Recentemente chegou à Iniciativa CpC: Cidadãos pela Cibersegurança um alerta para uma Tentativa de scam de arrendamento de casa que – pela sua natureza – mereceu a nossa atenção.

O caso em particular parece ser um modelo idêntico ao aplicado em outros casos e deverá estar a ser – provavelmente – aplicado a outras vítimas no mesmo momento em que estas palavras são escritas.

O esquema começou – como tantos outros – num anúncio no site idealista.pt a uma “Casas em Alameda – Praça do Chile – Almirante Reis” em Lisboa que “já não está publicado” (Referência do anúncio: 33580361) e desactivado no dia 11/08/2024. https://www.idealista.pt/imovel/33580361/

Num mercado em crise, como o do arrendamento habitacional em Lisboa, as potenciais vítimas são atraídas por anúncios de casas com grandes condições (neste caso um T3 remodelado, com todas as despesas incluídas e preços abaixo do valor de mercado). O interessado contacta o alegado “senhorio” mas não obtém resposta: o que – não sendo incomum – é certamente um primeiro sinal de alerta.

O método:

1ª Fase: O anúncio é publicado no idealista.pt mas durante a publicação nenhuma comunicação é respondida.

2ª Fase: O anúncio é retirado por quem o publicou mas quem contactou começa a receber emails de alguém que alega ser o “senhorio” que enceta uma troca de perguntas e respostas normais num contexto de novo arrendamento.

3ª Fase: Após esta troca de mensagens há referência a um processo de pagamento através da https://housinganywhere.com/ que é uma empresa legítima e se especializou no arrendamento para nómadas digitais e estudantes Erasmus: “HousingAnywhere is an online rental platform that connects home seekers (like you) with landlords. We help both sides achieve their renting goals — quick, online, and 100% safe” (…) “We sometimes get asked, are you a real estate agency? The answer to that is no. We don’t own any of the properties advertised on HousingAnywhere. Think of us as a match-making platform for the rental market. HousingAnywhere.com is an online platform that connects home seekers like you with landlords looking for tenants. So you can move to a new city or country with total peace of mind, knowing you’ll have a safe home base.”
As mensagens são trocadas a partir de domínios DNS de baixa confiança e usados para campanhas de spam e phishing. P.ex. o dr-pneumology.com (que tem caixas de email mas não tem site activo: o que é um padrão associado a estas trocas de emails com scammers).
A dado ponto o scammer envia um “recibo para pagamento” geralmente a partir de uma outra conta de email (frequentemente do TLD .io) o que é consistente com uma operação profissional e altamente segmentada/dividida entre vários scammers). Nesta operação o burlão usava o nome falso de um alegado médico (para aumentar a confiança na transacção) de nacionalidade espanhola.
A análise ao IP do servidor do spoofed domain indica a presença de malware Win32 EXE desde novembro de 2023 e novo malware adicionado em março de 2024 sendo que o site e IP parecem ser a base de uma série de campanhas de phishing recentes (como uma “CrowdStrike Falcon Sensor Update”) e estar a ser partilhado por vários grupos criminosos como o “Dan0n Ransonware group” ou apenas dAn0n activo desde abril de 2024 e com actividade conhecida nas áreas de Blackmail, Direct Extortion, Double Extortion, Elicit Cyber Insurance, Extortion Timeout, Free Data Leaks, Regulator Complaint, Victim Client Communication, e Victim Employee Communication. É provável que a metodologia do scam além do recebimento directo de verbas passe também pelo envio de um email com um link ou anexo malicioso a partir do qual se infecta a máquina (os alvos parecem ser apenas computadores Windows).
Este método pode ser aplicado a par de outros mais directos e imediatos através do pagamentos Multibanco para entidades fraudulentas ou através de transferências para contas bancárias operadas por “mulas”.
A idealista.pt foi alertada para este uso fraudulento convidando-a a tomar medidas preventivas a 30.08.2024.

4ª Fase: Para dar início à parte da monetarização da interacção o scammer pede à vítima: Nome completo, fotografia, número de telefone, data para mudança e a morada actual. Os dados exfiltrados podem depois ser usados noutras campanhas de Phishing muito personalizado (e, consequentemente, mais eficaz que o generalista).
Após a recolha de dados pessoais, alguém em nome da “Housinganywhere” mas que, de facto, está ligado ao scammer pede um pagamento numa conta bancária. Só depois do pagamento (uma “red flag”) é que – alegam – será enviada as chaves e a documentação associada. O scammer termina dizem que a empresa usa “os melhores sistemas de segurança disponíveis” no que é, também, de per si, uma “red flag”.

5ª Fase: o Pagamento assenta num mail enviado do domain HousingAnywhere.io que foi criado em 2024-07-21 (a HousingAnywhere.com real é de 2009) o que indica estamos perante um DNS e Site Spoofing.
O IP deste servidor .io tem muitos relatos de “abuse” de 2023 e 2024 (sobretudo) e é partilhado por outros sites e no SOCRadar é dado como “malicioso”.

6ª Fase e final: O pagamento é pedido através de transferências para referências Multibanco fraudulentas como aquelas que analisámos em
https://cidadaospelaciberseguranca.com/?s=21800 havendo casos em parecem ter sido usadas contas bancárias em bancos europeus sob controlo de “mulas”.

Quanto à HousingAnywhere.com:

1. Encontrámos muitas experiências negativas de utilizadores que usaram a plataforma HousingAnywhere para alugar imóveis. Uma vítima foi enganada por um proprietário que era um parceiro verificado na plataforma. Cerca de 300 outros em cidades como Munique, Berlim e Frankfurt foram vítimas de golpes semelhantes, mas as denúncias à polícia não resultaram em açcões efectivas.

2. Há relatos de vítimas que foram burlados depois de contactarem um falso senhorio que utilizou a política da HousingAnywhere de exigir pagamento antes da visita ao imóvel para burlar o interessado. Outros descrevem situações em que depois de pagar 2000 euros, o apartamento recebido era muito diferente do anunciado: móveis diferentes, condições precárias, problemas com electricidade e falta de utensílios básicos. A comunicação com a HousingAnywhere cessou após o pagamento da comissão. Outro relato destaca a cobrança de uma taxa de cancelamento de 390 euros, que não foi claramente informada no momento da reserva. Finalmente, outra experiência menciona que, em caso de cancelamento, a HousingAnywhere retém todo o dinheiro pago, sem oferecer qualquer serviço, o que foi considerado um golpe/scam por parte da vítima.

Embora nem todos os anúncios nesta plataforma sejam fraudulentos, a recomendação que aqui deixamos é a de ter extrema cautela se decidir utilizar a HousingAnywhere.com. Se o acesso for feito através da HousingAnywhere.io: não aceda nem interaja: é um scam.