No terceiro trimestre de 2019, foi detectado no mundo todo um total de 266.387 ataques de phishing, as páginas falsas que roubam dados sensíveis de consumidores. O número desse trimestre impressiona por três motivos: é o maior já detectado mundialmente desde 2016; é 46% maior que o registrado no segundo trimestre de 2019; e é quase o dobro dos 138.328 vistos no último trimestre de 2018.
Os dados são do último Phishing Activity Trends Report da APWG (Anti-Phishing Working Group), organização referência em pesquisa e combate a fraudes digitais no mundo. O documento é trimestral e tem também informações do cenário brasileiro coletadas pela Axur, em que se destacaram os ataques a e-commerce.
Os BEC (Business E-mail Compromise) se caracterizam por serem muito similares ao spear phishing. O criminoso personifica executivos, usando e-mails falsos ou contas de LinkedIn, e solicita pagamentos a funcionários da mesma corporação.
Imagine essa situação: você é do departamento financeiro e recebe uma mensagem do CEO solicitando um depósito urgente, mas que na verdade é um golpe. Os criminosos têm evoluído essa técnica e estão solicitando a compra de cartões-presente (gift cards) em nome dos “executivos”, apontou o relatório.
A utilização de gift cards dá liquidez ao golpe, uma vez que esses cartões podem ser vendidos rapidamente e se transformam em dinheiro – evitando que o criminoso precise abrir contas bancárias ou usar laranjas.
O relatório da APWG apontou que os gift cards estão em 56% do total de BECs, o que é uma diminuição em relação aos 65% do segundo trimestre do ano. Porém o golpe continua popular pela facilidade e pela praticidade do recebimento do dinheiro: além de mais anônima e mais rápida, é muitas vezes irreversível.
No trimestre, cada golpe registrou um prejuízo médio de US$ 1.571. Já as três principais plataformas que mais tiveram solicitações e somam mais da metade das fraudes são: Google Play (27%), Steam Wallet (14%) e Amazon (12%).
O uso de domínios com nomes similares a marcas em golpes do tipo BEC cresceu consideravelmente no terceiro trimestre: foram 40% do total de detecções, contra 33% no segundo.
O uso de provedores gratuitos (como Gmail e Yahoo) nos BECs continua o campeão com 54% do total. Mas são técnicas como o cybersquatting, usadas para fazer as vítimas pensarem que estão em contato com uma marca legítima, que indicam o novo nível de sofisticação desses golpes.
O ranking dos tipos de domínios usados em conteúdos com phishing permanece semelhante aos períodos anteriores: .com é o TLD (top-level domain) mais comum e .br é o ccTLD (country code top-level domain) campeão.
O uso de HTTPS (o “cadeado verde” que pode dar uma falsa noção de que o site é legítimo) em casos de página falsa cresce: de 54% no segundo trimestre do ano, o atual nível de casos registrados com HTTPS é de 68%.
Esse ícone dos navegadores significa, na verdade, que a conexão entre o usuário e o site visitado é direta e sem terceiros – mais “segura”, mas somente para a transmissão dos dados.
Os dados mostram que a atividade criminosa on-line está aumentando também no Brasil: na última seção do relatório, os dados coletados pela Axur apontam que o país teve 6.862 ataques no terceiro trimestre de 2019.
Também foi destaque o gráfico da quantidade semanal de ataques de phishing afetando marcas de e-commerce brasileiras. Nesses dados, é visível como o terceiro trimestre foi marcado por uma estagnação dos níveis dos golpes – indicando a possibilidade de um recuo dos fraudadores para se “prepararem” para a Black Friday, em novembro.
É só inserir seus dados no formulário abaixo: