Criminosos usam tecnologia para criar páginas personalizadas e enganar vítimas, dificultando a detecção
A ESET, empresa líder em detecção proativa de ameaças, identificou uma campanha de phishing que usa uma nova técnica para enganar vítimas e roubar informações pessoais e confidenciais, como senhas e dados bancários. Ao contrário dos golpes tradicionais, esse ataque utiliza páginas falsas dinâmicas que se adaptam automaticamente ao alvo, tornando o golpe mais realista e difícil de ser detectado pelos usuários.
O phishing é um tipo de ataque em que o criminoso se passa por uma empresa ou serviço confiável para induzir a vítima a fornecer dados sensíveis. No caso dessa nova campanha, os criminosos enviam e-mails com links que direcionam para sites falsos, mas que importam logos e informações oficiais de serviços externos, criando páginas de login personalizadas para cada empresa alvo. Além disso, o endereço de e-mail da vítima é preenchido automaticamente nos formulários, o que aumenta a sensação de legitimidade.
Segundo Daniel Barbosa, pesquisador de segurança da ESET no Brasil, “o phishing dinâmico é uma evolução dos golpes tradicionais. Ele usa tecnologia para deixar as páginas falsas muito parecidas com as originais, o que confunde até usuários atentos”. Ao inserir a senha, a vítima tem seus dados enviados em tempo real aos criminosos, e é redirecionada para o site legítimo da empresa, dificultando a percepção do golpe.
Exemplo de um e-mail malicioso com um link que leva a um login falso
Login falso derivado de link de e-mail de phishing dinâmico
Exemplo de login falso que leva a phishing dinâmico
Esses tipos de campanhas foram mencionadas pela equipe da RiskIQ, especialmente em relação a uma ferramenta chamada LogoKit, que facilita a criação rápida e convincente de páginas falsas de login, além de plataformas em nuvem para hospedagem, como Firebase e GitHub, o que dificulta a identificação e remoção dos sites maliciosos.
Para reduzir os riscos desse tipo de ataque, a ESET recomenda que empresas e usuários adotem medidas como a autenticação em dois fatores (MFA), que adiciona uma camada extra de segurança ao processo de login, dificultando o uso indevido de credenciais roubadas.
“Os cibercriminosos continuam evoluindo suas técnicas, utilizando tecnologias originalmente desenvolvidas para melhorar a experiência do usuário, mas que acabam sendo destinadas para fins maliciosos. A atenção constante e a implementação das melhores práticas de segurança são essenciais para proteger dados e sistemas”, alerta Barbosa.
Sobre a ESET
A ESET® oferece segurança digital de ponta para prevenir ataques antes que eles aconteçam. Ao combinar o poder da IA e da experiência humana, a ESET® permanece à frente das ameaças cibernéticas conhecidas e emergentes, protegendo empresas, infraestruturas críticas e indivíduos. Quer se trate de proteção de endpoint, nuvem ou dispositivos móveis, suas soluções e serviços nativos de IA e baseados em nuvem são altamente eficazes e fáceis de usar. A tecnologia ESET inclui detecção e resposta fortes, criptografia ultra segura e autenticação multifator. Com defesa em tempo real 24 horas por dia, 7 dias por semana e forte suporte local, mantém os usuários seguros e os negócios funcionando ininterruptamente. Um cenário digital em constante evolução exige uma abordagem progressiva à segurança: a ESET® está comprometida com pesquisas de classe mundial e inteligência poderosa sobre ameaças, apoiada por centros de P&D e uma forte rede global de parceiros. Para mais informações, visite https://www.eset.com/br/ ou siga-nos no LinkedIn, Facebook e Twitter.
Foto de Bermix Studio na Unsplash
