ZERO DIA - Semana 2025-01-06
Desdobramentos da prisão do administrador da Brasil Store, Phishing e smishing sazonal e permanente no Brasil, Grupo Ransomware FunkSec e APT RedDelta.
Desdobramentos da prisão do administrador da Brasil Store
O programa de variedades Fantástico continua a ser um dos principais programas escolhidos pela Rede Globo para reportagens especiais sobre crimes e golpes. Uma das reportagens de 5 de Janeiro foi sobre a prisão de Paulo César Gomes da Silva Dutra, 33, administrador da Brasil Store, pela Polícia Civil (PC) do Rio de Janeiro em conjunto com a PC de São Paulo. A matéria de 11 minutos foi ao ar fora do período coberto por essa edição de ZD, mas um desdobramento inesperado aconteceu na semana seguinte.
Dutra, conhecido como Banucha Gomes ou Professor do Golpe Digital, foi preso em 11 de Dezembro de 2024. A matéria do Fantástico foi ao ar em 5 de Janeiro. Em 8 de Janeiro aconteceu um desdobramento: a Polícia Federal (PF) anunciou a deflagração da Operação Falsarius. A operação reprimiu outros membros da mesma organização criminosa, que de acordo com a PF não se limitava a Dutra.
É possível que haja mais desdobramentos da repressão contra a organização por trás da Brasil Store, que vendia pacotes de dados pessoais incluindo até cartões e consultas para uma base de 50 mil usuários. Vale a pena assistir a matéria do Fantástico.
Phishing e Smishing sazonal e permanente no Brasil
O ano de 2025 começou com as típicas matérias sobre golpes de G1, Canaltech e Folha. As marcas e instituições dessa temporada são Secretaria da Fazenda do Paraná e São Paulo (IPVA) e Receita Federal.
A isca para o golpe do IPVA é pagar menos. Bem, a isca da maioria dos golpes é pagar menos. É uma ótima isca, considerando que a maioria dos brasileiros passa por um ciclo anual de revolta por pagar IPVA, amenizada apenas ao conhecer a taxa de IPVA de centenas de milhares de Reais de algum carro super esportivo. No estado do Paraná, o imposto é 3,5% do valor da Tabela FIPE (Fundação Instituto de Pesquisas Econômicas) para aquele veículo, com desconto de 6% para pagamento à vista. No estado de São Paulo, o tributo é de 4% e o desconto à vista de apenas 3%. Cada estado tem regras diferentes para o tributo e para o desconto, mas normalmente o desconto não fica muito além dos rendimentos de renda fixa. Fique atento a notificações entregues por SMS ou Whatsapp citando grades descontos.
A isca para o golpe da Receita Federal envolve a ainda incompreendida taxação de transações Pix que excedem R$ 5 mil. Aconteceu o mesmo na recente onda de supostas taxações de encomendas do Correios após as mudanças que afetaram pedidos de Aliexpress e semelhantes. Se você se informa por meio de Whatsapp ou qualquer outro veículo de comunicação que não faz checagem de fatos, fica mais suscetível a esse tipo de boato. Isso tende a aumentar com o último anúncio de Zuckerberg. Os golpistas parecem ser melhor informados do que a maioria da população e exploram de maneira muito competente notícias como essa.
Quem me conhece sabe que prefiro dar dicas simples e fáceis de lembrar. O mundo da configuração de desktops e dispositivos móveis já é suficientemente complexo.
É verdade, os Correios enviam notificações sobre pacotes por SMS, mas em minha experiência pessoal nunca incluem um link. Os Correios oferecem um excelente aplicativo para rastreamento de encomendas enviadas ou recebidas para seu CPF. Utilize-o.
Sobre links recebidos por SMS, muito cuidado. Diferente de Email e até Whatsapp, há muito pouca proteção em SMS, como filtros. Se você não tem um aplicativo de segurança que assume o controle do SMS, você está vulnerável.
Você pode simplesmente receber a mensagem e apagar ou ajudar os outros.
Há alguns anos atrás, as operadoras de celular entraram em um acordo sobre um número para o qual você poderia encaminhar Spam entregue por SMS. Bastava encaminhar para 7726 (S P A M no teclado de telefone numérico). Pessoalmente, recebia as mensagens de feedback, porém nunca percebi uma melhora na taxa de Spam. A maioria do Spam SMS não é proveniente de números convencionais, por isso relatar é quase inócuo. Esse serviço das operadoras nunca recebeu muita atenção e parece ter sido descontinuado.
Devido ao meu histórico de analista de CERT, sempre gostei muito de relatar incidentes. No caso desse tipo de Spam é bem simples: basta relatar para os navegadores.
Reporte para Google Safe Browsing por meio desse link. Ao reportar para Safe Browsing, você automaticamente estará reportando para Mozilla Firefox, Microsoft Edge, e até para aquele seu navegador exótico que você jura que é mais seguro e que também é baseado em Google Chrome. Para reforçar, você também pode reportar para Microsoft Security Intelligence, que irá proteger outros produtos Microsoft.
Phishing normalmente tem um link único ligado diretamente à campanha que você recebeu. Remova esse identificador único para não saberem que você foi o X9 e tente reportar somente o site principal. Não custa nada.
Brasil e Brasileiros
Nessa seção, listo e comento ataques que envolveram o Brasil ou Brasileiros.
Nesse período não consegui encontrar blogs e notícias sobre ameaças Brasileiras, por isso vou relatar somente aqueles nos quais o Brasil apareceu.
Sou contra fazer name and shame de vítimas de Ransomware. Eles sabem que foram vítimas, todos que acompanham os vários monitores de Ransomware [RansomLook, Ransomwatch, Ransomware.live, eCrime.ch] já sabem, vocês não precisam de mim fazendo isso. Reportar Ransomware é como chegar para um motorista que acabou de bater e dizer “Ei, você bateu o carro”. Acho que você entendeu meu ponto.
FunkSec
Em 10 de Janeiro, Check Point Research (CPR) publicou um blog a respeito de um grupo de Ransomware chamado FunkSec, que emprega inteligência artificial (IA) no desenvolvimento do malware de suas campanhas. O portal Tecmundo repercutiu o blog em um artigo próprio.
DLS significa Data Leak Site, que foi o nome dado pela indústria para aqueles blogs dos grupos de Ransomware que alimentam os monitores de Ransomware que citei acima. Nesses blogs, os operadores expõem e divulgam suas vítimas. De acordo com eles mesmos - a fonte dos dados é o DLS do FunkSec - 5% das vítimas é do Brasil.
Achei curioso o nome do grupo, com funk no nome. Não enxerguei nada na análise que indique que os atores por trás desse grupo tenham nacionalidade Brasileira, embora os pesquisadores da CPR tenham comentado sobre a possibilidade do upload de um dos vídeos ter sido feita a partir do Brasil. O vídeo em questão parece já ter sido removido - https://youtu[.]be/M-5nGMmjK2g .
DesertStorm’s YouTube profile listed their location as Russia, though the video’s shared URL suggested it was uploaded from Brazil.
O tempo dirá se foi apenas um nome engraçado.
RedDelta
O Brasil também foi mencionado como vítima do APT (Advanced Persistent Threat) chinês RedDelta em um blog da Recorded Future. Não foram mencionadas exatamente quais organizações foram alvo ou indicadores de comprometimento (IOC) que dêem alguma pista.
Era isso que eu tinha para hoje. Até a edição de 20 de Janeiro!
Perdi alguma coisa? Claro que é possível! Aumento minhas fontes a cada dia, mas posso falhar. Utilize as ferramentas de feedback do Substack ou entre em contato diretamente por Blue Sky ou até mesmo Linkedin.
Excellente newsletter! Super acionável.