Os kits de phishing dos cibercriminosos tornam o roubo de credenciais mais fácil do que nunca

As tentativas de phishing estão ao alcance de invasores menos experientes em tecnologia, graças ao aumento dos kits de phishing. Saiba onde esses kits são encontrados, como funcionam e como combatê-los.

Phishing não é uma ameaça nova. No entanto, ainda está mirando milhões de caixas de e-mail todos os dias e roubando credenciais de vítimas inocentes.

Historicamente, as páginas de phishing eram usadas principalmente para segmentar credenciais bancárias ou informações de cartão de crédito. Atualmente, embora esse tipo de phishing ainda exista, outras fraudes de phishing visam endereços de e-mail profissionais ou diferentes credenciais de serviços online.

Para que uma página de phishing seja eficiente, ela precisa ser uma cópia perfeita da página direcionada, mas modificada para enviar dados ao fraudador. Isso requer habilidades de desenvolvimento web que alguns cibercriminosos não possuem. Portanto, eles estão se voltando para uma maneira mais fácil de obter o que precisam: kits de phishing.

O que são kits de phishing?

Os kits de phishing são pacotes completos de manuais e documentação que são vendidos ou fornecidos aos cibercriminosos para ajudá-los a realizar golpes de phishing. A Kaspersky publicou recentemente uma pesquisa sobre as ferramentas, documentando a profundidade e usabilidade dos produtos.

A oferta mais básica consiste em uma única página da web e um script para armazenar os dados roubados localmente (ou seja, em uma pasta oculta) ou enviar os dados para um local remoto por e-mail ou software de comunicação de terceiros, como o Telegram.

Os kits de phishing mais avançados contêm um centro de controle para ajustar as funcionalidades das páginas de phishing, como especificar como elas receberão dados ou realizar filtragem. Alguns kits também permitem que criminosos gerem páginas de phishing que visam usuários de diferentes países (Figura A).

Figura A

Além disso, alguns kits fornecem scripts para enviar mensagens por meio de softwares de mensagens populares ou e-mail, todos contendo links para as páginas de phishing.

VEJO: Violação de senha: por que cultura pop e senhas não se misturam (PDF grátis) (TechRepublic)

Os kits de phishing também podem ter conteúdo gerado dinamicamente. Alguns links recebidos em e-mails de phishing contêm o endereço de e-mail do alvo, muitas vezes criptografado, que preenche automaticamente o campo de endereço de e-mail da página de phishing, tornando-o ainda mais realista para o usuário. Além disso, os ícones do domínio de destino podem ser buscados por scripts e exibidos para adicionar confiança visual à página (Figura B).

Figura B

Ainda outra técnica consiste em inserir um iframe na página. O iframe fará o da primeira página do site legítimo, enquanto um script exibirá o conteúdo de phishing sobre ele (Figura C).

Figura C

VEJO: Google Chrome: dicas de segurança e interface do usuário que você precisa saber (TechRepublic )

Por que kits de phishing?

Os kits de phishing facilitam o lançamento de campanhas de phishing por cibercriminosos sem conhecimento técnico. Outra razão reside no fato de que as páginas de phishing são frequentemente detectadas após algumas horas de existência e são rapidamente encerradas pelos provedores. Os provedores de hospedagem geralmente são alertados por usuários da Internet que recebem e-mails de phishing e baixam a página de phishing o mais rápido possível. Os kits de phishing possibilitam hospedar várias cópias de páginas de phishing mais rapidamente, permitindo que a fraude permaneça ativa por mais tempo.

Finalmente, alguns kits de phishing fornecem sistemas antidetecção. Eles podem ser configurados para recusar conexões de bots conhecidos pertencentes a empresas de segurança ou anti-phishing ou mecanismos de pesquisa. Uma vez indexada por um mecanismo de pesquisa, uma página de phishing geralmente é removida ou bloqueada mais rapidamente.

As contramedidas usadas por alguns kits também podem estar usando geolocalização. Uma página de phishing direcionada a um idioma não deve ser aberta por alguém que use outro idioma. E alguns kits de phishing estão usando ofuscação leve ou pesada para evitar serem detectados por soluções antiphishing automatizadas.

O mercado subterrâneo dos kits de phishing

Os kits de phishing estão sendo vendidos em mercados clandestinos de crimes cibernéticos ou compartilhados por meio de fóruns privados de fraudadores ou canais do Telegram. Os preços variam muito dependendo da qualidade das páginas e scripts de phishing e de seu nível de sofisticação. A Kaspersky dá o exemplo de um canal do Telegram que vende kits de phishing entre US$ 50 e US$ 900 (Figura D).

Figura D

Os kits de phishing também podem ser vendidos como um pacote de phishing como serviço (PHaaS). Eles consistem em uma gama mais ampla de serviços, desde a criação de sites falsos para phishing até o lançamento de campanhas direcionadas de roubo de dados.

A Kaspersky fornece o exemplo de um serviço para roubar credenciais de de contas da Microsoft usando uma página de fraude do Excel, com garantia de teste em todos os tipos de dispositivos (Figura E), vendido por $ 40 USD.

Figura E

Os kits de phishing também podem ser encontrados gratuitamente na internet. Com uma pesquisa rápida, a TechRepublic conseguiu encontrar e baixar dezenas de kits de phishing diferentes da internet (Figura F).

Figura F

Embora seja bastante fácil encontrar esses kits na Internet, os cibercriminosos que consideram essa abordagem devem estar cientes de que a maioria desses kits gratuitos é backdoor. Os desenvolvedores dos kits de phishing costumam adicionar um backdoor em seu código, ofuscado, que enviará silenciosamente todos os dados roubados para eles mesmos, além das pessoas que usam o kit de phishing.

VEJA: Software de inteligência de ameaças cibernéticas: como escolher as ferramentas de CTI certas para o seu negócio (TechRepublic)

Alvejando

Em 2021, a Kaspersky detectou 469 kits de phishing individuais, permitindo bloquear 1,2 milhão de sites de phishing. As empresas ou marcas de phishing detectadas com mais frequência em 2021, de acordo com a Kaspersky, foram Facebook, Adidas, Amazon, grupo bancário holandês ING e banco alemão Sparkasse.

Além de usar páginas de phishing, os cibercriminosos geralmente registram nomes de domínio semelhantes ao domínio legítimo da marca que estão direcionando ou que contenham o nome da marca. Este truque é conhecido como combosquatting (Figura G).

Figura G

Recomendações para a defesa do kit de phishing

• Não clique em links ou arquivos anexados contidos em e-mails provenientes de fontes desconhecidas, ou em qualquer software de comunicação como Telegram, WhatsApp, etc.
• Se um e-mail parece vir de um colega, mas tem características incomuns (falta de rodapé do e-mail, erros de ortografia, etc.) ligue para o colega e verifique se ele realmente foi o remetente e se você pode clicar no link ou abrir o arquivo anexado com segurança .
• Verifique se o URL ao qual o link leva está correto e legítimo.
• Esteja ciente de que o SMS em telefones celulares também pode conter links para páginas de phishing. Não clique em nenhum link vindo de uma fonte desconhecida, ou mesmo de uma aparentemente legítima se você não esperava um SMS dele.
• Se você receber uma mensagem que parece legítima de uma entidade, e seu site e faça em vez de usar o link fornecido no e-mail.
• Esteja ciente de que navegar em um site usando HTTPS não significa que seja seguro. Cada vez mais cibercriminosos usam certificados SSL gratuitos para seus domínios de phishing.
• Use soluções antiphishing para proteger seu navegador contra sites de phishing.
• Relate os sites de phishing que você pode detectar ao seu departamento de TI ou até mesmo às organizações anti-phishing. Isso ajudará a todos na Internet, pois geralmente é resolvido rapidamente com o bloqueio de software.