Um novo método de phishing sofisticado, batizado de “roubo de credenciais validadas com precisão”, vem sendo usado por cibercriminosos para atingir contas de alto valor com uma eficácia preocupante. Segundo análise da Cofense Intelligence, a tática se diferencia por usar validação em tempo real de e-mails para garantir que apenas endereços ativos e verificados tenham acesso às páginas de login maliciosas.
Leia também
Simulação leva LLMs a criarem jailbreaks
MS corrige 125 falhas, entre elas um zero-day
Ao contrário das campanhas tradicionais de phishing em massa, que disparam mensagens para grandes volumes de alvos aleatórios, essa abordagem é altamente seletiva. Os atacantes utilizam listas previamente coletadas de e-mails e, ao detectar que o endereço informado por uma vítima é válido, permitem a continuação do ataque, solicitando senha ou até enviando códigos de autenticação para a própria caixa de entrada da vítima. Se o e-mail não estiver na base, o site retorna erro ou redireciona para páginas legítimas como Wikipédia, mascarando a ação maliciosa.
Essa verificação de e-mails ocorre por meio de dois métodos principais: scripts em JavaScript embutidos nas páginas falsas ou integrações com APIs legítimas de validação. Em campanhas recentes, os criminosos utilizaram URLs com listas codificadas em Base64 contendo os e-mails-alvo, que eram decodificados e usados para filtrar quem poderia prosseguir com a tentativa de login.
A sofisticação do método representa um desafio direto para as estratégias tradicionais de defesa. Ferramentas automatizadas de detecção, como sandboxes ou scanners de URLs, muitas vezes não visualizam o conteúdo malicioso, já que ele só é exibido a usuários previamente validados. Analistas de segurança que tentam investigar com credenciais genéricas são barrados, e mesmo usando e-mails válidos, podem não ter acesso sem o token enviado ao endereço.
Além disso, como os kits de phishing são projetados para se manter invisíveis para rastreadores e pesquisadores, a coleta de indicadores de comprometimento torna-se extremamente limitada. Isso também dificulta o compartilhamento de inteligência entre equipes de segurança.
Para enfrentar essa ameaça, especialistas recomendam que as organizações reforcem suas defesas com soluções baseadas em análise comportamental, detecção de anomalias e monitoramento proativo de atividade suspeita. A proteção não pode depender apenas de listas negras e filtros tradicionais. É necessário um enfoque dinâmico e contextual que antecipe esses ataques antes mesmo de serem ativados.
