Geral 3min de Leitura - 31 de agosto de 2020

50.000 páginas de login falsas

Notebook aberto exibindo página de login.

This post is also available in: Português

Essa é a quantidade encontrada somente no primeiro semestre deste ano. Tal truque tem o objetivo de roubar senhas de usuários das principais plataformas online, de redes sociais a serviços de pagamento.

Imagine tentar acessar sua conta do Facebook, ou do PayPal, e se deparar com uma página falsa – praticamente idêntica à original – feita apenas para furtar seu login e senha. Não é algo tão difícil de acontecer; levando em consideração apenas o Face, são milhares de clones fakes, prontos para ludibriar quem não estiver atento.

Quem diz isso é uma pesquisa da multinacional Ironscales. Foram mais de 50.000 páginas de login falsas detectadas apenas na primeira metade de 2020. Elas simulam mais de 200 marcas famosas em todo o planeta, e em geral servem de apoio a campanhas de spear-phishing.

Nesse contexto, há um agravante. O levantamento também descobriu que cerca de 2500 delas são polimórficas, com um login falso capaz de representar mais de 300 páginas de login diferentes. O polimorfismo é mais uma ferramenta para enganar usuários, e ocorre quando um invasor implementa alterações leves, mas significativas e frequentemente aleatórias em e-mails maliciosos.

Isso permite que os criminosos desenvolvam rapidamente ataques de phishing que enganam as ferramentas de segurança de e-mail. Afinal, muitas delas são baseadas em assinaturas que não foram desenvolvidas para reconhecer essas modificações, impedindo que versões diferentes do mesmo ataque sejam detectadas nas caixas de entrada. Nessa pesquisa, a Microsoft e o Facebook lideraram a lista, com 314 e 160 permutações respectivamente.

A pesquisa também determinou que a marca com o maior número de páginas de login falsas era o PayPal, com 11.000, seguido pela Microsoft com 9.500 e Facebook com 7.000. Os destinatários mais comuns são emails de empresas dos setores de serviços financeiros, saúde e tecnologia, bem como agências governamentais. Ou seja, tanto o setor público quanto o privado são alvos dessas campanhas maliciosas.

Existem porque dão certo

Os cibercriminosos têm investido na criação de páginas falsas de login por um único motivo: elas funcionam, pois têm usuários caindo nesse truque aos milhares. Enquanto isso continuar acontecendo, os crackers continuarão a usá-lo.

Na lista de melhores maneiras de combater essa realidade está o treinamento. É preciso educar melhor os usuários sobre os perigos de tais páginas, e como identificar quando uma delas está sendo visitada. Essa questão do conhecimento do usuário final cresceu muito nos últimos seis meses com a pandemia. Afinal, em quarentena, milhões de pessoas passam mais tempo online para manter o distanciamento social físico. Contudo, muitos não têm o conhecimento para se manter seguros na esfera digital.

Há um outro problema igualmente preocupante. Trata-se da falta de governança associada à criação de sites e registros de domínio. Seria necessário então verificar a integridade de sites e domínios de maneira pró-ativa.

Há meios de fazer isso, com procedimentos e processos claros para retirar sites e domínios onde existam malware, ou que não sejam legítimos. Entretanto, são processos demorados, que não evitariam visitas a páginas falsas por alguns segundos – tempo suficiente para os desavisados digitarem seus logins e senhas. É como se um corpo se infectasse e morresse mais rápido do que o tempo que o remédio leva pra fazer efeito.

No entanto, nada está perdido. Especialistas em plataformas de confiança e segurança neste campo em específico estão tornando o cenário mais difícil para os crackers. Uma das atividades nesse sentido é a criação de mensagens inteligentes de consciência de segurança em páginas de login legítimas – bem como o investimento em acesso multifatorial cada vez mais robusto.

Resposta rápida

Outro quesito que chama atenção é a abrangência dos ataques. Não há uma ou duas empresas como alvos específicos, mas sim centenas de marcas. Assim, as ações de combate acabam sendo necessárias por parte de cada uma delas. Apesar de também serem vítimas, precisam facilitar a comunicação rápida e o acompanhamento de tentativas de phishing que atingem seus clientes, funcionários e reputação. Depois de receber uma tentativa de phishing, devem ser capazes de emitir avisos e, em poucas horas, encerrar as campanhas de phishing. Não se trata apenas de chegar ao ponto em que nenhum funcionário nunca mais clique em páginas falsas, mas sim de responder com rapidez e eficácia quando isso acontecer. Afinal, as ameaças não param de surgir e de se transformar.

This post is also available in: Português