promessa de pagar o saldo devedor no prazo estipulado. Os fraudadores geralmente listam marcas e equipamentos populares relacionados a tecnologia e processos de negócios. As marcas e os produtos envolvidos não são utilizados de forma maliciosa, mas sim como parte da fraude, com os produtos solicitados sendo roubados e vendidos.
Entenda como funciona
Para entender melhor como esse golpe funciona, os pesquisadores da Proofpoint identificaram vários grupos que conduziam fraudes de RFQ se passando por fornecedores com departamentos financeiros negligentes para obter uma melhor compreensão da cadeia de ataques pós-interação.
Golpes de RFQ na internet geralmente começam com fraudadores se passando por agentes de compras de empresas reais, muitas vezes usando informações roubadas ou publicamente disponíveis, como números do Cadastro Nacional da Pessoa Jurídica (CNPJ) e endereços e identidades de funcionários reais. Eles criam assinaturas de e-mail com aparência convincente, às vezes até mesmo replicando a marca corporativa. Em outros países, o fraudador oferece financiamento falso para convencer o vendedor a enviar o produto.
A Proofpoint observou que as iscas de RFQ representam uma ampla gama de corporações, faculdades e governos de cidades de pequeno e médio porte, mas tendem a favorecer setores especializados devido aos pedidos altamente específicos que fazem.
Embora muitos agentes de ameaças enviem essas solicitações de cotação de uma conta de e-mail gratuita, outros usarão um domínio semelhante, capitalizando a reputação de uma marca confiável para fazer com que suas mensagens pareçam legítimas e aumentar as chances de os destinatários abrirem o e-mail e atenderem às solicitações fraudulentas.
O corpo do texto geralmente contém uma lista de itens altamente específicos. Os itens mais frequentemente observados são equipamentos de teste da marca Fluke, diversas marcas de discos rígidos, câmeras de vigilância, equipamentos Wi-Fi e todos os tipos de dispositivos médicos. Esses itens, embora específicos, costumam ser procurados em países em rápido desenvolvimento.
Em outros países, o componente final que diferencia o Net RFQ de outros tipos de golpes de RFQ é uma consulta sobre a obtenção de financiamento Net em 15/30/45 dias. Quando um agente recebe uma resposta de seu alvo, ele envia todas as informações necessárias para processar a solicitação de financiamento Net. Isso normalmente inclui o nome legal da empresa e o nome fantasia e um CNPJ. Documentos comprobatórios, como estatuto social e licença comercial (se necessário), são incluídos. Os golpistas geralmente estão ansiosos para iniciar o envio o mais rápido possível. Vários agentes de ameaças com os quais os pesquisadores da Proofpoint interagiram foram observados oferecendo-se para omitir o pedido para acelerar o processo de aprovação.
O cheque está no correio
Após a aprovação dos termos de crédito pelo alvo, normalmente é fornecido um endereço de entrega. O agente da ameaça pode incluir essas informações na solicitação inicial para agilizar o processo, mas geralmente aguarda até saber se as mercadorias serão enviadas para fins de segurança operacional. Pode ser necessário adiar o agendamento com uma “mula” – ou um intermediário que transfere mercadorias ou dinheiro de um local para outro – que levará as mercadorias até um endereço residencial.
Contatos com diversos agentes de ameaças forneceram insights sobre os tipos de serviços de transporte utilizados por esses grupos. As empresas mais utilizadas parecem ser serviços de agenciamento de cargas especializados no envio de mercadorias para países da África Ocidental, como Nigéria e Gana. Vale ressaltar que essas empresas provavelmente não têm conhecimento da natureza ilegal da carga que transportam. Provavelmente, elas são apenas convenientes para os agentes de ameaças.
A Proofpoint também observou que esses fraudadores utilizam endereços residenciais para receber os bens roubados. Embora seja difícil determinar com precisão a associação entre os endereços e as “mulas”, em geral, as “mulas” de dinheiro ou bens podem estar trabalhando voluntariamente com criminosos, ser amigos ou familiares dos fraudadores e não ter ideia de que a atividade que estão facilitando é maliciosa, ou podem ser ex-vítimas de golpes buscando quitar uma dívida.
Além de serviços de transporte de carga e “mulas”, os criminosos também alugam armazéns. A Proofpoint observou os criminosos tentando alugar armazéns mensalmente em diversos locais dos Estados Unidos.
Rompendo o status quo
Os pesquisadores da Proofpoint não apenas rastrearam e bloquearam e-mails associados a esses grupos, como também tomaram medidas para interromper suas operações, o que resultou na remoção com sucesso de 19 domínios associados a essa atividade específica.
A Proofpoint também conseguiu identificar alguns endereços de e-mail controlados por agentes de ameaças, usados para comunicação com diversas transportadoras nos EUA.
Maneiras de identificar uma RFQ
À medida que esse golpe continua a proliferar, há características importantes que as organizações devem ter em mente:
- Verifique sempre o endereço de entrega. Se for um serviço de frete ou endereço residencial, proceda com cautela e encontre métodos alternativos para validar a identidade e a autenticidade da pessoa com quem você está se comunicando.
- Cheque o endereço de e-mail e o nome de domínio da empresa referenciada. Pesquise o nome da empresa online; o domínio corresponde ao domínio do remetente? O e-mail é legítimo? Ligar diretamente para a empresa usando um número de telefone listado no site da empresa legítima pode ajudar a validar se algo é autêntico ou se é uma fraude.
- Desconfie de contas de e-mail gratuitas que se passam por representantes de uma empresa ou instituição estabelecida. Isso deve ser um sinal de alerta imediato.
Domínios e resultados maliciosos
A Proofpoint implementou uma estratégia de mitigação dupla para neutralizar as ameaças aos domínios listados: primeiro, trabalhando com os principais parceiros da lista de bloqueio para impedir rapidamente os domínios em escala global; depois, coordenando remoções completas com os principais provedores de infraestrutura para mitigar efetivamente a atividade no momento.
Siga TI Inside no LinkedIn e fique por dentro das principais notícias do mercado.
Fonte: TI INSIDE Online - Leia mais
