Com a temporada de compras natalinas em alta velocidade, surgiu uma enorme ameaça à segurança cibernética, colocando os compradores on-line em risco significativo.
Foi descoberta uma campanha coordenada, envolvendo o registo de mais de 2.000 lojas online falsas com temática natalina.
Esses sites maliciosos são projetados para atrair consumidores desavisados com a promessa de grandes descontos, apenas para roubar suas informações de pagamento e dados pessoais.
A escala desta operação é vasta, com dois grupos distintos de lojas fraudulentas identificadas, ambos empregando táticas sofisticadas para parecer legítimos e enganar os compradores.
O primeiro cluster consiste principalmente em domínios typosquatted que imitam a Amazon, enquanto o segundo abrange uma ampla gama de domínios “.shop” que representam marcas conhecidas como Apple, Samsung e Ray-Ban.
Essas lojas falsas não são incidentes isolados, mas parte de uma campanha automatizada em grande escala. Os agentes da ameaça por trás desta operação programaram o seu ataque para coincidir com os períodos de pico de compras, como a Black Friday e a Cyber Monday, quando os consumidores estão ativamente à procura de pechinchas e podem ser menos cautelosos em relação a websites desconhecidos.
Vitrine falsa (Fonte – CloudSEK)
Os pesquisadores de segurança da CloudSEK observaram a natureza coordenada desses golpes, identificando o uso de kits de phishing idênticos, modelos de sites recorrentes e infraestrutura compartilhada em toda a rede de lojas falsas.
Este nível de coordenação sugere uma operação bem organizada e com recursos. O impacto sobre os consumidores é grave, variando desde perdas financeiras diretas até aos riscos a longo prazo de roubo de identidade.
Além disso, estas fraudes minam a confiança nos retalhistas online legítimos e no ecossistema do comércio eletrónico como um todo.
Táticas de infecção e engano
O modus operandi dessas lojas falsas é simples e eficaz. Eles aproveitam uma combinação de engenharia social e evasão técnica para enganar os usuários e evitar a detecção.
Os sites são projetados para se parecerem com plataformas profissionais de comércio eletrônico, completos com banners com temas de feriados, cronômetros de contagem regressiva que criam uma falsa sensação de urgência e falsos “emblemas de confiança” para construir credibilidade.
Pop-ups fabricados de “compra recente” também são usados para criar prova social e pressionar os visitantes a fazerem uma compra.
Página inicial falsa (fonte – CloudSEK)
Quando um usuário tenta comprar um produto, ele é redirecionado para uma página de checkout projetada para coletar seus detalhes de faturamento e pagamento.
Esses sites shell geralmente usam domínios não sinalizados para processar transações, permitindo que os invasores contornem os sistemas de detecção de fraude.
Domínios falsos e falsos: –
Cluster de domínioMarca personificadaExemplos de domínio falsoCluster A (com tema Amazon)Amazonamaboxhub.com, amawarehousesale.com, amaznshop.comCluster B (domínios .shop)Xiaomixiaomidea.shopJo MaloneJomalonesafe.shopFujifilmFujifilmsafe.shopSamsungSamsungsafe.shopUma marca popular(marca)safe.shop ou (marca)fast.shop
A investigação também revelou que uma rede de distribuição de conteúdo (CDN) compartilhada, cdn.cloud360.top, foi usada para fornecer ativos a mais de 750 lojas falsas, destacando ainda mais a natureza centralizada da campanha.
Um arquivo JavaScript recorrente, identificado por seu hash SHA-256 exclusivo, também foi encontrado em vários domínios .shop maliciosos, controlando o processo de checkout fraudulento.
Siga-nos no Google News, LinkedIn e X para obter mais atualizações instantâneas, defina CSN como fonte preferencial no Google.
