Phishing ataca no Brasil com GitHub Pages e IA

Um esquema de phishing de grandes proporções, dirigido a cidadãos brasileiros, foi localizado utilizando a plataforma GitHub Pages como hospedagem principal para distribuição da fraude, conforme evidenciado pelas investigações da empresa brasileira Swarmy, especializada em soluções de segurança digital e antifraude. Segundo as informações levantadas pela empresa, a estratégia demonstra uma escalada nas metodologias de cibercrime, incorporando infraestrutura legítima e ferramentas avançadas para golpes financeiros.

Engenharia social explora o feirão “Serasa Limpa Nome” e o Gov.br

A organização da fraude se estabeleceu através de engenharia social cuidadosamente planejada, utilizando como isca o título do “Feirão Online Serasa Limpa Nome”, em parceria simulada com a plataforma Gov.br. A expectativa dos malfeitores é fazer as vítimas interagirem com o conteúdo, que foi replicado em nada menos do que 135 domínios, indicando a natureza em larga escala da operação.

A publicação massiva da campanha foi viabilizada pelo uso de uma esteira de devOps com fluxo de trabalho automatizado para rápida implantação, segundo descobriu a Swarmy, utilizando a hospedagem gratuita oferecida pelo GitHub Pages, um serviço oficial do GitHub que permite a publicação direta a partir de um repositório.

Interação com AI Chat Builder e pagamento solicitado via PIX

O engajamento inicial com os usuários ocorre por meio do Typebot AI, um AI Chat Builder, configurado para simular uma interação autêntica e guiar a vítima através do processo fraudulento de suposta consulta e negociação de dívida, até o desfecho do golpe. Para aumentar a percepção de autenticidade, o vídeo oficial do Serasa sobre o feirão é utilizado no phishing, persuadindo as vítimas a acreditarem na legitimidade da oferta de quitação da dívida. Ao final do processo de convencimento, é solicitado da vítima um pagamento de R$78,54 via PIX. As consequências desse phishing já podem ser vistas no ReclameAqui, onde vítimas começaram a publicar reclamações contra a empresa Vital Cred, o serviço de banking as a service que aparece no código da aplicação desenvolvida pelos cibercriminosos.