Uma variedade de criadores de aplicativos com tecnologia de IA promete dar vida às suas ideias com rapidez e facilidade. Infelizmente, sabemos exatamente quem está sempre à procura de novas ideias para dar vida, principalmente porque somos muito bons em identificar e bloquear as antigas. Estamos falando de phishers, é claro. Recentemente, descobrimos que eles adicionaram um novo truque ao seu arsenal: gerar sites usando o criador de aplicativos da Web com tecnologia IA Bubble. É muito provável que essa tática já esteja disponível em uma ou mais plataformas de phishing como serviço, o que praticamente garante que essas armadilhas começarão a aparecer em uma ampla variedade de ataques. Mas vamos detalhar em etapas.
Por que os phishers estão usando o Bubble?
Incluir um link direto para um site de phishing em um e-mail é um caminho sem volta para o fracasso. Há uma grande probabilidade de a mensagem nem chegar ao destino, pois os filtros de segurança provavelmente a bloquearão antes que o usuário a veja. Da mesma forma, o uso de redirecionamentos automatizados já está no radar das soluções de segurança modernas. E os QR codes? Embora fazer com que a vítima escaneie um código com o celular, em vez de clicar em um link, possa funcionar em teoria, os phishers inevitavelmente perdem tráfego nessa etapa: nem todo mundo está disposto a inserir credenciais corporativas em um dispositivo pessoal. É aqui que os serviços automatizados de geração de código socorrem os cibercriminosos.
O Bubble se posiciona como uma plataforma no-code para o desenvolvimento de aplicativos da Web e móveis. Essencialmente, um usuário descreve o que precisa em uma interface visual e a plataforma gera uma solução finalizada. Os phishers adotaram essa tecnologia para criar aplicativos da Web cujos endereços, depois, eles incorporam em seus e-mails de phishing. Embora a função real desses aplicativos se resuma ao mesmo antigo redirecionamento automatizado para um site malicioso, há algumas nuances específicas em jogo.
Primeiro, o aplicativo da Web resultante é hospedado diretamente nos servidores da plataforma. O URL pronto para uso em um e-mail de phishing se parece com https://%name%.bubble.io/. Do ponto de vista das soluções de segurança, parece ser um site legítimo e antigo.
Em segundo lugar, o código desse aplicativo da Web não se parece com um redirecionamento típico. Para ser honesto, é difícil dizer com o que ele se parece. O código gerado por essa plataforma no-code é uma enorme mistura de JavaScript e estruturas isoladas de Shadow DOM (Document Object Model). Mesmo para um especialista, é difícil entender o que está acontecendo à primeira vista; é preciso analisar o código a fundo para entender como tudo funciona e com qual objetivo. Os algoritmos automatizados de análise de código da Web têm ainda mais chances de falhar, frequentemente chegando ao veredicto de que é apenas um site funcional e útil.
Um fragmento de código de aplicativo da Web hospedado na plataforma Bubble
O que são essas plataformas de phishing e qual é o objetivo?
Os phishers atuais raramente desenvolvem e implementam novos truques do zero. A maioria usa kits de phishing, essencialmente pacotes do tipo “faça você mesmo o seu esquema fraudulento”, ou até mesmo plataformas de phishing como serviço em larga escala.
Essas plataformas fornecem aos invasores um kit de ferramentas sofisticado (e altamente frustrante) que está em constante evolução para melhorar a entrega de e-mail e burlar as defesas antiphishing. Por exemplo, essas ferramentas permitem que os invasores, entre muitas outras coisas, façam o seguinte: interceptem cookies de sessão; realizem phishing pelo Google Tarefas (uma tática que abordamos em uma postagem anterior); executem ataques de intermediário (AiTM) para validar a autenticação de dois fatores (2FA) e burlá-la em tempo real; criem sites de phishing equipados com honeypots e geofencing para se esconder dos rastreadores de segurança; e usem assistentes de IA para gerar e-mails de phishing únicos. Para piorar a situação, a infraestrutura dessas plataformas geralmente é hospedada em serviços perfeitamente legítimos como AWS, tornando suas táticas ainda mais difíceis de detectar.
As mesmas plataformas são usadas para criar a página de destino final que coleta credenciais. Nesse caso específico, o aplicativo da Web hospedado no Bubble redireciona as vítimas para um site com uma verificação da Cloudflare que imita a janela de login da Microsoft.
Formulário de phishing projetado para coletar credenciais corporativas
Aparentemente, no universo paralelo dos invasores, o Skype ainda é uma ferramenta de comunicação viável, mas fora isso, o site é bastante convincente.
Como proteger a sua empresa contra ataques de phishing sofisticados
No cenário digital atual, os funcionários precisam entender que as credenciais corporativas devem ser inseridas apenas em serviços e sites que inegavelmente pertencem à empresa. Você pode conscientizar sua equipe sobre ameaças cibernéticas modernas usando a Kaspersky Automated Security Awareness Platform para treinamento on-line.
É claro que até o funcionário mais cauteloso pode ocasionalmente morder a isca. Recomendamos equipar todas as estações de trabalho conectadas à Internet com soluções de segurança robustas que simplesmente bloquearão qualquer tentativa de visitar um site malicioso. Por fim, para reduzir o número de e-mails perigosos que ocupam as caixas de entrada corporativas, sugerimos implementar um produto de segurança de gateway com tecnologias antiphishing avançadas.
Temos discutido repetidamente esquemas de phishing em que invasores exploram vários servidores legítimos para enviar e-mails. Caso consigam sequestrar algum servidor de SharePoint, eles o usarão; caso contrário, se limitarão a enviar notificações por meio de um serviço gratuito, como o GetShared. Contudo, o enorme ecossistema do Google é um dos alvos favoritos dos criminosos, e a bola da vez é o Google Tarefas. Como de costume, este truque tem como principal objetivo driblar os filtros de e-mail, explorando a boa reputação do intermediário.
Como é o phishing no Google Tarefas
O destinatário recebe uma notificação legítima de um endereço @google.com com a mensagem: “Você tem uma nova tarefa”. Basicamente, os invasores tentam fazer parecer que a empresa passou a usar o gerenciador de tarefas do Google e, por isso, a vítima precisa clicar imediatamente em um link para preencher um formulário de verificação.
Para impedir que o destinatário tenha tempo para pensar se isso é necessário, a tarefa geralmente inclui um prazo curto e é marcada com alta prioridade. Ao clicar no link dentro da tarefa, a vítima é direcionada para uma URL que leva a um formulário onde deve inserir suas credenciais corporativas para “confirmar seu status de funcionário”. Essas credenciais, obviamente, são o objetivo final do ataque de phishing.
Como proteger as credenciais de funcionários contra phishing
Naturalmente, os funcionários devem ser alertados sobre a existência desse esquema. Por exemplo, compartilhando um link para o nosso acervo de postagens sobre como identificar o phishing. Mas, na realidade, o problema não é com nenhum serviço específico, mas sim com a cultura geral de segurança cibernética dentro de uma empresa. Os processos de fluxo de trabalho precisam ser claramente definidos para que todos os funcionários entendam quais ferramentas são realmente usadas pela empresa. Recomenda-se manter um documento corporativo público com a lista dos serviços autorizados e as pessoas ou departamentos responsáveis por eles. Isso proporciona aos funcionários um meio de verificar se aquele convite, tarefa ou notificação é legítimo. Além disso, nunca é demais lembrar que as credenciais corporativas devem ser inseridas somente em recursos internos da empresa. Para automatizar o processo de treinamento e manter sua equipe atualizada sobre as ameaças cibernéticas modernas, você pode usar uma ferramenta dedicada, como a Kaspersky Automated Security Awareness Platform.
Além disso, recomendamos reduzir a chegada de e-mails potencialmente perigosos às caixas de entrada dos funcionários com uma solução de segurança de gateway de e-mail especializada. Também é vital equipar todas as estações de trabalho conectadas à Web com um software de segurança. Mesmo que um invasor consiga enganar um funcionário, o produto de segurança bloqueará a tentativa de visitar o site de phishing, evitando o vazamento das credenciais corporativas.
Todos os anos, golpistas inventam novas maneiras de enganar as pessoas, e 2025 não foi exceção. No ano passado, nosso sistema antiphishing bloqueou mais de 554 milhões de acessos a links de phishing, e nosso Antivírus de E-mail bloqueou quase 145 milhões de anexos maliciosos. Para completar, quase 45% de todos os e-mails no mundo acabaram sendo spam. Detalhamos abaixo os esquemas de phishing e spam mais impressionantes do ano passado. Caso queira se aprofundar no assunto, leia o relatório completo Spam e Phishing em 2025 no Securelist.
Phishing no entretenimento
Os amantes de música e os cinéfilos foram os principais alvos de golpistas em 2025. Pessoas mal-intencionadas criaram sites para a venda de ingressos falsos, além de versões falsificadas de serviços de streaming populares.
Nesses sites falsos, os usuários recebiam ingressos “gratuitos” para grandes shows. A pegadinha? Eles só tinham que pagar uma pequena “taxa de processamento” ou o “custo de envio”. Naturalmente, o que aconteceu foi que o dinheiro ganho com esforço dos usuários foi direto para o bolso dos golpistas.
Ingressos gratuitos para ver a Lady Gaga? É furada!
No caso dos serviços de streaming, ocorreu o seguinte: os usuários receberam uma oferta tentadora para migrar suas listas de reprodução do Spotify para o YouTube inserindo suas credenciais do Spotify. Em outra ocasião, eles foram convidados a votar no seu artista favorito em uma enquete (uma oportunidade que a maioria dos fãs acha difícil deixar passar). Para adicionar uma camada de legitimidade, os golpistas citaram nomes como Google e Spotify. O formulário de phishing tinha como alvo várias plataformas ao mesmo tempo (Facebook, Instagram ou e-mails), e exigia que os usuários inserissem as credenciais das suas contas para votar.
Esta página de phishing que imita uma configuração de login múltiplo parece terrível; nenhum designer que se preze amontoaria tantos ícones diferentes em um único botão
No Brasil, os golpistas foram mais ousados: eles ofereceram aos usuários a chance de ganhar dinheiro apenas ouvindo e classificando músicas em um suposto serviço de um parceiro do Spotify. Durante o registro, os usuários tinham que fornecer o número do Pix (o sistema brasileiro de pagamento instantâneo) e, em seguida, fazer um “pagamento de verificação” único de R$ 19,90 (cerca de US$ 4) para “confirmar sua identidade”. Essa taxa representava, obviamente, uma fração dos “ganhos potenciais” prometidos. O formulário de pagamento parecia muito autêntico e solicitava dados pessoais adicionais, que provavelmente seriam coletados para ataques futuros.
Esse golpe se apresentou como um serviço cujo objetivo era aumentar as classificações e reproduções de músicas no Spotify, mas para começar a “ganhar”, primeiro era necessário pagar
O golpe do “namoro cultural” demonstrou muita criatividade. Depois do “match” e de algumas conversas breves em aplicativos de namoro, um novo “interesse amoroso” convidava a vítima para assistir a uma peça de teatro ou a um filme e enviava um link para comprar ingressos. Uma vez que o “pagamento” fosse concluído, o aplicativo de namoro e o site de venda de ingressos simplesmente desapareciam. Uma tática semelhante foi usada para vender ingressos para salas de fuga (escape rooms) imersivas, que ficaram muito populares recentemente; o design das páginas imitava sites reais para enganar os usuários.
Golpistas clonaram o site de um conhecido serviço de venda de ingressos da Rússia
Phishing em aplicativos de mensagens
O roubo de contas do Telegram e do WhatsApp se tornou uma das ameaças mais difundidas do ano. Os golpistas dominaram a arte de mascarar o phishing como atividades padrão do aplicativo de bate-papo e expandiram seu alcance geográfico de forma significativa.
No Telegram, as assinaturas Premium gratuitas foram a isca principal. Essas páginas de phishing só estavam disponíveis em russo e inglês, mas houve uma grande expansão para outros idiomas em 2025. As vítimas recebiam uma mensagem (geralmente da conta invadida de um amigo) oferecendo um “presente”. Para ativá-lo, o usuário precisava fazer login na sua conta do Telegram no site do invasor, o que levava imediatamente a outra conta invadida.
Outro golpe comum envolvia ofertas feitas por celebridades. Um ataque específico, disfarçado como uma oferta de NFTs, destacou-se porque operou por meio de um Telegram Mini App. Para o usuário comum, detectar um Mini App malicioso é muito mais difícil do que identificar uma URL externa suspeita.
Os golpistas lançaram uma isca de phishing com uma oferta de NFT falsa de Khabib Nurmagomedov em russo e inglês simultaneamente. No entanto, no texto em russo, eles esqueceram de remover uma pergunta da IA que gerou o texto: “Você precisa de opções mais ousadas, formais ou bem-humoradas?”, o que mostra que o trabalho foi feito às pressas e não foi revisado
Por fim, o golpe clássico vote no meu amigo utilizando aplicativos de mensagens evoluiu em 2025. Ele solicitava que as pessoas votassem no “melhor dentista da cidade” ou no “principal líder operacional”, mas, infelizmente, isso era apenas uma isca para a invasão de contas.
Outro método inteligente para sequestrar contas do WhatsApp foi descoberto na China, em que as páginas de phishing eram uma imitação perfeita da interface real do WhatsApp. As vítimas foram informadas de que, devido a alguma suposta “atividade ilegal”, elas precisavam passar por uma “verificação adicional”, o que resultou no roubo das suas contas, como você já deve ter adivinhado.
As vítimas foram redirecionadas para um formulário em que tinham que informar seu número de telefone, e, em seguida, inserir um código de autorização
Personificação de serviços governamentais
O phishing que imita mensagens e portais do governo é um “clássico do gênero”, mas em 2025, os golpistas adicionaram alguns elementos novos.
Na Rússia, os ataques de vishing contra usuários de serviços governamentais ganharam força. As vítimas receberam e-mails alegando que um login não autorizado havia sido feito nas suas contas, e por isso deveriam ligar para um número específico e fazer uma “verificação de segurança”. Para parecer legítimo, os e-mails continham informações técnicas falsas: endereços IP, modelo dos dispositivos e a data e hora do suposto login. Os golpistas também enviaram notificações falsas de aprovação de empréstimos: caso o destinatário não tivesse solicitado um empréstimo (e não tinha), ele deveria ligar para uma equipe de suporte falsa. Uma vez que a vítima em pânico falasse com um “operador”, a engenharia social se encarregava do resto do trabalho.
No Brasil, invasores criaram portais governamentais falsos com o objetivo de coletar números de contribuintes (CPF). Como esse número é a identificação principal para acessar serviços estaduais, bancos de dados nacionais e documentos pessoais, um CPF sequestrado viabiliza o roubo de identidade.
Este portal fraudulento do governo brasileiro surpreende pela alta qualidade
Na Noruega, os golpistas visavam pessoas que desejavam renovar a carteira de motorista. Um site que imita a Administração de Estradas Públicas da Noruega coletou uma quantidade enorme de dados pessoais: desde números de placas, nomes completos, endereços e números de telefone até os números de identificação pessoal exclusivos atribuídos aos residentes. A cereja do bolo foi solicitar que os motoristas pagassem uma “taxa de substituição de licença” de 1.200 NOK (mais de US$ 125). Os golpistas colocaram as mãos em dados pessoais, informações de cartões de crédito e dinheiro. Um verdadeiro golpe triplo!
De um modo geral, motoristas são um alvo atraente: está claro que eles têm dinheiro e um carro, e temem perdê-lo. Golpistas sediados no Reino Unido tiraram vantagem desse fato ao solicitar que motoristas pagassem com urgência um imposto em atraso relativo ao veículo deles para evitar alguma “ação de execução” não especificada. Esta mensagem urgente de “aja agora!” é uma estratégia clássica de phishing para que a vítima não perceba que uma URL é suspeita ou que sua formatação é mal feita.
Golpistas pressionaram os britânicos a pagar impostos supostamente atrasados sobre veículos “com urgência” para evitar que algo ruim acontecesse.
Podemos usar sua identidade, por favor?
Em 2025, observamos um aumento nos ataques de phishing envolvendo verificações de Conheça seu cliente (KYC). Para reforçar a segurança, muitos serviços agora verificam os usuários por meio de biometria e documentos oficiais com foto. Os golpistas aprenderam a coletar esses dados ao falsificar as páginas de serviços populares que implementam essas verificações.
Nesta página fraudulenta do Vivid Money, os golpistas realizaram a coleta sistemática de informações incrivelmente detalhadas sobre as vítimas
O que diferencia esses ataques é que, além das informações pessoais padrão, há a exigência de fotos de documentos de identidade ou do rosto da vítima, às vezes de vários ângulos. Esse tipo de perfil completo pode ser vendido em marketplaces da dark Web ou usado para fins de roubo de identidade. Falamos mais sobre esse processo na nossa postagem O que acontece com os dados roubados por meio de phishing?
Golpistas de IA
Naturalmente, os fraudadores não iriam deixar de aproveitar a disseminação da inteligência artificial. O ChatGPT tornou-se uma grande isca: fraudadores criaram páginas falsas de checkout de assinatura do ChatGPT Plus e ofereceram “prompts exclusivos” com a garantia de que o usuário iria viralizar nas mídias sociais.
Este é um clone quase perfeito em pixels da página de checkout original da OpenAI
O golpe “ganhar dinheiro com IA” foi particularmente cínico. Os golpistas ofereciam renda passiva advinda de apostas supostamente feitas pelo ChatGPT: o bot faria todo o trabalho difícil enquanto o usuário apenas observaria o dinheiro cair na conta. Parece um sonho, certo? Mas para “agarrar” esta oportunidade, era necessário agir rápido. O preço especial para perder dinheiro era válido por apenas 15 minutos a partir do momento em que a página era acessada, fazendo com que as vítimas não tivessem tempo para pensar duas vezes.
Você tem exatamente 15 minutos para perder € 14,99! Depois disso, você perde € 39,99
Em geral, os golpistas estão adotando a IA de forma agressiva. Eles estão aproveitando deepfakes, automatizando o design de sites de alta qualidade e gerando uma cópia refinada para o envio massivo de e-mails. Até mesmo chamadas ao vivo com as vítimas estão se tornando componentes de golpes mais complexos. Esse fato foi detalhado na nossa postagem Como phishers e golpistas usam a IA.
Armadilhas disfarçadas de vagas de emprego
Quem está em busca de trabalho é o principal alvo de pessoas mal-intencionadas. Ao divulgar vagas remotas com altos salários em grandes empresas, os phishers coletavam os dados pessoais dos candidatos e às vezes até solicitavam o pagamento de pequenas “taxas de processamento de documentos” ou “comissões”.
“Ganhe US$ 1.000 no primeiro dia” neste trabalho remoto na Amazon. Até parece!
Em configurações mais sofisticadas, os sites de phishing de “agências de emprego” solicitavam o número de telefone vinculado à conta do Telegram do usuário durante o registro. Para concluir a “inscrição”, a vítima precisava inserir um “código de confirmação”, que na verdade era um código de autorização do Telegram. Depois de inseri-lo, o site solicitava mais informações relativas ao perfil do usuário, o que claramente era apenas uma distração para impedir que ele percebesse a nova notificação de login no seu telefone. Para “verificar o usuário”, a vítima era instruída a esperar 24 horas, dando aos golpistas, que já tinham meio caminho andado, tempo suficiente para sequestrar a conta do Telegram para sempre.
A empolgação é uma mentira (mas muito convincente)
Como de costume, os golpistas foram rápidos em se inteirar de todas as manchetes que relatavam tendências em 2025, lançando campanhas de e-mail a uma velocidade vertiginosa.
No segundo em que o iPhone 17 Pro chegou ao mercado, ele se tornou o prêmio oferecido em inúmeras pesquisas falsas. Depois de “ganhar”, os usuários só precisavam fornecer suas informações de contato e pagar pelo envio. Depois que esses dados bancários eram inseridos, o “vencedor” corria o risco de perder não apenas o valor do envio, mas cada centavo da sua conta.
Aproveitando a onda do Ozempic, os golpistas inundaram as caixas de entrada das pessoas com ofertas de versões falsificadas do medicamento ou de “alternativas” suspeitas das quais os farmacêuticos reais nunca tinham ouvido falar.
E durante a turnê mundial da banda de K-pop BLACKPINK, os spammers fizeram publicidade das “malas scooters iguais às que a banda usa”.
Até o casamento de Jeff Bezos no verão de 2025 foi utilizado na aplicação de golpes “nigerianos” por e-mail. Os usuários receberam supostas mensagens do próprio Bezos ou da sua ex-esposa, MacKenzie Scott. Os e-mails prometiam grandes somas de dinheiro em nome de instituições de caridade ou como “compensação” da Amazon.
Como se proteger
Como você pode ver, os golpistas não têm limites quando se trata de inventar novas maneiras de roubar o seu dinheiro e dados pessoais, ou até mesmo toda a sua identidade. Estes são apenas alguns dos exemplos mais loucos de 2025. Você pode ler uma análise completa do cenário de ameaças de phishing e spam na Securelist. Enquanto isso, aqui estão algumas dicas para evitar que você se torne uma vítima. Compartilhe-as com seus amigos e familiares, especialmente crianças, adolescentes e idosos, pois esses grupos costumam ser os principais alvos dos golpistas.
Verifique a URL antes de inserir qualquer informação. Mesmo que os pixels da página pareçam perfeitos, a barra de endereço pode revelar o golpe.
Não clique em links de mensagens suspeitas, mesmo se forem enviados por alguém que você conheça, pois a conta deles pode facilmente ter sido invadida.
Nunca compartilhe códigos de verificação com ninguém. Eles são as chaves mestras da sua vida digital.
Ative a autenticação de dois fatores sempre que puder. Isso representa um obstáculo extra essencial para os hackers.
Instale uma proteção robustaem todos os seus dispositivos. O Kaspersky Premium bloqueia automaticamente sites de phishing, anexos maliciosos e e-mails de spam antes mesmo de você ter a chance de acessá-los. Além disso, nosso aplicativo Kaspersky for Android tem um sistema antiphishing de três camadas que consegue detectar e neutralizar links maliciosos em qualquer mensagem de qualquer aplicativo. Leia mais sobre isso na nossa postagem Uma nova camada de segurança antiphishing no Kaspersky for Android.
A falsificação de marcas, sites e e-mails corporativos está se tornando uma técnica cada vez mais comum usada por cibercriminosos. A Organização Mundial da Propriedade Intelectual (OMPI) relatou um aumento nesses incidentes em 2025. Embora as empresas de tecnologia e as marcas de consumo sejam os alvos mais frequentes, todos os setores, em todos os países, correm risco. A única coisa que muda é como os impostores exploram as falsificações. Na prática, é comum ver os seguintes cenários de ataques:
Atrair os clientes para um site falso para coletar credenciais de login da loja on-line real ou para roubar informações de pagamento para roubo direto.
Atrair funcionários e parceiros de negócios para um portal de login corporativo falso para adquirir credenciais legítimas a fim de se infiltrar na rede corporativa.
Solicitar que clientes entrem em contato com os golpistas sob vários pretextos: obter suporte técnico, processar um reembolso, concorrer a um prêmio ou reivindicar compensação por eventos públicos envolvendo a marca. O objetivo é enganar as vítimas e roubar o máximo de dinheiro possível.
Atrair parceiros de negócios e funcionários para páginas cuidadosamente criadas para imitar os sistemas internos da empresa, para que eles aprovem um pagamento ou redirecionem um pagamento legítimo para os golpistas.
Solicitar que clientes, parceiros de negócios e funcionários baixem malware (na maioria das vezes um infostealer) disfarçado de software corporativo de um site falso da empresa.
Aqui, as palavras “atrair” e “persuadir” englobam um conjunto completo de táticas: e-mail, mensagens em aplicativos de bate-papo, postagens de mídia social que parecem anúncios oficiais, sites semelhantes promovidos por ferramentas de SEO e até anúncios pagos.
Todos esses artifícios compartilham duas características em comum. Primeiro, os invasores analisam a marca da organização e se esforçam para imitar o site oficial, nome de domínio e estilo corporativo de e-mails, anúncios e postagens de mídia social. E a falsificação não precisa ser perfeita, mas apenas convincente o suficiente para pelo menos alguns parceiros de negócios e clientes. Em segundo lugar, embora a organização e seus recursos on-line não sejam alvos diretos, o impacto sobre eles ainda é significativo.
Danos comerciais causados pela falsificação da identidade de marcas
Quando as falsificações são criadas para atingir funcionários, um ataque pode causar perdas financeiras diretas. É possível persuadir um funcionário para transferir fundos da empresa ou usar suas credenciais para roubar informações confidenciais ou iniciar um ataque de ransomware.
Os ataques a clientes normalmente não causam danos diretos aos cofres da empresa, mas geram danos indiretos substanciais nas seguintes áreas:
Sobrecarga da equipe de suporte ao cliente. Os clientes que “compraram” um produto em um site falso provavelmente entrarão em contato com a equipe real de suporte ao cliente para resolver o problema. Convencer os clientes de que a compra, na verdade, nunca foi feita é difícil, o que torna cada caso uma grande perda de tempo para vários agentes de suporte.
Danos à reputação. Os clientes vítimas de fraude geralmente culpam a marca por não protegê-los contra o golpe, além de exigir compensação. De acordo com uma pesquisa europeia, cerca de metade dos compradores afetados exigem uma compensação e podem optar por parar de usar os serviços da empresa, muitas vezes compartilhando sua experiência negativa nas mídias sociais. Isso é especialmente prejudicial se as vítimas forem figuras públicas ou tiverem muitos seguidores nas redes sociais.
Custos de resposta não planejados. Dependendo das especificidades e da escala de um ataque, uma empresa afetada pode precisar de serviços de perícia digital e resposta a incidentes (DFIR), bem como consultores especializados em direito do consumidor, propriedade intelectual, segurança cibernética e relações públicas de crise.
Prêmios de seguro mais altos. As seguradoras contratadas pelas empresas para protegê-las contra incidentes cibernéticos levam em consideração as consequências geradas pela falsificação da identidade da marca. Um perfil de risco aumentado pode acarretar um prêmio mais alto para uma empresa.
Desempenho do site prejudicado e aumento dos custos com anúncios. Se os criminosos exibem anúncios pagos usando o nome de uma marca, eles desviam o tráfego do site oficial. Além disso, se uma empresa paga para anunciar seu site, o custo por clique sobe devido ao aumento da concorrência. Esse é um problema particularmente grave para empresas de TI que vendem serviços on-line, mas também é relevante para marcas de varejo.
Declínio de indicadores de longo prazo. Isso inclui queda no volume de vendas, na participação e na capitalização de mercado. Tudo isso é consequência da perda de confiança dos clientes e parceiros de negócios após incidentes importantes.
O seguro cobre os danos?
Normalmente, as apólices de seguro populares contra riscos cibernéticos cobrem apenas custos diretamente vinculados a incidentes especificados na política, como perda de dados, interrupção dos negócios, comprometimento do sistema de TI, entre outros. Domínios e páginas da Web falsos não causam danos diretos aos sistemas de TI de uma empresa. Portanto, eles geralmente não são cobertos por um seguro padrão. Os danos à reputação e o próprio ato de falsificação de identidade representam riscos distintos, exigindo cobertura expandida do seguro específica para este cenário.
Das perdas indiretas listadas acima, um seguro padrão pode cobrir as despesas do DFIR e, em alguns casos, custos extras de suporte ao cliente (se a situação for reconhecida como um evento segurado). É quase certo que reembolsos voluntários a clientes, vendas perdidas e danos à reputação não estão cobertos.
O que fazer se sua empresa for atacada por clones
Se você descobrir que alguém está usando o nome da sua marca com o objetivo de cometer fraude, faz sentido fazer o seguinte:
Envie notificações claras e diretas aos clientes explicando o que aconteceu, quais medidas estão sendo tomadas e como eles podem verificar a autenticidade de sites oficiais, e-mails e outras comunicações.
Crie uma página simples de um “centro de confiança”, contendo domínios oficiais, contas de mídia social, links da loja de aplicativos e contatos de suporte. Garanta acesso fácil à página e a mantenha atualizada.
Monitore novos registros de páginas de mídia social e domínios que contenham os nomes da sua marca a fim de detectar os clones antes que um ataque seja iniciado.
Siga um procedimento de remoção. Isso envolve coletar provas, fazer reclamações aos registradores de domínio, provedores de hospedagem e administradores de mídia social e, em seguida, rastrear as falsificações até que todas elas sejam removidas. Para gerar um registro completo e preciso das violações, reúna URLs, capturas de tela, metadados e informações sobre a data e hora da descoberta. O ideal é também examinar o código-fonte das páginas falsas, pois ele pode conter pistas que apontem para outros componentes da operação criminosa.
Adicione um formulário simples ao seu site oficial e/ou aplicativo para que os clientes possam denunciar sites ou mensagens suspeitos. Isso ajuda você a identificar os problemas mais cedo.
Coordene as atividades entre as equipes jurídica, de segurança cibernética e de marketing. Isso garante uma resposta consistente, unificada e eficaz.
Como se defender contra ataques de falsificação de identidade de marcas
Embora a natureza aberta da Internet e as especificidades desses ataques façam com que seja impossível se prevenir totalmente contra eles, uma empresa pode se manter informada sobre novas falsificações e dispor de ferramentas para reagir a ataques.
Faça o monitoramento contínuo de atividades públicas suspeitas usando serviços de monitoramento especializados. O indicador mais óbvio é o registro de domínios semelhantes ao nome da sua marca. Mas existem outros, como a compra de bancos de dados relacionados à sua organização na dark Web. O melhor a ser feito é terceirizar o monitoramento abrangente de todas as plataformas para um provedor de serviços especializado, como o Kaspersky Digital Footprint Intelligence (DFI).
A maneira mais rápida e simples de remover um site ou um perfil de mídia social falsos é registrar uma reclamação de violação de marca registrada. Certifique-se de que seu portfólio de marcas registradas seja robusto o suficiente para registrar reclamações de acordo com os procedimentos da UDRP antes de precisar utilizá-los.
Ao descobrir falsificações, implemente os procedimentos da UDRP imediatamente para que os domínios falsos sejam transferidos ou removidos. No caso de mídias sociais, siga o procedimento de violação específico da plataforma, facilmente encontrado ao pesquisar por “[social media name] violação de marca registrada” (por exemplo, “Violação de marca registrada do LinkedIn“). É preferível transferir o domínio para o proprietário legítimo em vez de excluí-lo, pois isso evita que os golpistas o registrem novamente. Muitos serviços de monitoramento contínuo, como o Kaspersky Digital Footprint Intelligence, também oferecem um serviço de remoção rápida, registrando reclamações em nome da marca protegida.
Aja rapidamente para bloquear domínios falsos nos seus sistemas corporativos. Isso não protegerá parceiros ou clientes, mas dificultará os ataques direcionados aos seus próprios funcionários.
Registre o nome do site da sua empresa e suas variações comuns (por exemplo, com e sem hifens) em todos os principais domínios conhecidos, como .com e extensões locais. Isso ajuda a proteger parceiros e clientes contra erros de digitação comuns e sites imitadores simples.
Poucos especialistas em cibersegurança discordariam de que ataques a servidores Microsoft Exchange devem ser considerados inevitáveis e o risco de comprometimento permanece consistentemente elevado. Em outubro, a Microsoft encerrou o suporte ao Exchange Server 2019, tornando o Exchange Server Subscription Edition (Exchange SE) a única solução on-premises suportada até 2026. Apesar disso, muitas organizações continuam operando o Exchange Server 2016, 2013 e até versões ainda mais antigas.
Para agentes de ameaça, o Exchange é um alvo irresistível. Sua popularidade, complexidade, vasta quantidade de configurações e, principalmente, sua acessibilidade a partir de redes externas o tornam suscetível a uma ampla variedade de ataques:
Infiltração de caixas de correio por meio de ataques de password spraying ou spearphishing
Comprometimento de contas devido ao uso de protocolos de autenticação obsoletos
Roubo de e-mails específicos mediante a injeção de regras maliciosas de fluxo de e-mail via Exchange Web Services
Sequestro de tokens de autenticação de funcionários ou falsificação de mensagens explorando falhas na infraestrutura de processamento de e-mails do Exchange
Exploração de vulnerabilidades do Exchange para executar código arbitrário (implantação de Web shells) no servidor
Dificultar o comprometimento do Exchange pelos invasores e reduzir o impacto de um ataque bem-sucedido não é impossível, mas exige uma série de medidas que vão desde simples alterações de configuração até migrações complexas de protocolos de autenticação. Uma revisão conjunta de medidas de defesa prioritárias foi publicada recentemente pelo Centro Canadense de Cibersegurança (CISA) e por outros órgãos reguladores de cibersegurança. Então, como começar o fortalecimento de segurança do seu Exchange on-premises?
Migração de versões EOL
A Microsoft e a CISA recomendam a transição para o Exchange SE para garantir o recebimento pontual de atualizações de segurança. Para organizações que não conseguem realizar a migração imediatamente, há uma assinatura paga de Extended Security Updates (ESU) disponível para as versões de 2016 e 2019. A Microsoft enfatiza que atualizar a versão de 2016 ou 2019 para o Exchange SE tem complexidade semelhante à instalação de uma Cumulative Update padrão.
Se, por qualquer motivo, for necessário manter em operação uma versão sem suporte, ela deve ser rigidamente isolada tanto da rede interna quanto da externa. Todo o fluxo de e-mail deve ser roteado por um gateway de segurança de e-mail especialmente configurado.
Atualizações regulares
A Microsoft lança duas atualizações cumulativas por ano, além de hotfixes de segurança mensais. Uma tarefa essencial para administradores de Exchange é estabelecer um processo para implantar essas atualizações sem demora, já que agentes maliciosos não perdem tempo em explorar vulnerabilidades conhecidas. É possível acompanhar o cronograma e o conteúdo dessas atualizações na página oficial da Microsoft. Para verificar o estado geral e a situação de atualização da sua instalação do Exchange, utilize ferramentas como SetupAssist e Exchange Health Checker.
Mitigações emergenciais
Para vulnerabilidades críticas exploradas ativamente, instruções temporárias de mitigação costumam ser publicadas no blog do Exchange e na página de mitigações do Exchange. O serviço mitigação de emergência (EM) deve estar ativado nos seus servidores Exchange Mailbox. O EM conecta-se automaticamente ao Office Config Service para baixar e aplicar regras de mitigação para ameaças urgentes. Essas medidas podem desativar rapidamente serviços vulneráveis e bloquear solicitações maliciosas por meio de regras de reescrita de URL no IIS.
Baselines de segurança
Um conjunto uniforme de configurações, abrangendo toda a organização e otimizado às suas necessidades, deve ser aplicado não apenas aos servidores Exchange, mas também aos clientes de e-mail em todas as plataformas e aos sistemas operacionais subjacentes.
Como as baselines de segurança recomendadas diferem entre sistemas operacionais e versões do Exchange, o guia da CISA faz referência aos populares e gratuitos CIS Benchmarks e às instruções da Microsoft. O CIS Benchmark mais recente foi criado para o Exchange 2019, mas também é totalmente aplicável ao Exchange SE, já que as opções de configuração atuais do Subscription Edition não diferem das do Exchange Server 2019 CU15.
Soluções de segurança especializadas
Um erro crítico cometido por muitas organizações é não instalar agentes de EDR e EPP em seus servidores Exchange. Para prevenir a exploração de vulnerabilidades e a execução de Web shells, o servidor precisa ser protegido por uma solução de segurança como Kaspersky Endpoint Detection and Response. O Exchange Server integra-se à Antimalware Scan Interface (AMSI), o que permite que ferramentas de segurança processem eventos no lado do servidor de forma eficaz.
A lista de permissão de aplicativos pode dificultar significativamente as tentativas de invasores de explorar vulnerabilidades do Exchange. Esse recurso é padrão na maioria das soluções EPP avançadas. No entanto, se for necessário implementá-lo usando ferramentas nativas do Windows, é possível restringir aplicativos não confiáveis usando App Control for Business ou AppLocker.
Para proteger funcionários e suas máquinas, o servidor deve utilizar uma solução como o Kaspersky Security for Mail Serve para filtrar o tráfego de e-mail. Isso resolve diversos desafios para os quais o Exchange on-premises, em sua configuração padrão, não possui ferramentas suficientes, como autenticação de remetentes por meio dos protocolos SPF, DKIM e DMARC, ou proteção contra spam sofisticado e spearphishing.
Se, por qualquer motivo, um EDR completo não estiver implantado no servidor, é fundamental ao menos ativar o antivírus padrão e garantir que a regra de Attack Surface Reduction (ASR) “Block Webshell creation for Servers” esteja ativada.
Para evitar a degradação de desempenho do servidor ao utilizar o antivírus padrão, a Microsoft recomenda excluir arquivos e pastas específicas das verificações.
Restrição de acesso administrativo
Invasores frequentemente elevam privilégios abusando do acesso ao Exchange Admin Center (EAC) e ao PowerShell Remoting. As boas práticas determinam que essas ferramentas sejam acessíveis apenas por meio de um número limitado de estações de trabalho com privilégios elevados (PAWs). Isso pode ser aplicado por meio de regras de firewall nos próprios servidores Exchange ou utilizando um firewall. As regras de Client Access nativas no Exchange também podem oferecer alguma utilidade nesse cenário, mas não conseguem impedir o abuso de PowerShell.
Adoção de Kerberos e SMB em vez de NTLM
A Microsoft está eliminando gradualmente protocolos de rede e de autenticação legados. Instalações modernas do Windows desativam SMBv1 e NTLMv1 por padrão, com versões futuras devendo também desativar NTLMv2. Iniciando com o Exchange SE CU1, o NTLMv2 será substituído pelo Kerberos, implementado usando MAPI over HTTP, como o protocolo de autenticação padrão.
As equipes de TI e segurança devem conduzir uma auditoria completa do uso de protocolos legados na infraestrutura e desenvolver um plano de migração para métodos modernos e mais seguros de autenticação.
Métodos de autenticação modernos
A partir do Exchange 2019 CU13, os clientes podem utilizar uma combinação de OAuth 2.0, MFA e ADFS para uma autenticação robusta: uma estrutura conhecida como Modern Authentication, ou Modern Auth. Assim, um usuário só consegue acessar sua caixa de e-mail após concluir com sucesso a MFA via ADFS, com o servidor Exchange recebendo então um token de acesso válido do servidor ADFS. Depois que todos os usuários tiverem migrado para Modern Auth, a autenticação básica deve ser desativada no servidor Exchange.
Ativação do Extended Protection
O Extended Protection (EP) fornece defesa contra ataques de retransmissão NTLM, Adversary-in-the-Middle, e técnicas semelhantes. Ela aprimora a segurança TLS usando um Channel Binding Token (CBT). Se um invasor roubar credenciais ou um token e tentar usá-los em uma sessão TLS diferente, o servidor encerra a conexão. Para ativar o EP, todos os servidores Exchange devem estar configurados para usar a mesma versão do TLS.
O Extended Protection é ativado por padrão em novas instalações de servidor iniciando com o Exchange 2019 CU14.
Versões seguras de TLS
Toda a infraestrutura de servidores, incluindo todos os servidores Exchange, deve estar configurada para usar a mesma versão de TLS: 1.2 ou, idealmente, 1.3. A Microsoft oferece orientações detalhadas sobre a configuração ideal e verificações prévias necessárias. É possível usar o script Health Checker para verificar a correção e uniformidade dessas configurações.
HSTS
Para garantir que todas as conexões estejam protegidas por TLS, também é necessário configurar o HTTP Strict Transport Security (HSTS). Isso ajuda a prevenir certos ataques AitM. Após aplicar as alterações de configuração do Exchange Server recomendadas pela Microsoft, todas as conexões ao Outlook on the Web (OWA) e ao EAC serão forçadas a usar criptografia.
Download Domains
O recurso Download Domains fornece proteção contra certos ataques de falsificação de solicitação entre sites e roubo de cookies, movendo o download de anexos para um domínio diferente daquele que hospeda o Outlook on the Web da organização. Isso separa o carregamento da interface e da lista de mensagens do download de arquivos anexados.
Modelo de administração baseado em funções
O Exchange Server implementa um modelo de controle de acesso baseado em funções (RBAC) para usuários privilegiados e administradores. A CISA destaca que contas com privilégios de administrador do AD muitas vezes também são usadas para gerenciar o Exchange. Nessa configuração, o comprometimento do servidor Exchange leva imediatamente ao comprometimento total do domínio. Portanto, é fundamental usar permissões divididas e RBAC para separar o gerenciamento do Exchange de outros privilégios administrativos. Isso reduz o número de usuários e administradores com privilégios excessivos.
Assinatura de fluxos do PowerShell
Administradores frequentemente usam scripts PowerShell conhecidos como cmdlets para modificar configurações e gerenciar servidores Exchange por meio do Exchange Management Shell (EMS). O acesso remoto ao PowerShell deve, idealmente, ser desativado. Quando estiver ativado, os fluxos de dados de comando enviados ao servidor devem ser protegidos com certificados. Desde novembro de 2023, essa configuração está ativada por padrão para Exchange 2013, 2016 e 2019.
Proteção de cabeçalhos de e-mail
Em novembro de 2024, a Microsoft introduziu uma proteção aprimorada contra ataques que envolvem a falsificação de cabeçalhos P2 FROM, que levava as vítimas a acreditarem que os e-mails tinham sido enviados por um remetente confiável. Novas regras de detecção agora sinalizam e-mails em que esses cabeçalhos provavelmente foram manipulados. Administradores não devem desativar essa proteção e devem encaminhar e-mails suspeitos contendo o cabeçalho X-MS-Exchange-P2FromRegexMatch para especialistas em segurança para análise adicional.
Entrar
