A polícia de São Paulo, no Brasil, prendeu um homem que, do interior do seu carro, enviava SMS para os smartphones nas proximidades, com links para réplicas de sites de grandes bancos brasileiros. Um equipamento especial disparava mensagens de phishing para os smartphones no alcance da rede móvel simulada, enquanto o homem conduzia em zonas de muito trânsito e engarrafamentos.

O condutor, que nem carta de condução válida tinha, recebia cerca de 1.000 reais (cerca de 163 euros) por semana para conduzir um Jeep Renegade alugado pelas ruas de São Paulo, enquanto o equipamento enviava as falsas mensagens do banco para os smartphones de pessoas próximas.

A Polícia prendeu o homem e explicou o procedimento: o condutor foi indiciado por associação criminosa, invasão de dispositivo informático, uso clandestino de sistema de telecomunicações e corrupção de menores de 18 anos. Além disso, não tinha documentos que o habilitassem a conduzir. No Jeep estavam aparelhos de telecomunicações, um portátil, baterias e uma antena semelhante às utilizadas pelas operadoras como a Claro, a TIM ou a Vivo.

Para tudo correr como planeado, o carro tinha de estar a cerca de cinco metros das vítimas, por isso o homem circulava em artérias congestionadas da cidade, incluindo os bairros mais pobres.

A polícia calcula que pelo menos 100 pessoas foram lesadas em apenas um mês e diz que os restantes criminosos não foram localizados. Um dos suspeitos é a namorada do condutor, avança a polícia de São Paulo.

Criminosos usam esquema sofisticado de phishing combinado com stingray

Os SMS enviados do veículo são semelhantes aos esquemas tradicionais de phishing. Referiam que os pontos de um cartão de crédito estavam prestes a expirar e incluíam um link para os trocar antes dessa data. Após abrir o link, era pedido às vítimas para inserir dados bancários, incluindo passwords, em sites com interfaces semelhantes aos dos bancos. Minutos depois, todo o dinheiro da vítima era retirado da conta.

PJ detém 13 suspeitos de ataques de Phishing e CEO Fraud que lesaram empresas portuguesas
PJ detém 13 suspeitos de ataques de Phishing e CEO Fraud que lesaram empresas portuguesas
Ver artigo

A mecânica de distribuição das SMS difere do habitual envio aleatório, uma vez que os criminosos se aproveitavam a proximidade física para bloquear o sinal das operadoras e criar uma rede móvel clandestina para que o SMS não passasse pelas redes de telecomunicações legais, usando um equipamento conhecido como stingray ou IMSI-catchers, que também são utilizados pelas polícias.

Esta intercetação dos smartphones é possível devido a vulnerabilidades de segurança nas redes GSM (2G) que não exigem autenticação entre a torre da operadora e o telemóvel, afetando também equipamentos que suportam tecnologias mais recentes (3G, 4G ou 5G). Entre os smartphones, pelo menos os equipamentos com Android 12 e superiores já têm uma função que impede a ligação às redes 2G.

A utilização da rede móvel GSM por telemóveis caiu em desuso e, no Brasil, a autoridade reguladora brasileira, Anatel, discute a possibilidade de desligar a rede. No entanto, as empresas da área da Internet das Coisas defendem que a norma deve ser mantida devido ao número elevado de dispositivos que dependem da tecnologia.