O relatório da APWG (consórcio internacional Anti-Phishing Working Group) nomeado como Phishing Activity Trends Report mostrou que os ataques a empresas de SaaS e Webmail contabilizaram 36% dos phishing no mundo todo, no primeiro trimestre de 2019, tornando o setor o maior alvo de detecções pela primeira vez, ultrapassando as fraudes de pagamentos, que representam 27% do alvo dos cibercriminosos.
O número chamou atenção principalmente pela mudança de comportamento dos cibercriminosos, que miravam um golpe contra empresas do setor financeiro, mas a cada dia ampliam o poder do ataque no roubo de credenciais de acesso, a fim de obter informações privilegiadas.
Na visão de Fábio Ramos, CEO da Axur, as pessoas mal-intencionadas viram nas plataformas de e-mail e armazenamento de arquivo online ótimas oportunidades de explorar vulnerabilidades, uma maneira fácil de invadir arquivos. “Eles apontam a mira para a vítima usando, em muitos casos, marcas de empresas famosas como isca”, pontua Ramos.
A Axur é uma empresa membro do APWG e se concentra no Brasil a proteger empresas contra ameaças na Internet, com monitoramento especial a ataques contra bancos, companhias aéreas e comércio eletrônico. Os dados da companhia mostram como os cibercriminosos estão penetrando com ataques a roubo de identidade e credenciais de acesso, em que no primeiro trimestre de 2019 foram observados 3.220 casos de phishing, com ataques direcionados a marcas e serviços de multinacionais que atuam no país, especialmente com phishing móvel.
De acordo com o relatório, a cada tipo de malware identificado, em média, visava afetar até 13 instituições financeiras. “Identificamos investidas hackers a páginas falsas de empresas de crédito, em que o cibercriminoso copia o site visual de uma organização e oferece taxas mais competitivas. Quando a vítima preenchia seus dados nessa página, o hacker seguia com o golpe pelo telefone, cobrando uma taxa administrativa com a promessa da liberação do dinheiro no dia seguinte”, explica o CEO.
Boas práticas
A recomendação do executivo é os usuários não usem a mesma senha em diversos serviços e aplicativos. Do lado das empresas, ele sugere que empresas sejam mais responsáveis pelos dados dos usuários no meio digital. “As organizações, principalmente aquelas que mantém serviços de comércio e transações financeiras em páginas de web, devem proteger sua própria jornada no mundo digital a fim de proteger também seu consumidor”, alerta Fábio Ramos.
Ele aponta que os ataques no Brasil são sofisticados e se as empresas tivessem um monitoramento básico em seus sistemas, além de recursos mais seguros de proteção na web como o HTTPS (usando para proteger comunicações criptografando os dados trocados entre o navegador do consumidor e o site da empresa), os golpes seriam minimizados.
