Campanhas de Phishing no Brasil: Uma Análise Detalhada
- Diego Arantes
- 18 de out. de 2024
- 3 min de leitura
Introdução
O phishing continua a ser uma das técnicas mais utilizadas por cibercriminosos para obter informações confidenciais ou induzir vítimas a realizar pagamentos fraudulentos. No Brasil, a crescente digitalização ampliou o número de alvos, com organizações e indivíduos sofrendo ataques cada vez mais sofisticados. Este artigo examina algumas campanhas de phishing que têm circulado no Brasil, descrevendo suas características, os métodos utilizados pelos atacantes e as melhores práticas para mitigação.
O Cenário Atual de Phishing no Brasil
Com a popularização da internet e o aumento do volume de transações digitais, o phishing se tornou uma ferramenta amplamente explorada para fraudes e roubo de informações. Esses ataques são realizados principalmente por meio de e-mails que simulam comunicações de órgãos oficiais, como o DETRAN, Correios, Receita Federal e Supremo Tribunal Federal (STF). Utilizando a urgência e a preocupação gerada por multas ou cobranças inesperadas, os criminosos induzem as vítimas a fornecer dados sensíveis ou realizar pagamentos fraudulentos.
Exemplos de Campanhas Recentes
1. Campanha DETRAN
Nesta campanha, os cibercriminosos enviam e-mails fraudulentos fingindo serem do DETRAN. O conteúdo da mensagem informa que o destinatário possui multas pendentes, incentivando o clique em um link suspeito. O remetente utilizava o domínio falso "smtplw-15[.]com", claramente não relacionado ao DETRAN. A URL fornecida levava a uma página que simulava a interface do Microsoft Outlook para coletar credenciais. No entanto, devido a falhas no código da página, a campanha foi interrompida antes de coletar dados de forma massiva.
2. Campanha Correios
Os criminosos utilizam a temática de "objetos retidos na alfândega" para enganar as vítimas, solicitando pagamentos de taxas para liberação de encomendas. Os e-mails fraudulentos indicavam um remetente com o domínio "correios", mas utilizavam endereços suspeitos e hospedagem temporária fornecida por plataformas como a Digital Ocean. Embora o link da campanha estivesse inativo no momento da análise, ele anteriormente redirecionava as vítimas para uma página de phishing, projetada para roubar credenciais de e-mail.
3. Campanha ICMS/Cofins
Voltada para empresas, essa campanha de phishing foca em cobranças indevidas de tributos. O conteúdo do e-mail induz as empresas a acreditarem que têm pendências relacionadas ao ICMS ou Cofins e, em seguida, fornece um boleto para pagamento. Os cibercriminosos utilizam boletos emitidos por bancos digitais, dificultando o rastreamento do destino final dos valores pagos. Em alguns casos, o valor do boleto era aumentado antes de a vítima realizar o pagamento.
4. Campanha STF
Uma das fraudes mais sofisticadas envolve o uso do nome do Supremo Tribunal Federal (STF) para enviar e-mails fraudulentos que informam as vítimas sobre uma suposta ação judicial grave. O e-mail contém um link ou PDF com um boleto de pagamento para uma multa, o que leva as vítimas a pagarem valores indevidos. O STF já emitiu alertas oficiais sobre este tipo de golpe, destacando o uso indevido do nome da instituição.
Indicadores de Comprometimento (IoCs)
Para facilitar a identificação e mitigação dessas campanhas, o relatório fornece uma série de Indicadores de Comprometimento (IoCs). Esses indicadores incluem endereços de IP, URLs e domínios falsos associados às campanhas mencionadas:
Indicadores de exemplo | |
IP de envio do e-mail | 67.205.181.176 |
IP de envio do e-mail | 185.168.193.103 |
IP de envio do e-mail | 177.50.121.175 |
E-mails de phishing | dpf.detran@smtplw-15[.]com |
E-mails de phishing | alfandega856857@correios |
E-mails de phishing | sufcdi573@gmail[.]com |
URL falsos | |
URL falsos | https[:]//acesso-live-outl-ook[.]fr-1.paas[.]massivegrid[.]net/microsoft/live/rT9QjCknAj/mEPMm/q84VZy05E/login |
Recomendações
A proteção contra campanhas de phishing envolve ações proativas tanto por indivíduos quanto por organizações. Algumas das melhores práticas incluem:
Educação e Conscientização: Treinar os usuários a identificar e-mails maliciosos, prestando atenção a erros de ortografia, remetentes desconhecidos e senso de urgência excessivo.
Verificação de Domínios e Remetentes: Antes de clicar em links ou baixar anexos, é fundamental confirmar a legitimidade do remetente e do domínio, usando ferramentas como VirusTotal ou MxToolbox.
Autenticação de E-mail: Empresas devem configurar SPF, DKIM e DMARC para autenticar os e-mails enviados e recebidos, protegendo suas contas de tentativas de falsificação.
Uso de MFA: A ativação de autenticação multifatorial (MFA) adiciona uma camada extra de segurança, especialmente em contas de e-mail corporativas.
Monitoramento e Investigação: Em caso de suspeita de phishing, é essencial analisar cabeçalhos de e-mail, isolar comunicações maliciosas e realizar uma verificação completa dos dispositivos comprometidos.
Conclusão
As campanhas de phishing no Brasil estão se tornando cada vez mais complexas e específicas, visando explorar a confiança nos órgãos públicos e o descuido dos usuários. A implementação de práticas de segurança adequadas e a conscientização são fundamentais para mitigar esses riscos e proteger tanto indivíduos quanto empresas dos prejuízos financeiros e de privacidade causados por essas fraudes.
Comentários