Você pode ter um bom olho para detectar golpes, mas os fraudadores estão encontrando novas maneiras de transformar sistemas confiáveis em armas para evitar a detecção. Por exemplo, os agentes de ameaças estão gerando tíquetes reais de suporte da Apple para fazer phishing de códigos de autenticação de dois fatores (2FA) e obter acesso a contas do iCloud.
O esquema, detalhado no Medium pelo pesquisador de segurança e gerente de produto de software Eric Moret, mostra como as táticas de engenharia social podem semear medo e confusão suficientes para enganar até mesmo aqueles que conhecem os sinais de alerta. (O golpe de transferência de dinheiro que enganou um colunista de consultoria financeira em US$ 50.000 é outro exemplo.)
Como os golpistas estão explorando o sistema de suporte da Apple
O golpe de suporte da Apple começou com uma mensagem de texto da Apple contendo um código 2FA, seguida por notificações de verificação em todos os dispositivos, indicando que alguém estava tentando fazer login na conta de Moret. Ele então recebeu uma ligação automática da Apple com outro código 2FA. O texto foi entregue a partir de um código curto de cinco dígitos e a chamada de um número gratuito, ambos usados por empresas legítimas e não necessariamente sinais de alerta de fraude.
A próxima ligação, entretanto, veio de um número de telefone 404 de Atlanta. A pessoa que ligou alegou ser do suporte da Apple, afirmou que a conta de Moret estava sob ataque e garantiu que estavam abrindo um ticket de suporte. Durante uma chamada de acompanhamento com duração de 25 minutos, Moret recebeu uma confirmação real do caso de suporte da Apple por e-mail (acontece que qualquer pessoa pode criar um tíquete de suporte da Apple em nome de outra pessoa) e foi orientado a redefinir sua senha do iCloud.
Ele então recebeu um link por mensagem de texto – desta vez do número 404 – para fechar o ticket. Depois de clicar, Moret foi direcionado para um site de phishing que falsificou uma página real da Apple (o URL era apelo-apple(ponto)com), onde foi solicitado a inserir um código 2FA de 6 dígitos que acabara de receber por mensagem de texto. Um e-mail em sua caixa de entrada o alertou de que um Mac mini desconhecido havia sido usado para fazer login em sua conta do iCloud, o que o representante ao telefone disse que era “esperado como parte do processo de segurança” e “procedimento padrão”.
Moret então redefiniu imediatamente sua senha do iCloud novamente para desligar o dispositivo não autorizado.
Em retrospectiva, pode ser fácil ver os sinais: a chamada não solicitada sobre um problema urgente de segurança, o número 404, o link de phishing que não é um subdomínio real da Apple, a solicitação de um código de autenticação. Mas o tíquete de suporte da Apple – com um número de caso real e e-mails oficiais de domínios apple.com – deu credibilidade suficiente e as múltiplas notificações 2FA com urgência suficiente para funcionar.
O que você acha até agora?
Esse é o problema da engenharia social. Manipula emoções e instintos mais fortes que a lógica e a razão, levando a ações que não são do nosso interesse.
Como se manter seguro
Como sempre, você deve ter cuidado com qualquer pessoa que ligue, envie mensagens de texto ou envie e-mails sobre um problema de segurança ou de conta, mesmo que você tenha recebido alertas de segurança reais ou que eles tenham um número de caso legítimo. Não clique em links, insira credenciais ou forneça códigos quando solicitado por esses chamadores não solicitados. Não aceite garantias de ninguém ao telefone, por mais calmas e confiantes que pareçam.
Se estiver preocupado, você deve entrar em contato diretamente usando informações de contato confiáveis ou abrir tíquetes de suporte você mesmo. Sempre verifique URLs e subdomínios com cuidado, pois os hackers podem pregar peças para fazê-los parecer legítimos.
Além disso, saiba que simplesmente ter o 2FA ativado não é suficiente para manter suas contas seguras. Alguns formulários são (obviamente) facilmente phishing, portanto, se possível, você deve usar um método de autenticação multifatorial, como uma chave de hardware ou credenciais WebAuthn (biometria e chaves de acesso) em vez de códigos.
