Campanha de phishing russa usa SMS falsos para roubar credenciais de apps de mensagens

O que foi descoberto sobre a campanha de phishing russa

Autoridades ucranianas e o FBI revelaram uma campanha de ciberespionagem de longa duração conduzida por serviços de inteligência russos. O alvo principal são contas de mensagens de autoridades governamentais, militares, políticos e ativistas na Ucrânia, Europa e Estados Unidos. Os invasores usam mensagens SMS falsas que se passam por bots de suporte de plataformas de mensagens para induzir vítimas a compartilhar credenciais de acesso. Segundo o Serviço de Segurança da Ucrânia (SSU), o objetivo é obter informações militares, políticas e econômicas sensíveis, além de dados pessoais dos usuários. A campanha não foi atribuída a um grupo específico, mas operações semelhantes já foram vinculadas a clusters de atividade russa como Star Blizzard, UNC5792 e UNC4221.

A abordagem é simples, mas eficaz: os invasores enviam SMS que parecem vir do suporte oficial do aplicativo de mensagens, pedindo que o usuário forneça dados de login para "verificar a conta" ou "recuperar acesso". Ao obter as credenciais, os atacantes conseguem acessar históricos de conversas, contatos e arquivos compartilhados, comprometendo não apenas organizações e figuras públicas, mas também contas pessoais de cidadãos ucranianos. O SSU alertou que esse tipo de ataque representa uma ameaça significativa à segurança nacional e à privacidade de indivíduos.

Como os invasores estão operando

Os criminosos por trás da campanha utilizam técnicas de engenharia social para criar mensagens que imitam comunicações oficiais. Os SMS incluem links para páginas falsas que se assemelham ao site real do aplicativo de mensagens, onde as vítimas são solicitadas a inserir nome de usuário e senha. Em alguns casos, os invasores também enviam códigos de confirmação ou pedem que as vítimas compartilhem chaves de recuperação de conta, o que lhes permite acessar as contas mesmo após uma suposta "alteração de senha".

A campanha não se limita a um único aplicativo de mensagens. Embora não tenha sido especificado quais plataformas foram mais afetadas, especialistas indicam que serviços como Signal, WhatsApp e Telegram são frequentemente usados como isca devido à sua popularidade entre usuários que lidam com informações sensíveis. Os atacantes também exploram a confiança que os usuários depositam em mensagens que parecem oficiais, aproveitando-se do fato de que muitas pessoas não verificam a autenticidade dos remetentes antes de clicar em links ou compartilhar dados.

Quem está sendo atingido e por quê

Os alvos incluem não apenas funcionários governamentais e militares, mas também ativistas, jornalistas e cidadãos comuns na Ucrânia e em outros países. O SSU destacou que até contas pessoais de ucranianos estão sendo comprometidas, o que amplia o alcance da campanha e aumenta o risco de vazamento de informações privadas. Para os invasores, o valor dessas contas está na possibilidade de acessar comunicações internas de organizações, estratégias políticas ou dados econômicos que possam ser usados para influenciar conflitos ou obter vantagens estratégicas.

No contexto da guerra na Ucrânia, o acesso a contas de mensagens de autoridades e militares pode fornecer informações críticas sobre movimentações de tropas, planos de defesa ou negociações diplomáticas. Além disso, o roubo de dados pessoais pode ser usado para chantagem, extorsão ou até mesmo para criar perfis falsos que facilitem novos ataques. A campanha reflete uma estratégia russa de usar ciberataques para complementar operações de inteligência tradicional, ampliando o espectro de alvos e aumentando o impacto das ações.

Técnicas de ataque e táticas observadas

Os invasores empregam uma combinação de phishing por SMS e engenharia social para enganar as vítimas. Os SMS geralmente incluem mensagens como "Sua conta foi bloqueada. Clique aqui para reativar" ou "Confirme sua identidade para evitar suspensão". Ao clicar no link, a vítima é redirecionada para uma página falsa que coleta as credenciais de login. Em seguida, os atacantes usam essas informações para acessar a conta real e, em muitos casos, ativam a autenticação em dois fatores (2FA) para manter o controle.

Outra tática comum é o uso de códigos de recuperação de conta. Os invasores enviam mensagens pedindo que a vítima compartilhe o código de confirmação recebido por SMS ou e-mail, alegando que é necessário para "verificar a conta". Uma vez obtido o código, os atacantes podem redefinir a senha e assumir o controle total da conta. Além disso, eles monitoram as conversas em tempo real para identificar informações valiosas ou contatos de outros alvos potenciais, ampliando o alcance da campanha.

Medidas de segurança recomendadas pelas autoridades

Para se proteger contra esse tipo de ataque, o SSU e o FBI recomendam uma série de práticas de segurança. Primeiro, é essencial revisar periodicamente as sessões ativas nos aplicativos de mensagens e encerrar conexões desconhecidas. Isso pode ser feito nas configurações de segurança do app, onde é possível visualizar dispositivos ou locais de login suspeitos. Segundo, ativar a autenticação em dois fatores (2FA) é fundamental, pois adiciona uma camada extra de proteção mesmo se as credenciais forem roubadas.

Outras recomendações incluem nunca compartilhar códigos de confirmação, PINs, senhas ou chaves de recuperação com terceiros, mesmo que a solicitação pareça legítima. Também é importante evitar clicar em links suspeitos ou abrir arquivos enviados por remetentes desconhecidos. No caso de aplicativos que usam QR codes para login, como o WhatsApp, é crucial não escanear códigos recebidos de usuários não verificados. Essas medidas simples podem reduzir significativamente o risco de comprometimento da conta.

Atribuição e contexto das ameaças russas

Embora o SSU não tenha atribuído a campanha a um grupo específico, operações semelhantes já foram vinculadas a clusters de atividade russa. O Star Blizzard, por exemplo, é conhecido por usar campanhas de phishing direcionadas a organizações ocidentais para coletar informações. Já o UNC5792 e o UNC4221 foram associados a ataques contra usuários de Signal e WhatsApp, com foco em figuras públicas e organizações de mídia. Esses grupos operam com recursos avançados e têm como alvo não apenas governos, mas também empresas e indivíduos que possam fornecer informações estratégicas.

O contexto geopolítico atual, especialmente a guerra na Ucrânia, tem intensificado as atividades cibernéticas russas. Além das campanhas de phishing, há relatos de ataques a infraestruturas críticas, vazamento de dados e desinformação. A combinação de ciberataques com operações de inteligência tradicional permite que a Rússia amplie seu alcance e maximize o impacto de suas ações. Para organizações e indivíduos em regiões de conflito ou próximos a ele, a vigilância constante é essencial para evitar se tornar um alvo.

Impacto potencial e consequências para as vítimas

As consequências de um ataque bem-sucedido podem ser graves. Para autoridades e militares, o vazamento de informações pode comprometer operações, estratégias de defesa ou negociações diplomáticas. Para ativistas e jornalistas, o acesso não autorizado a comunicações pode resultar em perseguição, prisão ou até mesmo risco à vida. Além disso, o roubo de dados pessoais pode ser usado para chantagem, extorsão ou criação de identidades falsas, ampliando o dano além do âmbito digital.

No caso de organizações, o comprometimento de contas de mensagens pode levar a vazamentos de dados corporativos, perda de propriedade intelectual ou danos à reputação. Para indivíduos, o impacto pode incluir roubo de identidade, acesso não autorizado a contas bancárias ou uso fraudulento de informações pessoais. A recuperação de uma conta comprometida nem sempre é simples, especialmente se os invasores conseguirem alterar as configurações de segurança ou excluir históricos de conversas. Por isso, a prevenção e a resposta rápida são fundamentais.

O que as organizações e usuários podem fazer agora

Organizações, especialmente aquelas em setores governamentais, militares ou de mídia, devem implementar políticas rigorosas de segurança para seus funcionários. Isso inclui treinamentos regulares sobre reconhecimento de phishing, uso de autenticação em dois fatores e revisão periódica de acessos suspeitos. Além disso, é recomendável monitorar atividades incomuns em contas de funcionários e investigar imediatamente qualquer sinal de comprometimento.

Para usuários individuais, a atenção aos detalhes é crucial. Sempre verificar o remetente de mensagens, evitar clicar em links suspeitos e nunca compartilhar informações sensíveis por canais não seguros. Usar gerenciadores de senhas pode ajudar a reduzir o risco de reutilização de credenciais em diferentes plataformas. Em caso de suspeita de comprometimento, a recomendação é alterar imediatamente a senha, desativar sessões desconhecidas e entrar em contato com o suporte do aplicativo para relatar o incidente.

Perspectivas futuras e tendências de cibersegurança

A campanha revelada pelo SSU e pelo FBI é apenas um exemplo de como os ciberataques estão se tornando mais sofisticados e direcionados. Com o avanço da inteligência artificial e das técnicas de engenharia social, os invasores estão constantemente inovando para contornar as defesas existentes. Para as autoridades e empresas de segurança, isso significa que a colaboração internacional e o compartilhamento de informações sobre ameaças serão cada vez mais importantes.

No futuro, espera-se que os ataques por SMS e aplicativos de mensagens continuem a crescer, especialmente em regiões de conflito ou com tensões geopolíticas. A adoção de tecnologias como autenticação biométrica e tokens físicos pode ajudar a mitigar riscos, mas a educação e a conscientização dos usuários permanecerão como pilares da segurança digital. Para os usuários finais, a regra de ouro continua sendo: desconfie de mensagens não solicitadas, verifique sempre a autenticidade dos remetentes e mantenha seus dispositivos e aplicativos atualizados.