2018-5-14

SEGURANÇA

Há uma nova geração de fishing à venda na dark web

Recentemente descoberto à venda na dark web, trata-se de um kit abrangente de ferramentas que permitem a qualquer hacker minimamente competente construir e gerir campanhas de phishing eficazes em tempo record

A Check Point e a empresa de ciberinteligência CyberInt descobriram uma nova geração de kits de phishing à venda na Dark Net. Ao contrario dos kits anteriormente disponibilizados, maioritariamente compostos por apenas uma ou duas páginas para recolher dados pessoais ou financeiros, este novo e avançado kit de phishing permite criar websites falsos muito mais convincentes.

Criado por um hacker que dá pelo nome de '[A]pache', proporciona aos cibercriminosos com conhecimentos básicos a possibilidade de gerirem as suas próprias campanhas de phishing para recolher informação pessoal e financeira dos consumidores sem o seu consentimento.  Ao descarregar o kit de phishing multifuncional, disponível em fóruns da Dark Net, e seguir as suas instruções de instalação, um cibercriminoso pode lançar a sua campanha em tempo record.

Os kits estão à venda por um preço que varia entre os 100 e os 300 dólares, bastante superior ao dos kits de roubo de identidade standard, que custam entre 20 e 50 dólares. Alguns são inclusive gratuitos, já que só proporcionam páginas de início de sessão e pedidos de informação pessoal e financeira. No entanto, graças ao denominado [A]pache, os atacantes dispõem agora de um conjunto completo de ferramentas que lhes permitem levar a cabo ataques bem-sucedidos. Estas incluem toda uma interface com a qual podem criar páginas falsas de venda de produtos e gerir toda a sua campanha de phishing.

O kit de phishing do [A]pache permite escolher entre um conjunto alargado de marcas conhecidas, como a  Walmart, Americanas, Ponto Frio, Casas Bahia, Submarino, Shoptime e Extra. Como a maioria destes retalhistas se dirige a um público brasileiro, parece que este kit destina-se sobretudo aos hackers que têm um bom conhecimento de português, embora também tenham sido encontrados alguns kits dirigidos a marcas norte-americanas.

As páginas web falsas oferecem produtos aos clientes a um preço mais baixo do normal. Quando os tentam comprar, são-lhes roubados diferentes dados, como o seu endereço de email, número de telefone ou a informação do seu cartão bancário.

A equipa de investigação da Check Point localizou o autor deste kit de phishing, e que também pode estar por detrás de outros kits destinados a vítimas nos EUA: um cidadão brasileiro identificado como Douglas Arrial nas redes sociais.

Seguindo as suas instruções, assim que o ataque termina, os cibercriminosos que recorreram ao kit disponibilizado por Douglas encerram o site falso, a fim de diminuir os riscos de serem apanhados.

Recomendado pelos leitores

O RGPD
SEGURANÇA

O RGPD "light" português

LER MAIS

Last Call para o RGPD – As oportunidades ao alcance do Canal
SEGURANÇA

Last Call para o RGPD – As oportunidades ao alcance do Canal

LER MAIS

RGPD: backup é fundamental para segurança dos dados
SEGURANÇA

RGPD: backup é fundamental para segurança dos dados

LER MAIS

IT CHANNEL Nº 47 Maio 2018

IT CHANNEL Nº 47 Maio 2018

VER EDIÇÕES ANTERIORES