Uma nova campanha de phishing tem explorado o crescente interesse da comunidade de entusiastas do gadget Flipper Zero para roubar dados pessoais e moedas criptográficas, de acordo com um pesquisador de segurança da informação.
O site oficial do gadget descreve o Flipper Zero como “um dispositivo multifunção portátil tipo Tamagotchi desenvolvido para interação com sistemas de controle de acesso”. A ferramenta lançada em 2020 por desenvolvedores independentes russos, financiada por uma campanha no Kickstarter, a qual superou a meta de US$ 60 mil em 81 vezes, arrecadando o total de US$ 4.882.784.
Desde então, o dispositivo se popularizou nas redes sociais entre nerds e praticantes de hacking, além de ser pautado pelas principais revistas e sites especializados em tecnologia do mundo todo.
No TikTok e YouTube é possível encontrar inúmeros demonstrações do dispositivo destravando carros de variadas fabricantes, isso porque o dispositivo tem entre sua ampla gama de funções a clonagem de chaves de acesso, além de comunicação de via rádio, NFC, IR, suporte à emulação RFID, Bluetooth, entre outros.
(Na última edição da Campus Party Brasil, em São Paulo, tive a oportunidade de testar o famoso ‘tamagotchi para nerds’, vasculhando-o por horas, testando Doom e desligando algumas TVs pelo evento (RFID). Funciona, mas deixa palestrantes furiosos).
Sucesso do Flipper Zero atrai atenção de fraudadores
Com o grande sucesso e publicidade gratuita conseguida pelo Flipper Zero, a ferramenta experimentou uma alta procura de entusiastas de hardware, pesquisadores em cibersegurança, geeks e curiosos — popularidade reconhecidamente inesperada, segundo um dos desenvolvedores do gadget. Em consequência da baixa oferta, agentes maliciosos estão aproveitando para criar perfis e lojas virtuais falsas fingindo vender o dispositivo.
No Twitter, as campanhas de phishing têm sido observadas pelo analista de segurança Dominic Alvieri, que encontrou apontou os perfis falsos na rede social e duas lojas virtuais se passando pelo Flipper Zero.
New Flipper Zero phishing campaign
official @flipper_zero
Fake Twitter accounts @fIipper_zero @fIipperzeroshop@FIipperZero
Fake Flipper Zero stores
/flipper-zero.shop @Hostinger
/flipperzerostore.net @namesilo #cybersecurity #infosec @TwitterSafety pic.twitter.com/SSotF37qqB— Dominic Alvieri (@AlvieriD) January 2, 2023
Para os mais desatentos, o perfil falso é praticamente idêntico ao oficial: um deles usa imagens de capa e perfil, além da descrição da bio, iguais à conta oficial. No entanto, além de não ter o selo de verificado do Twitter, o link usado na descrição troca o “l” do nome por um “i” maiúsculo, tornando imperceptível à primeira vista.
De acordo com a BleepingComputer, o perfil falso responde ativamente às pessoas sobre disponibilidade do dispositivo, além de responder aos tweets na timeline, para fazê-la parecer legítima.
Uma das lojas online encontradas ainda permanece ativa e finge vender o dispositivo – hoje esgotado no site oficial –, cases e módulo Wi-Fi pelos mesmos valores da loja original.
O objetivo é direcionar compradores potenciais à página de phishing do checkout, na qual dados como endereço de e-mail, nome completo e endereço de envio sejam preenchidos. Após a etapa, as vítimas são levadas a optar pelo pagamento em Ethereum ou Bitcoin, logo depois são informadas de que o pedido será processado dentro de 15 minutos após a confirmação.
Segundo os testes da BleepingComputer, nenhuma das carteiras listadas recebeu pagamento, levando a crer que a loja em particular não conseguiu enganar nenhum pesquisador de segurança ou usou carteiras novas após cada transação.
Desde então, os atores da ameaça passaram a usar faturas plisio.net para aceitar pagamentos criptográficos, que agora incluem Litecoin. Entretanto, estas faturas não estão funcionando, informando que o pedido expirou.
Em dezembro e anteriormente às observações de Alvieri, a conta oficial do Flipper Zero já havia advertido usuários sobre scammers no Instagram.
Dear @Instagram and @InstagramComms, there are hundreds of fake and scam accounts imitating our official Flipper Zero Instagram account. These fraudulent accounts try to fool people and steal money.
We can’t report them because we are rejected to have a verified blue check mark pic.twitter.com/iUBlfLZzSl— Flipper Zero (@flipper_zero) December 23, 2022
Créditos: TecMasters