O phishing mudou. Lentamente, mas com segurança, os cibercriminosos estão a passar a utilizar programas de roubo de informações.
O phishing tradicional não desapareceu. Longe disso. Mas muitos atacantes já não se concentram apenas em induzir as vítimas a introduzir nomes de utilizador e palavras-passe em páginas de início de sessão falsas. Em vez disso, estão a utilizar programas de roubo de informações para recolher discretamente palavras-passe, cookies, dados do navegador e outras informações confidenciais dos dispositivos infetados.
Esta abordagem é interessante porque é facilmente escalável e reduz os obstáculos. Em vez de depender de que a vítima introduza as suas credenciais num site falso, o malware consegue recolher dados de início de sessão já guardados nos navegadores, tokens de sessão, dados de preenchimento automático, detalhes de carteiras de criptomoedas e até ficheiros que contenham informações úteis.
Isto torna a cadeia de ataque menos visível. Um e-mail de phishing tradicional deixa frequentemente pistas óbvias: um link suspeito, uma página de login falsa ou um anexo estranho. Os infostealers são diferentes. Podem chegar através de anúncios online maliciosos (malvertising), software pirateado, atualizações falsas do navegador, truques para jogos ou sites de download duvidosos e, uma vez instalados, funcionam em segundo plano, roubando tudo o que o dispositivo da vítima tiver armazenado.
Parte desta mudança poderá dever-se à adoção generalizada da autenticação multifator (MFA). Ao roubarem cookies de sessão, os cibercriminosos conseguem contornar a MFA, o que lhes permite aceder a contas sem precisarem de uma palavra-passe ou de um código de autenticação.
Outro fator é o crescimento do ecossistema do malware como serviço (MaaS). Os programas de roubo de informações são baratos de implementar, fáceis de escalar e altamente lucrativos. Em vez de criarem eles próprios uma cadeia de ataque completa, muitos criminosos compram acesso a kits de roubo de informações, carregadores ou serviços de acesso inicial já prontos a fornecedores do mercado negro. Isto reduz a barreira à entrada e permite que atacantes menos experientes realizem operações de roubo de credenciais.
Em muitos casos, os programas de roubo de informações são apenas a primeira fase de uma operação criminosa de maior dimensão. Os dados roubados são recolhidos, agrupados e vendidos a outros criminosos interessados nas informações obtidas. Estes compradores podem ser especializados em fraude, apropriação de contas, comprometimento de e-mails empresariais ou ransomware. Uma única máquina infetada pode gerar múltiplas fontes de receita: credenciais para um comprador, cookies de sessão para outro e acesso a dados empresariais ou de carteiras digitais para um terceiro.
Essa divisão de tarefas é uma das razões pelas quais os programas de roubo de informações se tornaram tão persistentes. Os operadores podem atualizar o seu código, alternar a infraestrutura e lançar novas campanhas com um esforço mínimo, enquanto os afiliados se encarregam da distribuição através de phishing, malvertising, downloads falsos ou iscas nas redes sociais.
Como se manter seguro
Uma vez que os programas de roubo de dados costumam chegar através de publicidade maliciosa, atualizações falsas do navegador e downloads com um único clique, vale a pena encarar os anúncios e as janelas pop-up com um certo cepticismo. A minha dica pessoal: nunca clique em anúncios patrocinados. Em vez disso, aceda diretamente aos sites oficiais e descarregue software apenas de fontes fiáveis, como os sites oficiais dos fornecedores ou as lojas de aplicações.
Outra técnica cada vez mais comum é o ClickFix, um ataque de engenharia social que leva os utilizadores a infetarem os seus próprios dispositivos. Nunca execute comandos ou scripts copiados de sites, e-mails ou mensagens, a menos que confie na fonte e compreenda o objetivo da ação. Se um site lhe pedir para executar um comando ou realizar uma ação técnica, consulte a documentação oficial ou contacte o apoio técnico antes de prosseguir.
Compraste algo que não devias?
O software pirata, os códigos de trapaça para jogos e as ferramentas crackeadas continuam a ser alguns dos métodos mais comuns de distribuição de programas de roubo de dados. Estas transferências vêm frequentemente acompanhadas de malware que se instala juntamente com o software que pretendia obter. O mesmo cuidado aplica-se a muitas extensões e complementos de navegador que prometem funcionalidades adicionais ou maior comodidade. Opte por extensões de programadores de confiança, verifique cuidadosamente as avaliações e as permissões e evite instalar qualquer complemento que solicite mais acesso do que o razoavelmente necessário.
Os e-mails de phishing continuam a ser uma grande ameaça, mas muitos podem ser identificados se parar para pensar e verificar antes de clicar. Mesmo que um e-mail pareça ter vindo de uma marca de confiança, trate os anexos e links não solicitados com cautela, especialmente quando estes o instam a abrir um ficheiro, a instalar algo com urgência ou a resolver um problema de faturação. Se tiver dúvidas, verifique o endereço do remetente, procure erros ortográficos ou frases estranhas e confirme o pedido através de um canal separado, como o site oficial da empresa, em vez de utilizar o link do e-mail.
Não nos limitamos a comunicar as ameaças - eliminamo-las
Os riscos de cibersegurança nunca se devem propagar para além de uma manchete. Mantenha as ameaças longe dos seus dispositivos descarregando Malwarebytes hoje mesmo.
