A ascensão da dark web mudou muitas coisas para os criminosos. Por muito tempo, ela foi um paraíso para a compra e venda de drogas, armas, identidade falsa e dados confidenciais. Agora, novas pesquisas também mostraram que os kits avançados de phishing estão se tornando cada vez mais disponíveis.
Não que o phishing seja um fenômeno novo. A prática existe há quase tanto tempo quanto o próprio e-mail, e sempre foi uma parte importante do kit de ferramentas de um criminoso cibernético. Apesar de os riscos de phishing estarem muito mais disseminados, ele mantém o status de uma das formas predominantes de ataque cibernético. Há relatos afirmando que 91% dos ataques cibernéticos e violações de dados começam com um e-mail de phishing.
A pesquisa conduzida em parceira pela CyberInt e pela Check Point indica agora uma tendência ainda mais preocupante. Descobriram novos kits à venda na dark web que permitem a qualquer pessoa, mesmo com relativamente pouco conhecimento técnico, executar seu próprio esquema de phishing. Com essas ferramentas fáceis de usar disponíveis, esses kits podem causar uma explosão inédita de ataques de phishing.
Antes de mostrar os detalhes interessantes dos novos kits de phishing disponíveis, vamos relembrar como o phishing pode ser prejudicial.
Phishing: um lembrete
Você já deve estar cansado de ler sobre ataques de phishing e como evitá-los. Manuais sobre como se proteger contra esses ataques são um componente essencial de qualquer site de segurança cibernética bem-conceituado (e outros nem tão bem-conceituados), e agora quase todas as pessoas já possuem certo conhecimento sobre como esses ataques funcionam e acham que sabem como evitá-los.
Contudo, devido à quantidade imensa de informações disponíveis e há quanto tempo os usuários e empresas já sabem dos riscos de phishing, existe um perigo real de que a familiaridade leve à complacência. Longe de diminuir, os ataques de phishing estão realmente aumentando e se tornando cada vez mais sofisticados.
Embora as consequências de sofrer um ataque de phishing possam ser devastadoras para pessoas físicas, é importante lembrar também que os ataques de phishing geram prejuízos de bilhões de dólares para as pequenas e médias empresas todos os anos. Além disso, os ataques de phishing se tornaram mais direcionados, com ‘spear phishing’ – ataques altamente personalizados, muitas vezes direcionados exclusivamente a indivíduos poderosos – surgindo como uma tendência crescente.
Phishing para todos
A descoberta mais preocupante feita pela CyberInt e pela Check Point sobre os novos kits de phishing, no entanto, é que eles colocaram essas técnicas sofisticadas nas mãos de qualquer pessoa com um nível básico de conhecimento tecnológico.
Os kits de phishing estão disponíveis na dark web há anos e têm sido uma opção relativamente barata para o aspirante a criminoso cibernético. Os kits típicos custam entre US$ 20 e US$ 50 e prometem capturar detalhes básicos sobre vítimas, como senhas genéricas ou outras informações simples que possam ser usadas para montar um ataque mais sofisticado.
O kit recém-descoberto é um monstro diferente e muito mais caro. Ele foi desenvolvido por um usuário conhecido como [A]pache e fornece um site completo (e de aparência legítima) para capturar as informações financeiras das vítimas. A sofisticação do software também significa que ele vem com um preço igualmente maior: cerca de US$ 300.
Todavia, o que você adquire pelo que paga é bastante impressionante. O kit de phishing permite criar vários sites falsos que são cópias excelentes de portais de e-commerce conhecidos. Embora enfoquem principalmente varejistas brasileiros, os criminosos também têm a opção de incorporar o Walmart e outras empresas norte-americanas. Os resultados são realmente muito bons:
Fonte da imagem: https://research.checkpoint.com/a-phishing-kit-investigative-report/
Usando o kit, até mesmo um invasor inexperiente consegue criar um site falso e preenchê-lo com itens "à venda". O kit ainda vem com conselhos para aspirantes a invasores precificarem seus produtos falsificados de forma competitiva e fornece um painel de "gestão de informações das vítimas", no qual os detalhes financeiros podem ser colhidos, como demonstra a Check Point.
Ainda não se sabe se este kit, ou outros como ele, será um sucesso. O relatório de pesquisa não contém detalhes sobre a quantidade vendida. Na verdade, com a Check Point também conseguiu rastrear a conta do Twitter do autor desse kit, esperamos que ele seja retirado em breve, se for comprovado – e essa é uma grande condição – que a [A]pache cometeu um crime no Brasil.
Independentemente do resultado, o surgimento desse kit de phishing sugere que provavelmente kits avançados se tornarão uma commodity comum nos próximos anos.
Como se proteger
Isto posto, o que você pode fazer para se proteger?
Se você está cansado de ler sobre phishing em geral, provavelmente já conhece algumas das estratégias que pode usar para se proteger e para proteger seus dados e sua empresa. Embora kits como [A]pache estejam se tornando cada vez mais sofisticados, em um nível básico, a melhor maneira de se evitar ataques de phishing continua sendo a mesma: aprenda a identificar um e-mail de phishing, aprenda a identificar um site falso e faça simulações de phishing para testar esse conhecimento.
Além disso, você também deve se certificar de que os sites que você acessa sejam protegidos contra ataques de phishing. Embora ter sua própria informação roubada possa ser um desastre pessoal, ser responsável pelo roubo dos dados de seus clientes pode trazer consequências ainda maiores, culminando até em sanção legal. Por essa razão, é necessário aprender como proteger seus clientes contra ataques de phishing.
No entanto, de forma genérica, o que esses novos kits de phishing nos ensinam é que vale a pena estar sempre alerta contra novos ataques, mesmo que já estejamos entediados de ler sobre as mesmas técnicas antigas.
Este material foi adaptado da versão em inglês. Clique aqui para ler a versão original.