Como cartões roubados, fazendas de SIM e trabalhadores temporários movimentam a economia dos golpes por SMS

Os EUA estão enfrentando uma onda de mensagens de texto fraudulentas que, segundo investigadores federais, evoluiu para uma operação criminal coordenada e bilionária com fortes ligações à China. O que começou como um incômodo de mensagens enganosas agora se transformou em uma operação cibernética global, explorando vulnerabilidades em redes móveis, sistemas de pagamento digital e no comportamento humano.

Autoridades de segurança descrevem ecossistemas criminosos extensos por trás dessas mensagens fraudulentas — redes que usam sistemas industriais de envio de SMS, sites de phishing sofisticados e uma cadeia de suprimentos de trabalhadores temporários baseados nos EUA para sacar dinheiro roubado e mover mercadorias através de fronteiras. O Departamento de Segurança Interna estima que apenas golpes envolvendo pagamento de pedágios e taxas postais geraram mais de US$ 1 bilhão para organizações criminosas nos últimos três anos.

As mensagens de texto se passam por instituições familiares: agências rodoviárias avisando sobre pedágios atrasados, transportadoras cobrando pagamento por encomendas não entregues ou órgãos municipais cobrando multas não quitadas. O objetivo é atrair as vítimas a sites que parecem reais, onde elas informam dados de cartão de crédito ou bancários. Essas informações financeiras então viram matéria-prima para um pipeline digital cuidadosamente montado que converte dados de cartões roubados em dinheiro e mercadorias.

Uma técnica que complica as investigações envolve vincular dados de cartões roubados a carteiras digitais na Ásia. Criminosos carregam os cartões das vítimas em carteiras digitais do Google ou Apple e depois compartilham essas credenciais com compradores atuando nos EUA. Como a informação está em um app de pagamento considerado confiável, os trabalhadores contratados podem usar os cartões em lojas como se fossem os proprietários.

Investigadores federais dizem que esse método mantém a velocidade e a escala do golpe. Trabalhadores nos EUA recebem taxas modestas por transação, ganhando aproximadamente 12 centavos para cada US$ 100 gastos em gift cards ou mercadorias — um valor que aumenta rapidamente quando replicado centenas de vezes por dia.

A onda de SMS fraudulentos é distribuída por fazendas de SIM, instalações industriais repletas de centenas de dispositivos de rede, cada um com dezenas de chips SIM. Essas operações multiplicam efetivamente a capacidade de envio de mensagens de uma única pessoa por milhares. “Uma pessoa numa sala com uma fazenda de SIM pode enviar a quantidade de mensagens que mil números de telefone enviariam,” disse Adam Parks, agente especial assistente do Homeland Security Investigations, ao The Wall Street Journal.

Ben Coon, diretor de inteligência na empresa de cibersegurança Unit 221b, afirma haver pelo menos 38 fazendas de SIM operando em cidades norte-americanas, incluindo Houston, Los Angeles, Phoenix e Miami. Muitas funcionam em escritórios alugados ou instalações improvisadas, com algumas descobertas em prédios vazios ou pequenas lojas. Trabalhadores temporários são pagos para configurar os dispositivos seguindo instruções enviadas por apps de mensagens chineses como o WeChat.

A empresa de cibersegurança Proofpoint, que monitora spam móvel, registrou um recorde diário de 330 mil SMS de golpe relacionados a pedágios no mês passado. O volume dessas mensagens aumentou para cerca de três vezes e meia o nível visto no início de 2024.

Vítimas que clicam nos links enganosos são frequentemente direcionadas a páginas de phishing que imitam de perto sites de pagamento legítimos. Investigadores afirmam que esses sites costumam ser gerados usando softwares compartilhados em canais criminosos hospedados no Telegram. As ferramentas de design permitem que golpistas copiem a aparência de sites corporativos com pouca habilidade técnica.

Especialistas alertam que os sites clonados não apenas coletam nomes e dados de cartão, mas também códigos temporários (one-time passwords) de instituições financeiras. Esses códigos, destinados a autorizar pagamentos pequenos, são usados pelos golpistas para finalizar a instalação dos cartões das vítimas em carteiras móveis estrangeiras, burlando a autenticação multifator e garantindo acesso de longo prazo.

“É o sistema mais fácil que eu já vi para criar sites de phishing,” disse Gary Warner, diretor de inteligência de ameaças na DarkTower, cuja equipe rastreou a infraestrutura da fraude.

Uma vez os cartões prontos para uso, a rede criminosa precisa convertê-los em lucro. Mercados ocultos no Telegram e apps similares permitem que organizadores recrutem centenas de residentes dos EUA diariamente para fazer compras em seu nome. Alguns compram eletrônicos, cosméticos ou iPhones diretamente, enquanto outros adquirem gift cards, que podem ser usados ou vendidos anonimamente depois. Mercadorias físicas muitas vezes são enviadas à China, criando um rompimento com a aplicação da lei dos EUA e uma fonte de renda para grupos de crime organizado chineses.

Um caso ilustrativo ocorreu em Kentucky, onde o cidadão chinês Heng Yin declarou-se culpado em agosto por fraude eletrônica e roubo de identidade após usar 107 números de cartão roubados para comprar 70 gift cards no valor de quase US$ 5.000. Investigadores disseram que Yin ocultava as compras com cartões sob grandes aquisições de supermercado em caixas de autoatendimento, permitindo drenar múltiplas contas com um único celular Android.

• Veja também: Pixnapping permite que apps maliciosos roubem dados sensíveis de dispositivos Android