Fraudes eletrônicas: cinco tendências para os próximos anos

Segundo a Cyxtera, ataques utilizando phishing, homoglyphs de caracteres e domínios de sites semelhantes estão entre os destaques

O phishing deu origem a 90% dos ciberataques nos últimos dois anos. O levantamento é da Cyxtera, empresa especializada na detecção de fraudes que já avaliou mais de 32 bilhões de conexões globais em busca de ameaças. Segundo a entidade, ataques utilizando phishing, homoglyphs de caracteres e domínios de sites semelhantes estão entre as maiores tendências de cibercrime para 2019.

“Nós monitoramos, analisamos e removemos ameaças em mídias sociais, e-mails e canais online. Com isso, podemos observar, em primeira mão, a evolução dos ataques cibercriminosos em todo o mundo”, explica Ricardo Villadiego, diretor de Segurança da Cyxtera. “Os hackers dispõem de recursos cada vez mais sofisticados e as fraudes estão cada vez mais difíceis de ser identificadas. Com a tecnologia de machine learning, podemos encontrar e derrubar a grande maioria dos sites de phishing assim que eles entram em operação. Mas, em alguns casos, é preciso muito mais do que isso”, pontua o especialista.

Com base nesses dados, a Cyxtera listou cinco dos novos ataques mais perigosos vistos, por ora, em 2019, e que devem continuar acontecendo nos próximos anos. A empresa também elaborou recomendações de como combatê-los.  

1) Homoglyphs: Ataques evoluídos para evitar detecção

Alvo: Grandes bancos da América Latina

Como é realizado: Um homoglyph é um caractere ou sequência de caracteres que parecem ser semelhantes ou idênticos. Historicamente, eles têm sido muito úteis em ataques de phishing. Um exemplo simples é quando o nome oficial de um site tem a letra O substituída pelo número 0 em um URL. Ataques recentes têm usado homoglyphs de caracteres em outros idiomas para contornar a detecção automatizada de ameaças para publicidade online e mídias sociais. Os invasores usam esses caracteres para garantir que a detecção automática de palavras-chave não seja acionada. Além disso, eles fazem combinações com links de URL que não são domínios semelhantes para impedir a detecção pelos sistemas que os pesquisam.

A imagem acima mostra um anúncio malicioso de uma instituição financeira da América Latina. O primeiro "a" contém um caractere que não faz parte do idioma espanhol, e o URL não é um domínio semelhante.

Este é um exemplo de um ataque homoglyph em mídias sociais. Há caracteres russos no nome da conta, que não contém nenhuma palavra-chave de marca que possa acionar um alerta.

Como mitigar a ameaça: Segundo Villadiego, embora a detecção automatizada usando tecnologia como machine learning seja essencial para identificar e parar ataques de phishing, as empresas precisam ajustar os algoritmos para garantir que eles estejam detectando a maior parte das fraudes. “É preciso realizar buscas manuais e análises para encontrar ataques que os algoritmos podem não ter sido treinados para encontrar ainda, e aprimorar esses algoritmos de acordo com a detecção de ataques futuros”, explica.

2) Os domínios mudam, mas os endereços IP permanecem os mesmos

Alvo: Grandes bancos do leste asiático

Como é realizado: Vários ataques de phishing podem ser iniciados, ao mesmo tempo, a partir de uma variedade de domínios semelhantes. No entanto, com a desativação desse grupo de domínios, os ataques são relançados em um novo grupo, usando o mesmo endereço IP ou intervalo de IP dos ataques anteriores. Esses IPs parecem ser cuidadosamente selecionados, uma vez que, geralmente, vêm de países específicos e os provedores de serviços de internet têm maior probabilidade de facilitar esse comportamento sistemático.

Mapeamento de um ataque por meio de vários endereços IP/intervalos recorrentes.

Como mitigar a ameaça: Temporariamente, esses tipos de ataques podem ser atenuados por meio do monitoramento de domínio e IP, que culminam na remoção de um site. Machine learning e outras tecnologias analíticas permitem observar padrões de como esses ataques continuaram a ser lançados em novos domínios semelhantes e em vários endereços IP depois que foram removidos pela primeira vez. É necessário alavancar os relacionamentos com alguns dos provedores de serviços de Internet afetados e até mesmo governos locais, a fim de garantir a exclusão completa de ataques em grande escala.

3) Falsos interesses

Alvo: Cooperativas de crédito dos EUA

Como é realizado: Uma conta no Twitter, por exemplo, se identificará como um sugar daddy ou sugar mommy, oferecendo-se para fazer depósitos online para indivíduos interessados, com a condição de que a parte receptora tenha uma conta em uma instituição financeira específica. Depois que a atenção da vítima é capturada, os supostos ‘patrocinadores’ pedem informações bancárias online, como nomes de usuário e senhas, por meio de mensagens diretas. Isso acaba levando o dinheiro a ser removido da conta da vítima.

Captura de tela de uma postagem fraudulenta típica.

Como mitigar a ameaça: Esses ataques são um exemplo de uma ameaça externa que começa longe do perímetro de uma instituição financeira e que, no entanto, leva a perdas tangíveis. É preciso monitorar diferentes redes para possíveis ataques de phishing e trabalhar de perto com as redes sociais que hospedam os ataques para suspender as contas criminais. 

4) Encontrando Vishings secretos no Blogspot

Alvo: Grandes bancos do Oriente Médio

Como é realizado: Uma mensagem smishing (phishing de SMS) é enviada para a conta do Whatsapp de um usuário, solicitando com urgência que ele atualize informações para impedir que sua conta e seus cartões associados sejam bloqueados. A mensagem fraudulenta inclui um número de contato e um URL, que leva a um site de phishing do banco no Blogspot. O site do Blogspot é destinado a tornar toda a experiência mais realista e nenhuma informação é solicitada lá; os dados confidenciais do usuário são obtidas por meio de uma chamada de vishing (chamada de phishing por voz) depois que a mensagem é recebida. Para Villadiego, o Blogspot é uma opção atraente para hospedar os sites porque os portais são gratuitos e fáceis de usar, seus proprietários não são validados e seus subdomínios exclusivos são difíceis de serem detectados pelas soluções de monitoramento anti-phishing. “A falta de captura de dados nos sites significa que eles não são classificados como sites de phishing e, portanto, não estão na lista negra. Além disso, o Blogspot demora para remover sites que alegam violar marcas registradas”, ressalta.

Acima está um exemplo de um dos sites fraudulentos do Blogpost. Não há campos solicitando que um usuário insira credenciais, o que dificulta a classificação automática como um site de phishing.

Como mitigar a ameaça: Usando palavras-chave de marca enviadas pela instituição financeira, é possível encontrar os sites como parte do monitoramento regular de fóruns online e plataformas de blogs. Para lidar com a remoção atrasada que esses sites costumam apresentar, é necessário colocar cada um deles na lista negra instantaneamente. Desta forma, os clientes da instituição serão avisados quando tentarem acessá-los.

5) Quando domínios similares se disfarçam

Alvo: Bancos menores da América Latina

Como é realizado: O usuário final recebe uma mensagem fraudulenta do WhatsApp solicitando documentação pessoal para realizar um empréstimo. O remetente é apresentado para parecer uma empresa legítima, e a mensagem indica que os documentos necessários devem ser enviados para um endereço de e-mail ou um número de telefone diferente do número original do remetente. Nenhum link de phishing está incluído, mas se o usuário acessa o site associado ao endereço de e-mail, verá um domínio semelhante e que compartilha um nome com uma instituição financeira legítima, mas possui uma marca completamente diferente. As vítimas são eventualmente solicitadas a transferir dinheiro por meio do WhatsApp para supostamente pagar uma taxa para iniciar o processo de empréstimo; esse dinheiro é roubado pelos cibercriminosos.

Site de imitação:

Site real:

Como mitigar a ameaça: Segundo Villadiego, muitos desses sites não estavam sendo classificados como sites de phishing porque não capturavam nenhum dado e, em muitos casos, nem sequer se pareciam com a página de um site bancário oficial. Usando palavras-chave de marca que as instituições financeiras enviam, é possível encontrar os domínios semelhantes camuflados e bloquear o acesso do usuário final a eles, enquanto o processo de reivindicação de marca registrada para remover os sites possa ser executado.

Para o especialista, como mostram os ataques acima, os cibercriminosos estão constantemente à procura de novas formas de contornar os mecanismos de detecção e continuar a realizar ataques de phishing. “As instituições precisam de uma estratégia abrangente de proteção contra ameaças digitais para acompanhar os fraudadores, não importa o quanto as ameaças evoluam, e bloquear os ataques, não importa de que forma se transformem”, finaliza.

Cyxtera Technologies