Network-Secure Campanha 01 Desktop Entrada: 22062022 21h52m
Phishing.jpg

O que há nos kits de phishing “prontos”; saiba como se proteger

Phishing é hoje a principal causa de comprometimento de dados. Guia no qual detalha os tipos de kits de phishing mais usados por cibercriminosos e ensina o que fazer para não cair nesse tipo de golpe
Da Redação
27/03/2022

Uma das táticas mais comuns que os golpistas usam em ataques de phishing é criar uma página falsa de uma marca famosa muito similar à oficial. Eles normalmente usam elementos de design muito parecidos com os do site real, e é por isso que muitos usuários dificilmente conseguem distinguir as páginas falsas das oficiais. Até mesmo o nome de domínio da página de phishing muitas vezes pode parecer o endereço real da web de determinada marca, pois os cibercriminosos incluem o nome da empresa ou serviço com uma sutil diferença da URL original. Um exemplo seria usar www.facebo0k.com, em que “o” é na verdade um zero. Este truque é conhecido como combosquatting.

Como os sites de phishing podem ser bloqueados ou adicionados com eficiência a bancos de dados antiphishing, os cibercriminosos precisam gerar essas páginas rapidamente e em grande número. Criá-los do zero repetidamente é demorado, e nem todos possuem habilidade para desenvolver e administrar páginas web falsas. É por isso que os cibercriminosos preferem os kits de phishing, que são como modelos de aeronaves ou kits de montagem de veículos. Eles consistem em modelos e scripts prontos que podem ser usados ​​para criar páginas de phishing rapidamente e em grande escala. Os kits de phishing são bastante fáceis de usar e é por isso que até hackers inexperientes que não têm nenhuma habilidade técnica podem se concentrar neles.

Para auxiliar as empresas no combate a essa verdadeira praga em que se transformou o phishing, que há anos figura como a principal causa de comprometimento de dados, a SecureList da Kaspersky elaborou um “guia” no qual detalha os tipos de kits de phishing mais usados pelos cibercriminosos, os métodos antidetecção que utilizam e conselhos úteis para não cair nesse tipo de golpe.

Os kits de phishing que a empresa de segurança detectou em 2021 criaram cópias mais frequentes do Facebook, do banco holandês ING, do banco alemão Sparkasse, além de Adidas e Amazon. A opção mais básica que os kits de phishing oferecem é uma página de phishing pronta que é bastante simples de carregar em um serviço de hospedagem na web. Esses kits de phishing têm dois componentes essenciais por motivos práticos:

a) Uma página HTML com um formulário de entrada de dados de phishing e conteúdo relacionado (estilo, imagens, scripts e outros componentes multimídia). Os invasores visam fazer com que a página pareça idêntica às páginas do site oficial da empresa, cujos usuários desejam atingir no ataque. No entanto, o código HTML da página falsa difere do código original.

b) O script de phishing que envia os dados das vítimas entra na página falsa. Geralmente é um script simples que analisa o formulário de entrada de dados de phishing. No código do script de phishing, os cibercriminosos também indicam o token de autenticação do bot do Telegram, endereço de e-mail ou outros recursos online de terceiros para onde os dados roubados serão enviados usando o kit de phishing. Os criadores do kit de phishing costumam comentar a linha em que um endereço ou token precisa ser inserido.

Em vez de fornecer páginas prontas para carregar, kits de phishing mais sofisticados mantêm seus elementos (imagens, formulários, script de phishing, fragmentos de texto, etc.) juntamente com um script separado que cria páginas a partir desses elementos.

Existem também pacotes avançados de phishing que não só vêm com todas as ferramentas e elementos necessários para montar as páginas da web, mas incluem também uma “central de controle” com uma interface de usuário. Os invasores podem usar essa central de controle para personalizar o funcionamento de uma página de phishing, por exemplo, especificando como eles gostariam de receber dados roubados. Alguns kits de phishing sofisticados permitem gerar páginas direcionadas a usuários de diferentes países usando um dicionário interno contendo as mesmas frases em diferentes idiomas.

Veja isso
Campanha de phishing traz falso app “Itaú Unibanco”
Volume de phishing está dobrando a cada 12 meses

Além de ferramentas para os invasores criarem páginas de phishing, alguns kits de phishing podem incluir scripts para enviar mensagens para vítimas em potencial por meio de aplicativos de mensagens populares ou e-mails que contêm links para páginas de phishing. Essas correspondências tendem a ser o canal que os cibercriminosos usam para divulgar suas páginas. Os dados de contato de potenciais vítimas podem ser encontrados na dark web, onde é vendida uma quantidade colossal de bancos de dados que detalham clientes de várias empresas e serviços.

Métodos antidetecção

Alguns kits de phishing sofisticados incluem elementos funcionais que impedem que uma página seja acessada por agentes indesejados, como bots usados ​​por desenvolvedores de soluções antiphishing conhecidos ou mecanismos de pesquisa.
Estes últimos não são bem-vindos, porque se uma página de phishing acabar sendo um resultado de pesquisa, há o risco de ser bloqueada.

Além disso, alguns dos kits de phishing que a Kaspersky detectou usavam bloqueio geográfico. Por exemplo, ataques de phishing escritos em japonês tinham páginas que só podiam ser abertas a partir de endereços IP japoneses. O bloqueio tendia a ser desencadeado pela detecção da string User Agent, que identifica o navegador do usuário, ou com base em seu endereço IP, embora também existam algumas tecnologias que analisam cabeçalhos de solicitação. Tudo isso foi feito para reduzir o risco de detecção por bots dos desenvolvedores de soluções antiphishing que verificam a página de phishing e evitar que acabem em bancos de dados antiphishing.

Alguns kits de phishing adicionam várias opções de ofuscação para as páginas geradas e código “lixo” puro que visa dificultar a detecção e bloqueio dessas páginas por soluções antiphishing. Alguns truques que merecem destaque incluem:

  • Código César — Cada caractere no texto é substituído por um caractere que é um número fixo de posições mais adiante no alfabeto. Isso faz com que o texto no código original da página de phishing pareça uma sopa de letrinhas, mas quando a página é carregada, o deslocamento é revertido e o usuário vê a página como texto decodificado normal. O script para implementar o código Caesar é escrito pelos próprios criadores dos kits de phishing.
  • Codificação de origem da página — O texto ou mesmo todo o código HTML da página é codificado usando um algoritmo como base64 ou AES e decodificado no final do navegador. Ao contrário do código Caesar, os algoritmos para decodificar e descriptografar dados no código do kit de phishing são implementados usando bibliotecas padrão.
  • Tags HTML invisíveis — Uma grande quantidade de código é adicionada à página que não faz nada durante o processo de renderização quando o código se torna o que está visível na tela. Seu objetivo é tornar a página mais difícil de detectar. 


Preços de kits de phishing

Os kits de phishing podem ser comprados em fóruns na dark web ou por meio de canais privados do Telegram. Os preços variam e muitas vezes dependem do nível de sofisticação e qualidade que um determinado kit tem a oferecer. Por exemplo, kits de phishing à venda em um canal do Telegram custam de US$ 50 a US$ 900. Além disso, alguns kits de phishing estão disponíveis gratuitamente online.

Os kits de phishing também são vendidos como parte de pacote de software como serviço (SaaS). É chamado de phishing-as-a-service (PHaaS) e ultimamente tem se tornado mais popular. Os pacotes consistem em uma ampla gama de serviços especializados de fraude: desde a criação de sites falsos que se apresentam como uma marca popular até o lançamento de uma campanha direcionada de roubo de dados. Isso inclui estudar o público-alvo, enviar mensagens de phishing, além de criptografar e enviar os dados roubados ao cliente.

Por exemplo, um recurso online que oferece phishing-as-a-service tem um kit de phishing para roubar credenciais de login de uma conta da Microsoft usando um convite para visualizar um documento do Excel como isca, que pode ser comprado por uma quantia relativamente pequena. O vendedor garante que o produto foi testado em todos os tipos de dispositivos. Afirma que 100% dos compradores ficaram satisfeitos com a qualidade do produto e promete enviar os dados da vítima por e-mail.

No ano passado, a Kaspersky detectou 469 kits de phishing individuais, o que permitiu a empresa bloquear 1,2 milhão de sites de phishing. Alguns kits de phishing são usados ​​de forma bastante extensiva e sobrevivem por um longo tempo, enquanto outros não são mais visíveis após um mês ou dois.

Os golpistas geralmente confiam em kits de phishing para orquestrar campanhas de phishing, especialmente aqueles que são inexperientes e têm pouca noção de programação. São ferramentas relativamente simples para criar rapidamente sites falsos e coletar os dados que os cibercriminosos roubam usando-os. Alguns kits também podem incluir ferramentas para enviar e-mails de phishing, um painel de controle e dicionários para localizar os ataques de phishing.

Os sites de phishing circulam com mais frequência em campanhas de spam por e-mail ou aplicativo de mensagens. A Kaspersky recomenda que os usuários tomem as seguintes precauções para evitar serem enganados por phishers (golpistas que utilizam phishing):

1. Considere todos os links enviados em e-mails ou mensagens enviadas por pessoas desconhecidas como suspeitos

Supeite também de mensagens “virais” que solicitam que as encaminhe para determinado número de seus contatos. Evite clicar em links sempre que possível e digite manualmente a URL (endereço de internet) na barra de endereço ou abrir o aplicativo em questão.

Ao receber um e-mail, não se apresse em responder ou seguir suas instruções. A primeira coisa que se deve fazer é procurar sinais reveladores de phishing. Quais são os pontos de atenção?

● dinheiro, compensação financeira, contas hackeadas ou bloqueadas e transações fraudulentas – tópicos que chamam a atenção, provavelmente para desencadear uma resposta emocional, muitas vezes jogando com ganância ou medo.

● Aqueles que enfatizam a gravidade da situação. Frases como “Aviso final!” ou “Restam apenas 3 horas”, bem como o uso excessivo de pontos de exclamação, têm como objetivo fazer você se apressar, entrar em pânico e baixar a guarda.

● Erros, erros de digitação e caracteres estranhos no texto. Alguns criminosos realmente têm dificuldade com o português, embora os invasores às vezes cometam erros propositalmente como “milhoes” ou usem letras de diferentes alfabetos para tentar contornar os filtros de spam.

● Endereço do remetente inconsistente. Um endereço de e-mail com um monte de letras e números aleatórios ou o nome de domínio errado são sinais evidentes de falsificação quando um remetente afirma estar escrevendo de uma grande organização.

● Links no e-mail, se os contiver — ou no site ao qual levam, para ser mais preciso. Você pode verificar um link passando o cursor sobre ele e lendo o endereço com atenção. Os criminosos apostam que as vítimas não prestam atenção suficiente para detectar pequenas alterações feitas nos nomes de empresas ou marcas conhecidas — pense em sumsung.comou qoogle.com. Analise cada link com atenção.

Essas verificações devem ser suficientes na maioria dos casos para detectar um e-mail enviado como parte de um golpe de phishing em massa. 

2. Mantenha os olhos abertos em relação a aplicativos de mensagens ou em redes sociais

O e-mail não é a única coisa com que você precisa ter cuidado. As mensagens que recebe em aplicativos de mensagens e em redes sociais têm o mesmo potencial de perigo; é possível encontrar links maliciosos em posts de amigos no Facebook, em comentários postados por embaixadores de marcas falsas no Twitter ou em DMs no Discord.

Fique atento aos banners. As imagens que exibem podem não ter nada a ver com o site para o qual o direcionam. As plataformas nas quais os banners são postados geralmente não controlam o que os usuários veem ou para onde são redirecionados. Até mesmo um site de boa reputação pode veicular anúncios que levam a sites de phishing.

O que você pode fazer? Tal como acontece com os e-mails, verifique cada link com atenção e, se possível, não clique neles.

3. Pare e pense antes de inserir as informações da conta bancária

Os detalhes do cartão bancário são particularmente confidenciais porque fornecem acesso direto ao seu dinheiro. É por isso que, independentemente de como você acessou um site, deve verificar com cuidado onde realmente está uma última vez antes de inserir esses detalhes.

Primeiro, dê uma olhada no endereço. Você está procurando os pontos de alerta: erros de digitação, números em vez de letras, hifens em lugares inesperados e nomes de domínio estranhos. Se você vir algo assim, saia do site e tente inserir o endereço manualmente.

Em seguida, permanecendo na barra de endereço, clique no ícone do cadeado à esquerda. O cadeado não é garantia de segurança, mas com ele você pode aprender mais sobre quem é o proprietário do site (os navegadores têm nomes diferentes para as guias relevantes, como Certificado ou Conexão segura) .

4. Use senhas diferentes

Se você usar a mesma senha para contas diferentes, apesar da complexidade para torná-la forte, você corre o risco de ter todas as suas contas comprometidas se inseri-la em um site de phishing em algum momento. É importante usar uma senha exclusiva para cada site e aplicativo.

Se você achar difícil criar e lembrar dezenas de novas senhas para cada pizzaria e loja online, use um gerenciador de senhas para criá-las, organizá-las e usá-las.

5. Configure a autenticação de dois fatores para proteger contas

Muitos ataques de phishing visam roubar contas, mas mesmo se os invasores obtiverem seu login e senha, você ainda pode impedi-los de fazer login em sua conta, configurando a autenticação de dois fatores sempre que possível. Depois de fazer isso, será necessário um código de verificação temporário adicional para fazer login. Você o receberá por e-mail, mensagem de texto ou em um aplicativo. Os golpistas não vão ter um.

Lembre-se, no entanto, de que os phishers também podem criar páginas de login falsas que também solicitam códigos de autenticação únicos de dois fatores. É por isso que é melhor proteger contas importantes usando autenticação baseada em hardware com uma chave USB, como YubiKey ou Titan Security Key do Google.

Alguns autenticadores usam NFC e Bluetooth para se conectar a dispositivos móveis. A vantagem de usar uma chave de segurança baseada em hardware é que ela nunca divulgará o segredo em um site falso. Um site precisa enviar a solicitação certa para obter a resposta certa do autenticador, e isso é algo que apenas o site real sabe fazer.

6. Use proteção confiável

É difícil estar constantemente à procura de alertas de perigo e verificar cada endereço, link e assim por diante. Mas é uma tarefa que você pode automatizar e contar com soluções de segurança em nuvem para se proteger contra phishing. A solução baseada em nuvem notificará a tempo se você tentar acessar uma página maliciosa e bloqueará a ameaça.

Compartilhar:

Parabéns, você já está cadastrado para receber diariamente a Newsletter do CISO Advisor

Por favor, verifique a sua caixa de e-mail: haverá uma mensagem do nosso sistema dando as instruções para a validação de seu cadastro. Siga as instruções contidas na mensagem e boa leitura. Se você não receber a mensagem entre em contato conosco pelo “Fale Conosco” no final da homepage.

ATENÇÃO: INCLUA [email protected] NOS CONTATOS DE EMAIL

(para a newsletter não cair no SPAM)