A SophosLabs está a monitorizar como a utilização das palavras “COVID-19” e “coronavírus” em nomes de domínio, spam, ataques de phishing e malware disparou nas últimas semanas.
Esta informação pode ser lida no novo artigo do blog Uncut da SophosLabs, “Enfrentar a miríade de ameaças relacionadas com o COVID-19”, um “relatório em tempo real” que a SophosLabs actualizará à medida que os resultados evoluam.
O artigo demonstra, especificamente, que o volume de emails fraudulentos relacionados com “COVID-19” e “coronavírus” quase triplicou na última semana – um aumento representado no gráfico abaixo.
Demonstra-se também que os atacantes estão, cada vez mais, a fazer-se passar por organizações como a OMS (Organização Mundial de Saúde), o CDC (Centro de Controlo e Prevenção de Doenças, América do Norte) e as Nações Unidas (ONU), como comprovado nos esquemas detectados pelo SophosLabs.
“Os cibercriminosos não perderam tempo em mudar o foco dos seus ataques mais sujos e comprovadamente eficazes: agora aproveitam-se do aumento dos receios em relação a este vírus para atrair a atenção dos mais vulneráveis com conteúdos relacionados. É fácil ver, por exemplo, que os atacantes por detrás de uma nova fraude Chloroquine são os mesmos que estão por detrás de uma recente fraude de Viagra à base de plantas,” afirma Chester Wisniewski, Sophos Principal Research Scientist.
Estima-se que o volume global de spam esteja nos milhares de milhões, e que 2-3% desse volume tenha a ver com o COVID-19 é significativo. Funciona como os testes A/B de publicidade e websites: os criminosos frequentemente “testam as águas” quando existe um tema novo ou sensacionalista nas notícias, e se se comprova que este atrai mais atenção do que a fraude anterior, começam a alterar o seu foco para os novos temas.
De facto, esta foi uma das observações mais evidentes numa das campanhas de scam que a Sophos detetou recentemente: os criminosos têm utilizado e-mails falsos de empresas e organizações para convencer as vítimas inocentes a abrir os anexos e assim infectarem os seus computadores com o Trojan Kryptik. Por exemplo, um dos e-mails utilizados, erecruit@who.int, parece pertencer à OMS e conter uma “recomendação de saúde” em anexo, mas quando analisamos cuidadosamente o corpo do texto, conseguimos perceber que coincide com uma campanha de scam anterior do mesmo criminoso.
Os aumentos deste tipo de ataques que a SophosLabs tem vindo a detectar devem-se, provavelmente, a dois fatores importantes.
Por um lado, à medida que o tempo passa, cada vez mais grupos de criminosos estão a tentar utilizar o tema COVID-19 para tentar conseguir roubar dinheiro às pessoas. Por outro lado, os ataques levam tempo. Qualquer grupo criminoso tem de pensar cuidadosamente os spams para convencer o destinatário a agir. Na comunidade de investigação, isto chama-se um “call to action”. Este apelo à ação pode ser para abrir um anexo, visitar um website ou no, como caso do scam OMS Bitcoin, doar criptomoedas para wallets de Bitcoin controladas pelos criminosos. Criar estas mensagens leva tempo, especialmente para quem não é nativo em Inglês.