O phishing mudou. De forma lenta, mas segura, os cibercriminosos estão passando a adotar programas de roubo de informações.
O phishing tradicional não desapareceu. Longe disso. Mas muitos invasores já não se concentram apenas em induzir as vítimas a inserir nomes de usuário e senhas em páginas de login falsas. Em vez disso, estão usando programas de roubo de informações para coletar discretamente senhas, cookies, dados do navegador e outras informações confidenciais dos dispositivos infectados.
Essa abordagem é atraente porque é facilmente escalável e reduz os obstáculos. Em vez de depender de que a vítima digite suas credenciais em um site falso, o malware pode coletar logins já salvos nos navegadores, tokens de sessão, dados de preenchimento automático, detalhes de carteiras de criptomoedas e até mesmo arquivos que contenham informações úteis.
Isso torna a cadeia de ataque menos visível. Um e-mail de phishing tradicional costuma deixar pistas óbvias: um link suspeito, uma página de login falsa ou um anexo estranho. Os infostealers são diferentes. Eles podem chegar por meio de anúncios online maliciosos (malvertising), softwares piratas, atualizações falsas de navegadores, truques para jogos ou sites de download duvidosos e, uma vez instalados, atuam em segundo plano, roubando tudo o que o dispositivo da vítima contém.
Parte dessa mudança pode ser atribuída à ampla adoção da autenticação multifatorial (MFA). Ao roubar cookies de sessão, os cibercriminosos conseguem contornar a MFA, o que lhes permite acessar contas sem precisar de uma senha ou código de autenticação.
Outro fator é o crescimento do ecossistema de malware como serviço (MaaS). Os programas de roubo de informações são baratos de implementar, fáceis de escalar e altamente lucrativos. Em vez de criarem eles próprios uma cadeia de ataque completa, muitos criminosos compram acesso a kits de roubo de informações, carregadores ou serviços de acesso inicial já prontos de fornecedores do mercado negro. Isso reduz a barreira à entrada e permite que invasores menos experientes realizem operações de roubo de credenciais.
Em muitos casos, os infostealers são apenas a primeira etapa de uma operação criminosa mais ampla. Os dados roubados são coletados, empacotados e vendidos a outros criminosos interessados nas informações obtidas. Esses compradores podem ser especializados em fraudes, apropriação de contas, comprometimento de e-mails corporativos ou ransomware. Um único computador infectado pode gerar múltiplas fontes de receita: credenciais para um comprador, cookies de sessão para outro e acesso corporativo ou dados de carteiras digitais para um terceiro.
Essa divisão de tarefas é uma das razões pelas quais os programas de roubo de informações se tornaram tão persistentes. Os operadores podem atualizar seus códigos, alternar a infraestrutura e lançar novas campanhas com o mínimo de esforço, enquanto os afiliados se encarregam da distribuição por meio de phishing, malvertising, downloads falsos ou iscas nas redes sociais.
Como se manter seguro
Como os programas de roubo de informações costumam chegar por meio de anúncios maliciosos, atualizações falsas de navegador e downloads com um clique, vale a pena encarar anúncios e pop-ups com um certo ceticismo. Minha dica pessoal: nunca clique em anúncios patrocinados. Em vez disso, acesse diretamente os sites oficiais e baixe softwares apenas de fontes confiáveis, como sites oficiais dos fornecedores ou lojas de aplicativos.
Outra técnica cada vez mais comum é o ClickFix, um ataque de engenharia social que leva os usuários a infectarem seus próprios dispositivos. Nunca execute comandos ou scripts copiados de sites, e-mails ou mensagens, a menos que você confie na fonte e compreenda o objetivo da ação. Se um site solicitar que você execute um comando ou realize uma ação técnica, verifique a documentação oficial ou entre em contato com o suporte antes de prosseguir.
Comprou algo que não devia?
Softwares piratas, códigos de trapaça para jogos e ferramentas crackeadas continuam sendo alguns dos meios mais comuns de disseminação de programas de roubo de informações. Esses downloads geralmente vêm acompanhados de malware que se instala junto com o software que você pretendia baixar. O mesmo cuidado se aplica a muitas extensões e complementos de navegador que prometem recursos extras ou maior praticidade. Opte por extensões de desenvolvedores confiáveis, verifique cuidadosamente as avaliações e as permissões e evite instalar qualquer complemento que solicite mais acesso do que o razoavelmente necessário.
Os e-mails de phishing continuam sendo uma grande ameaça, mas muitos podem ser identificados se você parar para pensar e verificar antes de clicar. Mesmo que um e-mail pareça ter sido enviado por uma marca confiável, trate anexos e links não solicitados com cautela, especialmente quando eles insistem para que você abra um arquivo, instale algo com urgência ou resolva um problema de cobrança. Se você estiver em dúvida, verifique o endereço do remetente, procure erros ortográficos ou frases estranhas e confirme a solicitação por um canal separado, como o site oficial da empresa, em vez de usar o link do e-mail.
Não nos limitamos a informar sobre as ameaças, nós as removemos
Os riscos de segurança cibernética nunca devem se espalhar além de uma manchete. Mantenha as ameaças longe de seus dispositivos fazendo o download Malwarebytes hoje mesmo.
