- Um SMS real de cobrança de tarifas alfandegárias e impostos da FedEx exibia praticamente os mesmos sinais de uma mensagem de phishing, e em uma enquete com mais de 4.000 participantes, 87% consideraram a mensagem suspeita
- A mensagem incluía um shipment number curto, pedido urgente de pagamento, uso estranho de maiúsculas e minúsculas, ausência de indicação de moeda e um endereço de pagamento
bpoint.com.au, não da FedEx - Na tela de rastreamento de entregas da FedEx, era difícil confirmar informações sobre duty ou tax, e no link da BPOINT bastava alterar parâmetros da URL para mudar tracking number, customer name e amount
- Os canais de suporte e o atendimento por telefone também geraram confusão, mas um anexo de e-mail recebido 3 dias depois confirmou fatura da Prusa e dados de pedido, preço e envio, mostrando que o SMS correspondia a uma solicitação real
- Controles técnicos como bloqueio de SMS de golpe não bastam; quando mensagens de empresas legítimas se parecem com características típicas de phishing, o critério de julgamento do usuário se desfaz
Quando um aviso de entrega real parece phishing
- Recentemente chegaram muitas tentativas de phishing por SMS do tipo “não foi possível entregar seu pacote”, e elas passaram pelos filtros da operadora até a caixa de entrada
- Ao avaliar se algo é phishing, costuma-se observar sinais como urgência, medo de perder algo e URLs estranhas que não combinam com a transportadora
- Enquanto aguardava uma entrega real da FedEx, chegou um SMS pedindo pagamento de duty e taxes, e só pela aparência era difícil decidir se era uma solicitação legítima ou phishing
- Mais de 4.000 pessoas responderam a uma enquete no X, e 87% julgaram a mensagem “dodgy AF”
Sinais suspeitos presentes no SMS
- A mensagem trazia uma grafia estranha e uma sequência como
-Exp, diferente do padrão da FedEx, que normalmente escreveFedExcomEmaiúsculo - O shipment number parecia curto demais e era o mesmo número mostrado no pedido de pagamento abaixo
- A palavra
urgentfuncionava como um sinal de engenharia social, levando a pessoa a agir sem pensar o suficiente - O uso de maiúsculas e minúsculas em
DutyeTaxesera estranho, e apesar de ser uma mensagem de uma transportadora global, não havia moeda nem símbolo de dólar - O link de pagamento não usava nem um domínio da FedEx nem um domínio do governo australiano, mas sim
bpoint.com.au - Oferecer um contato de atendimento dentro do próprio SMS ia na direção oposta ao movimento do NAB de remover links de mensagens de texto
Um processo difícil até para verificar manualmente
- O conselho básico para pedidos de pagamento suspeitos é não clicar no link da mensagem e acessar diretamente o site correspondente para conferir
- A partir do e-mail de confirmação de compra da Prusa, foi possível localizar os dados de envio e abrir o site da FedEx, mas a página de rastreamento não mostrava nenhum item relacionado a duty ou tax
- Ao seguir o link do SMS, era possível alterar arbitrariamente tracking number, customer name e amount apenas mudando parâmetros da URL
- Isso podia ser feito só alterando parâmetros da query string, sem modificar o DOM do navegador nem interceptar tráfego
- O comportamento parecia o de um site de phishing, mas a BPOINT era um gateway de pagamento da Commonwealth Bank
- No dia seguinte, chegou outro SMS do mesmo remetente
- Desta vez, o shipping number estava incluído na mensagem, e o uso de maiúsculas e minúsculas em duty e taxes havia sido corrigido
PAY NOWaparecia em maiúsculas, e o “link” continha apenas parâmetros de query string, sem scheme, domain ou path, então não era possível clicar para pagar- Os nomes dos parâmetros da query string também passaram a ficar todos em maiúsculas, dando a impressão de outro processo de geração ou de um fluxo quebrado
Suporte ao cliente e confirmação final
- Ao pesquisar o número 1800, a página correspondente no Reverse Australia apareceu entre os primeiros resultados, e os comentários e resultados de busca em geral mostravam confusão sobre a legitimidade da mensagem
- Em vez de usar o número presente no SMS, a verificação foi tentada pelo caminho de Customer Support no site da FedEx
- A página de suporte focava em comunicação por e-mail e verificação do domínio do remetente, e informava um telefone diferente do número presente no SMS
- Ao ligar para o número indicado e entrar no menu de duty e taxes, depois de algumas etapas a entrada pelo teclado não funcionava, e a mesma mensagem se repetia
- Como alternativa, foi orientado ligar para 132610, mas esse era o mesmo número para o qual a ligação já havia sido feita
- Tentando novamente por outro caminho no menu, o sistema pediu o tracking number, informou os mesmos dados do site e ofereceu a opção de falar com um atendente
- O atendente explicou que o valor da remessa era de US$799 e havia sido convertido para AU$1.215,97, enquadrando-se em inbound fees, mas prometeu retornar para confirmar se batia com o valor do SMS
- Três dias após o primeiro SMS, chegou um e-mail, e o valor, o endereço da BPOINT e a mensagem coincidiam com o SMS
- O anexo do e-mail trazia a fatura completa da Prusa, além de número do pedido, preço e informações de envio, confirmando que o SMS estava ligado a uma solicitação real
Mensagens corporativas que enfraquecem a defesa contra phishing
- Só na Austrália, as perdas anuais com golpes passam de AU$3B, e em escala global o problema é ainda maior
- A ACMA informou que as operadoras bloquearam 336 milhões de SMS de golpe, mas não se sabe quantas mensagens de golpe não foram bloqueadas
- Como controles técnicos sozinhos não bastam, as pessoas precisam identificar golpes por padrões como pedido de dinheiro, urgência, gramática e uso de maiúsculas/minúsculas estranhos e URLs suspeitas
- Neste caso, uma mensagem legítima da FedEx continha justamente vários desses padrões de identificação de golpe
- Em um momento em que golpes com IA ficam cada vez mais difíceis de detectar, se as mensagens de organizações legítimas não se distinguem das de golpistas, o critério de julgamento do usuário fica enfraquecido
1 comentários
Comentários do Hacker News
A FedEx está entre as grandes empresas com a pior plataforma digital e uma das seguranças mais frouxas
Quando me mudei para um prédio relativamente novo e configurei o FedEx Delivery Manager, bastou inserir o novo endereço para que, sem qualquer verificação, aparecessem imediatamente as instruções de entrega do antigo morador, incluindo até o código da garagem privativa do prédio. Um ladrão poderia ter feito exatamente a mesma coisa
Depois que me mudei de novo, tentei adicionar o novo endereço, mas o site dava erro toda vez, e ao fuçar os fóruns descobri que provavelmente era verdade a hipótese de que, se a senha tiver caracteres especiais, algumas funções do site quebram permanentemente. Até o fluxo de troca de senha estava quebrado, então no fim minha esposa teve que criar uma conta nova com uma senha mais fraca
A empresa em si é impressionante, mas isso aí é realmente nível amador
Nos dois pedidos mais recentes, parece que alguém dentro da FedEx simplesmente roubou os pacotes; eles entraram na instalação e depois nunca mais saíram. O atendimento ao cliente é só uma máquina de pedir desculpas no exterior e não resolve nada. Antes eu preferia a FedEx, mas o nível do serviço caiu tanto que hoje faço questão de evitar
Assim que a conta foi criada, começaram a chegar cobranças de remessas internacionais de milhares de dólares entre remetentes e destinatários sem qualquer relação comigo, e ainda eram debitadas automaticamente do cartão de crédito cadastrado. Quando removi o cartão, começaram a chegar pelo correio aquelas faturas grossas em papel da FedEx
Descobri então que a FedEx permite cobrar em qualquer conta só sabendo o número da conta de 9 dígitos, então golpistas geram números aleatórios e fazem isso o tempo todo. A FedEx não se importou, recusou registrar como fraude e, mesmo depois da denúncia, ainda permitiu mais remessas fraudulentas. Só fecharam a conta depois que fiz chargeback pela operadora do cartão, mas os e-mails de marketing dos quais agora nem dá para cancelar a inscrição continuam chegando. É uma empresa que ninguém deveria usar
Na prática, basta saber um endereço para fazer um ataque de negação de serviço contra qualquer pessoa do planeta, de qualquer lugar com internet
Passei 1 ou 2 meses achando que o pacote tinha sido roubado, até perguntar ao USPS se por acaso ele estava guardado lá; de fato estava na “sala de correspondência não entregável”, e ainda levei um sermão de que é ilegal a FedEx colocar pacote em caixa de correio, que é propriedade do USPS/governo
Tentei ligar para a FedEx para pedir que resolvessem, mas, pelo que lembro, ou não atenderam, ou disseram que não havia como contatar o entregador. Desde então evito a FedEx, e também passei a evitar a UPS depois que quebraram duas luminárias antigas que comprei no eBay
Quando minha esposa solicitou um empréstimo com garantia hipotecária, alguém dizendo ser do banco ligou dizendo que, como a casa estava em nome conjunto, precisava confirmar se eu aprovava o empréstimo
Perguntou meu nome e eu informei; em seguida, também passei os últimos quatro dígitos do meu número de seguridade social, mas quando imediatamente pediu o número completo, o alerta disparou. Fiquei preocupado por ter fornecido até mesmo os últimos quatro dígitos para um desconhecido que ligou do nada e liguei de volta para o número no site do banco para perguntar se eu podia confirmar se ele era realmente um funcionário
Ele ficou irritado, disse que provavelmente não haveria no site um número que me conectasse a ele e que, se eu não fornecesse o número completo da seguridade social, não teria escolha a não ser rejeitar a solicitação do empréstimo. Quando respondi que não poderia fornecer a informação se não houvesse uma forma de retornar o contato pelo número oficial do banco, ele ficou bravo e desligou
No fim, descobri que ele era mesmo um funcionário do banco e realmente cancelou o pedido de empréstimo
De fato, quando liguei para o número oficial, o banco confirmou isso. Expliquei que era uma prática de segurança ruim, mas disseram que bastava olhar o identificador de chamadas para confirmar que a ligação vinha do banco. Explicar spoofing de identificador de chamadas não adiantou em nada
Antes de 2011, os três primeiros dígitos indicavam o escritório emissor, e os dois do meio, o “número de grupo”, eram usados segundo uma sequência publicamente conhecida. A Administração da Seguridade Social também publicava periodicamente a lista dos maiores números de grupo alcançados por cada escritório
Com a mudança na legislação tributária em 1986, passou a ser necessário o número de seguridade social da criança para receber o crédito tributário por dependente, então o registro ao nascer se tornou comum; para essas pessoas, é muito fácil prever os cinco primeiros dígitos
Se irritarem o cliente, não vão receber a doce comissão, então em geral são gentis. O último agente de empréstimo com quem falei fechava mais de US$ 1 bilhão em hipotecas por ano e era realmente muito simpático até por telefone
Num caso desses, ele poderia ter pedido para enviar um e-mail de um endereço oficial do banco, ou usar o próprio webapp ou sistema de mensagens do banco
Quando atendi, a pessoa tinha um sotaque muito forte, bem típico de chamadas golpistas, perguntou se eu havia feito uma transação recente e disse que, para confirmar essa transação, eu precisava fornecer mais dados pessoais, como endereço residencial e número de seguridade social. Quando me recusei, disseram que a conta seria bloqueada
E a conta realmente foi bloqueada; tive que ir pessoalmente à agência para desbloqueá-la e ainda provar que o dinheiro que eu pretendia transferir realmente existia na outra conta. Não faz sentido nenhum. Não era uma conta nova, e eu já havia feito transferências entre as duas contas antes; não faço ideia de que fraude estavam tentando impedir
Mas, quando questionei essas práticas que pareciam phishing, me disseram que estava tudo bem porque era um site “legítimo” que recebe suas credenciais para ver o histórico de transações dos últimos 180 dias, calcula sua pontuação de crédito e depois saca o dinheiro. Também disseram que iriam analisar a situação com a empresa alemã para ver se existia uma solução melhor
Parece que um provedor de pagamento chamado klara ou klarna é bastante popular na Alemanha, mas não consigo entender como um banco pode simplesmente mudar unilateralmente seus termos relacionados à segurança. Claro, se você der informações secretas para a pessoa errada, a culpa é sua, e mesmo que seu número de seguridade social vá parar nas mãos de golpistas, o banco não vai se importar
Há alguns meses, um e-mail recebido do centro de TI da empresa parecia mais suspeito do que qualquer phishing que eu já tinha recebido
Veio de um domínio genérico tipo
@itservice.com, que não se parecia em nada com o domínio oficial da empresa, e o assunto era “URGENT: your account is expiring soon”. No corpo havia vários links, todos difíceis de ler e longos, quebrados em várias linhas, e nenhum deles usava um domínio claramente ligado à empresaTambém não havia nenhuma forma de resolver o problema sem clicar no link, nem alternativas como “ir para as configurações da conta” ou “falar com seu gerente direto”. Só que era um e-mail real. Para referência, é uma empresa com cerca de 100 mil funcionários
O mesmo time exige troca de senha a cada 6 meses e também bloqueia a reutilização das 20 senhas mais recentes. São senhas que precisam ser digitadas manualmente de 10 a 20 vezes por dia em sistemas que não conseguem chamar diretamente o gerenciador de senhas. Dá para imaginar qual deve ser a força média das senhas dos funcionários
Incompetência de TI deveria levar a reprovação em auditoria e, melhor ainda, virar motivo para deslistagem da bolsa
purchase-verification-users.net/235532/confirm.html; procurando no Google, o site nem apareciaAo mesmo tempo, recebi uma ligação de um número aleatório pedindo para confirmar alguns detalhes da compra, e quando fui verificar, não era um número listado no site do meu banco
Desliguei e liguei diretamente para o banco; depois de 10 minutos perdido na URA, uma atendente confirmou que aquele número era de fato usado para entrar em contato com clientes. Quando perguntei por que ele não aparecia na lista de números no site, ela disse que eles frequentemente ligam de números que não divulgam online
Quando perguntei se o e-mail tinha sido enviado pelo banco, ela respondeu que, se na linha do remetente constasse o nome do banco, então podia clicar, mas não tinha como saber se aquele e-mail específico realmente tinha sido enviado por eles. Era basicamente: se não for o banco na linha do remetente, não clique; se for, pode clicar
É meio sarcástico, mas se uma empresa desse tamanho nem tem um meio de reportar phishing, então existe um problema mais grave do que uma campanha de e-mails suspeitos
Se a intenção é inspecionar tudo centralmente, talvez até seja um meio-termo razoável, mas isso reduz muito minha capacidade de julgar a legitimidade de um e-mail. No mínimo, o conteúdo do treinamento deveria ser atualizado
No começo fiquei chocado e fiz uma checagem de segurança da informação, mas descobri que era um “novato” que precisava coletar informações dos sistemas para um inventário de equipamentos. Ele ainda não tinha acesso às ferramentas de administração de rede e não entendia muito bem por que não era uma boa ideia sair executando
curl ... | sh, então achou que pedir os dados manualmente, em pedaços, para as pessoas seria aceitávelEsse tipo de coisa realmente acontece
Hoje vi um post no Reddit dizendo que um banco alemão enviou pelo correio um pendrive USB com os novos termos e condições: https://www.reddit.com/r/de/comments/1ax7ky3/milde_interessa...
É um nível que parece impossível de inventar
Alguns bancos ou instituições financeiras parecem interpretar isso de um jeito bem estranho. Em outros lugares, um anexo por e-mail pareceria mais que suficiente
Eles têm a obrigação de entregar documentos aos clientes, mas a diretoria parece entender essa exigência de um jeito estranho, e acabam comprando as soluções e ideias mais absurdas possíveis
Quando comprei um carro, alguns meses depois recebi um e-mail dizendo que eu não tinha comprovado a contratação do seguro e que precisava entrar num domínio que não pertencia ao banco para enviar a documentação
O e-mail parecia um papel timbrado escaneado de forma grosseira e era realmente suspeito. Depois de receber aquilo algumas vezes, finalmente entrei em contato com o banco e era mesmo real
Tentei explicar para a pessoa responsável, e não para um atendente de balcão, por que aquilo era uma má ideia, mas ela não entendeu. Pouco tempo depois quitei aquele financiamento e saí desse banco
Liguei para a corretora de seguros e a solicitação era legítima. Expliquei que, considerando todos os sinais de alerta, aquela carta estava a poucos passos de distância de um golpe do príncipe nigeriano, mas não parece ter mudado muita coisa
O texto em si foi excelente, mas o primeiro SMS era tão horrível que teria sido melhor se a FedEx dissesse ao destinatário para transferir a taxa alfandegária para um príncipe nigeriano.
Ainda assim, discordo em parte da direção da recomendação de Troy Hunt. A premissa básica deveria ser que, em geral, as pessoas não conseguem distinguir mensagens reais de mensagens de phishing. Com a IA, isso será ainda mais verdade no futuro, e depender desse tipo de distinção por características é uma falha fatal.
Em vez disso, nunca se deve confiar em links externos ou números de telefone contidos na mensagem recebida. É preciso procurar o endereço ou telefone por conta própria e fazer login no serviço correspondente. Desligue, pesquise e ligue novamente deveria ser um lema absoluto.
Organizações responsáveis deveriam declarar que jamais colocarão links ou números de telefone em SMS, e-mails ou ligações, e que nas mensagens de notificação só escreverão algo como “Para mais detalhes, faça login no painel”.
Fica claro que ele considera que distinguir URLs fraudulentas por heurística não é uma abordagem escalável no longo prazo.
Humanos já falham em cerca de 95% das vezes na identificação de phishing. As pessoas já conseguem copiar com precisão e-mails, sites e mensagens reais, então nem é preciso IA.
Dá para incluir o link, desde que ele pertença ao domínio principal e seja curto e bem visível: https://example.com/contact
Se o usuário não estiver logado, basta mostrar primeiro um fluxo de login explicando algo como “Se você recebeu uma mensagem nossa, faça login para ver os detalhes”, e incluir também formulário de contato, número de telefone e chat de suporte, se existirem.
Um site de phishing também pode imitar isso até certo ponto, mas não há motivo para forçar o usuário a descobrir sozinho como resolver o problema.
Isso é resultado de incompetência organizacional, mas em algum momento deve ter existido uma pessoa que digitou o conteúdo daquele template problemático de SMS em algum sistema de computador.
Fico realmente curioso para saber o que essa pessoa estava pensando ao juntar as palavras desse jeito. Seria preciso um esforço sincero para conseguir deixar aquilo pior.
Na área de tecnologia há muita gente bem-intencionada fazendo, sem colegas nem revisão, algo um pouco complexo demais para executar sozinha. Em grandes empresas, há até times e departamentos inteiros nesse estado.
Talvez essa pessoa nem fosse totalmente incompetente e fosse a engenheira estrela do time, enquanto o restante achava que não tinha nada a acrescentar e ficava calado. Os realmente bons talvez já tivessem ido para algum projeto novo e glamouroso em outro andar, ou para uma equipe de elite de “refatoração”, e não gastariam tempo com algo como atualizar templates.
Uma pessoa pode ter escrito o texto, outra pode ter pedido uma alteração parcial em um ticket do Jira. Só que o tipo de dado talvez não combinasse com o que o autor pediu, e o desenvolvedor pode simplesmente ter feito o deploy sem querer lidar com isso.
Ou a mensagem pode ser estruturada em vários
ifseparados, com apenas a saída final sendo entregue ao cliente. Sem ninguém vendo a mensagem inteira, e cada um mexendo apenas num pedacinho dentro da sua própria condição, surgem com frequência mensagens de log horríveis.Já trabalhei com código que gerava uma mensagem muito detalhada explicando por que certo erro acontecia, mas depois descobri que a maior parte disso não chegava ao cliente. Foi porque, mais adiante, alguém tinha reatribuído a variável em vez de usar
+=. Isso poderia ter evitado inúmeros tickets de suporte.A pessoa hipotética que escreveu esse template provavelmente tentou fazer exatamente a mesma coisa, e por isso o resultado ficou tão parecido. O uso de “urgent” ou de iniciais maiúsculas em “Duty” e “Taxes” também parece ter vindo de uma tentativa de soar mais formal e oficial, e claramente não era um redator experiente.
O velho ditado sobre incompetência e malícia manda escolher uma das duas, mas na prática é mais correto ver isso como um espectro entre ambas, com várias dimensões que explicam intenções conscientes e inconscientes.
No escândalo do Post Office britânico, dá para ver incompetência em cima de malícia, e por cima mais incompetência ainda. Em algumas organizações, posturas claramente prejudiciais chegam a ser escritas como “política”. Muitas vezes isso entra sob o rótulo de “PR”, e no futuro “IA” será usada ainda mais para esconder malícia e evitar revisão.
Foi marcante a cena no último episódio do drama da ITV em que Toby Jones, no papel de Alan Bates, diz sobre incompetência e malícia: “as duas são a mesma coisa”. Em certo ponto, a diferença entre incompetência e malícia desaparece. Uma discussão psicológica mais profunda pode ser ouvida aqui: https://cybershow.uk/episodes.php?id=23
Material relacionado: https://en.wikipedia.org/wiki/Mr_Bates_vs_The_Post_Office, a definição de relações públicas de Edward Bernays apresenta um credo de engano, manipulação e desinformação que é o oposto completo da segurança: https://en.wikipedia.org/wiki/Public_Relations_(book)
Combina bastante com a minha experiência com a FedEx. Eles enviaram a fatura 7 meses depois de eu receber o pacote, e alguns dias depois chegou uma carta de cobrança sem nem as informações necessárias para pagar
Eu poderia até ter perdido a fatura não paga, mas deixar de fora as informações necessárias foi algo bem preguiçoso e idiota. Mandaram eu entrar em www.fedex.com e criar uma conta, então eu criei, mas a conta não sabia absolutamente nada sobre a minha fatura
Por acaso encontrei a fatura original, e naquela fatura enviada com 7 meses de atraso estava escrito em letras minúsculas “pagamento imediato”. No meu país, o normal é 30 dias, então foi a primeira vez que vi essa expressão numa fatura. E, claro, eles ainda mandaram a segunda carta de cobrança 10 dias depois de eu já ter pago
Se você usar uma estrada com pedágio no Texas, não há cabines para pagar na hora; 6 a 12 meses depois chega pelo correio uma cobrança dizendo “quinto e último aviso”. Algo como cobrar 4 dólares de pedágio e 80 dólares de multa por atraso
Tenho certeza de que quem opera isso tem amigos ou parentes na assembleia legislativa do Texas
Recebi um monte de mensagens assustadoras sobre cobrança de dívida, mas sem nenhuma explicação além de dizer que tinha relação com um pacote da FedEx
Isso é um problema real causado pelo fato de tantas coisas serem terceirizadas para provedores de nuvem externos
Antigamente, se vinha da intranet da empresa, estava tudo bem. Agora pesquisa, treinamento e todo projeto novo da moda vêm de domínios externos desconhecidos, e ainda pedem para você entrar com as credenciais da empresa
A nossa empresa faz campanhas de “phishing falso” para manter todo mundo atento, transformando o reconhecimento de e-mails de phishing em uma espécie de jogo, mas isso não deveria ser necessário para atividades legítimas da empresa
Como proposta de lei: se uma notificação eletrônica de uma empresa parecer phishing a ponto de uma pessoa razoável ter motivo claro para duvidar da sua legitimidade, então toda consequência financeira ou jurídica de ignorá-la deve recair sobre o remetente
Aqui, “remetente” significa quem enviou a notificação eletrônica
Dá para presumir que, cada vez que a palavra “razoável” aparece numa lei, mais de 1 bilhão de dólares em honorários advocatícios já foi ou ainda será gasto
Depois recebi a mesma coisa por correio de verdade e, quando liguei para o banco, descobri que havia lá uma conta guardando recursos de pensão de um antigo empregador
Aí o órgão não libera o pacote para a FedEx e, no fim, você não recebe a encomenda. A FedEx precisa fazer essas notificações muito melhor e, no mínimo, contratar um redator
O chato é não haver um jeito fácil de pagar o imposto antecipadamente e ter que contar com a sorte para saber se vai cair em inspeção. Ainda bem que a UE organizou isso e quase não existem mais surpresas estranhas. Tirando os casos de United States e United Kingdom