Phishing

Pesquisadores de cibersegurança da Push Security alertaram sobre um novo esquema de phishing que tem como alvo credenciais de login da Microsoft. Os criminosos cibernéticos criaram páginas falsas que imitam as telas de login do Microsoft 365, utilizando uma ferramenta chamada Active Directory Federation Services (ADFS) para enganar os usuários. Em vez de enviar as vítimas diretamente para o site de phishing, os atacantes configuraram suas contas Microsoft para redirecionar os usuários para essas páginas fraudulentas, fazendo com que os links parecessem legítimos, já que começavam com ‘outlook.office.com’. Além disso, a distribuição do link não ocorreu por e-mail, mas sim através de malvertising, onde vítimas que buscavam por “Office 265” eram direcionadas a uma página de login falsa. O uso de um blog de viagens falso como intermediário ajudou a ocultar o ataque. Essa abordagem sofisticada permitiu que o esquema contornasse muitas ferramentas de segurança, aumentando sua taxa de sucesso em comparação com métodos tradicionais de phishing. Para se proteger, equipes de TI devem bloquear anúncios suspeitos e monitorar o tráfego de anúncios, enquanto os usuários devem ter cuidado ao digitar termos de busca, pois um simples erro de digitação pode levar a um anúncio falso que compromete dispositivos e contas.

Um estudo da empresa de cibersegurança Guardio revela que navegadores de internet que utilizam inteligência artificial (IA) ainda não estão prontos para realizar tarefas sensíveis, como compras online e gerenciamento de e-mails, devido a vulnerabilidades que podem ser exploradas por golpistas. Tecnologias como Comet, do Perplexity, Copilot, do Microsoft Edge, e Aura, da OpenAI, foram testadas e mostraram-se suscetíveis a ataques de phishing e engenharia social. Em um dos testes, a IA Comet completou uma compra em um site falso sem solicitar confirmação do usuário, expondo dados sensíveis como informações de cartão de crédito. Outro teste demonstrou que a IA foi enganada por um e-mail de phishing que parecia legítimo, resultando no fornecimento de credenciais do usuário. A Guardio alerta que esses testes preliminares indicam que há mais problemas em potencial, sugerindo que os usuários evitem delegar tarefas críticas à IA e adotem medidas de segurança, como a autenticação de dois fatores. O estudo destaca a necessidade de cautela ao usar navegadores com IA para evitar o roubo de dados e outras fraudes.

Recentemente, a Microsoft Threat Intelligence relatou um aumento significativo em ataques de engenharia social conhecidos como ClickFix, que visam usuários de Windows e Mac em todo o mundo. Esses ataques exploram a tendência dos usuários de resolver problemas técnicos menores, enganando-os para que executem comandos maliciosos disfarçados de etapas legítimas de solução de problemas. O ciclo típico de um ataque ClickFix começa com e-mails de phishing ou anúncios maliciosos que redirecionam os usuários para páginas de captura que imitam serviços confiáveis, como Google reCAPTCHA.

Um novo tipo de fraude conhecido como “ghost tapping” está se espalhando rapidamente, especialmente no Sudeste Asiático, desde 2020. Essa prática envolve o uso de dados de cartões de pagamento roubados, frequentemente obtidos por meio de phishing e engenharia social, que são carregados em celulares descartáveis, conhecidos como “burner phones”. Os criminosos conseguem contornar a segurança interceptando senhas de uso único enviadas às vítimas e, em seguida, utilizam esses dados para realizar compras em lojas ou retirar dinheiro de caixas eletrônicos. As mercadorias adquiridas, como joias e eletrônicos, são rapidamente revendidas em canais clandestinos, como o Telegram. Apesar das ações policiais, as redes de fraude se adaptaram, migrando para plataformas alternativas que continuam a facilitar essas transações fraudulentas. A falta de verificações rigorosas de identidade em muitos estabelecimentos torna a detecção de fraudes no ponto de venda extremamente difícil. Em Cingapura, por exemplo, a polícia registrou centenas de incidentes relacionados a dados de cartões de pagamento, resultando em perdas significativas. A situação exige que bancos, varejistas e provedores de pagamento adotem medidas mais robustas de segurança e autenticação para proteger os consumidores e mitigar os riscos associados a essa nova onda de fraudes.

Os ataques de phishing utilizando QR codes, conhecidos como ‘quishing’, estão se tornando cada vez mais sofisticados, com hackers empregando técnicas avançadas para contornar medidas de segurança tradicionais. Pesquisadores de segurança identificaram dois métodos inovadores: os QR codes divididos e os QR codes aninhados. No primeiro método, os códigos maliciosos são fragmentados em duas imagens distintas, dificultando a detecção por scanners de segurança que reconhecem apenas imagens isoladas. Um exemplo recente envolve um golpe de redefinição de senha da Microsoft, onde os atacantes usaram mensagens personalizadas para enganar as vítimas. O segundo método, os QR codes aninhados, apresenta um código malicioso dentro de um código legítimo, criando ambiguidade na detecção. Isso pode confundir tanto os sistemas de segurança quanto os usuários, pois um código aponta para um URL malicioso enquanto o outro leva a um site legítimo. Diante da evolução dessas táticas, é crucial que as organizações adotem estratégias de defesa em múltiplas camadas, incluindo treinamento de conscientização em segurança e autenticação multifatorial. A implementação de sistemas de IA multimodal também é recomendada para melhorar a detecção de phishing baseado em imagens, especialmente aqueles que utilizam QR codes.

Pesquisas recentes da Proofpoint revelam que criminosos cibernéticos estão explorando construtores de sites impulsionados por inteligência artificial, como o Lovable, para criar campanhas de phishing e redes de distribuição de malware. O Lovable permite que usuários gerem sites a partir de descrições em linguagem natural, o que facilitou a criação de sites de phishing profissionais em questão de minutos. Em fevereiro de 2025, uma operação de phishing afetou mais de 5.000 organizações, utilizando e-mails maliciosos que redirecionavam vítimas para páginas falsas de autenticação da Microsoft. Além disso, campanhas de fraude financeira e ataques focados em criptomoedas também foram documentados, com criminosos criando réplicas convincentes de plataformas de finanças descentralizadas. Após a divulgação das vulnerabilidades, o Lovable implementou sistemas de detecção em tempo real e planos para aumentar a segurança, mas a pesquisa destaca a crescente preocupação com o abuso de ferramentas de IA no cibercrime. Organizações devem considerar políticas de lista de permissões para plataformas de IA frequentemente abusadas, enquanto os fornecedores de segurança monitoram esses vetores de ameaça emergentes.

Um novo ataque de engenharia social sofisticado está direcionado a usuários de contas do Google, onde golpistas se fazem passar por representantes de suporte da empresa para obter informações de login. O ataque começa com tentativas não autorizadas de recuperação de conta, originadas de locais internacionais, como França e Inglaterra, que criam uma sensação de urgência. Após alguns dias, as vítimas recebem chamadas de um número que parece ser o suporte legítimo do Google, +1 (650) 253-0000. O golpista, que fala com um sotaque americano convincente, menciona as tentativas de acesso não autorizado e pede permissão para enviar um prompt de recuperação de conta ao dispositivo da vítima. Durante a ligação, o golpista inicia um processo legítimo de recuperação de conta, fazendo com que a notificação pareça autêntica. No entanto, aceitar essa solicitação concede controle total da conta ao atacante. Os usuários devem estar cientes de que o Google nunca faz chamadas não solicitadas sobre questões de segurança e devem sempre iniciar qualquer processo de recuperação por conta própria. É crucial que os usuários rejeitem qualquer solicitação de recuperação recebida durante chamadas não solicitadas.

Pesquisadores em cibersegurança apresentaram uma nova técnica de injeção de prompt chamada PromptFix, que engana modelos de inteligência artificial generativa (GenAI) para realizar ações indesejadas. Essa técnica, descrita pela Guardio Labs como uma versão moderna do golpe ClickFix, utiliza instruções maliciosas disfarçadas em verificações de CAPTCHA em páginas da web. O ataque explora navegadores impulsionados por IA, como o Comet da Perplexity, que prometem automatizar tarefas cotidianas, permitindo que interajam com páginas de phishing sem o conhecimento do usuário. A técnica leva a um novo cenário denominado Scamlexity, onde a conveniência da IA se combina com uma nova superfície de fraudes invisíveis. Os testes mostraram que o Comet, em várias ocasiões, completou transações em sites falsos sem solicitar confirmação do usuário. Além disso, a técnica pode ser usada para enganar assistentes de codificação, como o Lovable, levando à exposição de informações sensíveis. A pesquisa destaca a necessidade de sistemas de IA desenvolverem defesas proativas para detectar e neutralizar esses ataques, especialmente à medida que os criminosos cibernéticos utilizam plataformas GenAI para criar conteúdo de phishing realista e automatizar ataques em larga escala.

Entre março e julho de 2025, atores de ameaças da Coreia do Norte realizaram uma campanha coordenada de espionagem cibernética, visando missões diplomáticas na Coreia do Sul. Os ataques foram realizados por meio de pelo menos 19 e-mails de spear-phishing que se faziam passar por contatos diplomáticos confiáveis, com o intuito de enganar funcionários de embaixadas e do ministério das relações exteriores. Os pesquisadores da Trellix identificaram que os atacantes utilizaram o GitHub como um canal de comando e controle, além de serviços de armazenamento em nuvem como Dropbox e Daum Cloud para distribuir um trojan de acesso remoto chamado Xeno RAT. Este malware permite que os atacantes assumam o controle dos sistemas comprometidos. Os e-mails, escritos em vários idiomas, incluíam assinaturas oficiais e referências a eventos reais, aumentando sua credibilidade. A análise sugere que a campanha pode ter ligações com operativos baseados na China, levantando a possibilidade de uma colaboração entre grupos de hackers. A situação é preocupante, especialmente considerando o aumento de atividades de espionagem cibernética e fraudes envolvendo trabalhadores de TI norte-coreanos em empresas ao redor do mundo.

Um novo golpe de phishing está afetando usuários do Booking.com, um dos sites mais populares para reservas de hospedagem. O ataque foi identificado por um pesquisador de segurança e utiliza uma técnica chamada typosquatting, que explora a semelhança entre caracteres. Os criminosos enviam e-mails falsos alegando que houve uma reclamação sobre um aluguel, solicitando que a vítima clique em um link que parece levar ao site legítimo do Booking.com. No entanto, o link contém um caractere hiragana japonês que substitui a barra lateral na URL, enganando até mesmo usuários mais atentos. Ao clicar, as vítimas podem baixar um instalador malicioso que infecta seus dispositivos com malware, permitindo o roubo de informações e acesso remoto. O Booking.com, devido à sua popularidade, se torna um alvo frequente para esses tipos de fraudes. É essencial que os usuários verifiquem cuidadosamente os links e a autenticidade dos sites que acessam, buscando por erros de digitação ou caracteres estranhos nas URLs.

Pesquisadores de cibersegurança da Raven AI descobriram uma campanha de phishing sofisticada que explora a tecnologia Safe Links da Cisco, transformando um mecanismo de segurança confiável em um vetor de ataque. A campanha demonstra como os atacantes utilizam a infraestrutura de segurança legítima para contornar sistemas tradicionais de filtragem de e-mails, aproveitando a confiança dos usuários em marcas estabelecidas de cibersegurança.

O ataque utiliza a funcionalidade de reescrita de URL do Cisco Safe Links, que visa proteger os usuários ao redirecionar links suspeitos através da infraestrutura de análise de ameaças da Cisco. Os criminosos cibernéticos encontraram várias maneiras de gerar links seguros da Cisco que redirecionam para destinos maliciosos, explorando a confiança inerente dos usuários em URLs que começam com “secure-web.cisco.com”.

Pesquisadores de cibersegurança da McAfee descobriram uma campanha sofisticada de phishing no Android que visa usuários indianos, disfarçando-se como parte do programa de subsídio de eletricidade PM Surya Ghar do governo. O ataque utiliza uma operação de engenharia social em múltiplas etapas, incluindo vídeos no YouTube, sites falsos e aplicativos maliciosos hospedados no GitHub, com o objetivo de roubar informações financeiras e obter controle remoto dos dispositivos infectados.

A campanha começa com vídeos promocionais no YouTube que prometem subsídios de eletricidade por meio de um aplicativo móvel. Esses vídeos contêm URLs encurtadas que redirecionam as vítimas para sites de phishing que imitam de perto o portal oficial do programa. O site fraudulento apresenta instruções de registro falsas e um ícone enganoso do Google Play, que, ao ser clicado, baixa um arquivo APK malicioso.

Um novo golpe de phishing está sendo utilizado por cibercriminosos que se aproveitam da popularidade do Booking.com para enganar usuários. Os atacantes enviam e-mails para pessoas que possuem anúncios na plataforma, informando que houve uma reclamação sobre seu anúncio e que devem agir rapidamente para evitar a suspensão. O link contido no e-mail parece legítimo, mas, ao analisá-lo mais de perto, é possível notar que um caractere hiragana japonês foi utilizado no lugar da barra normal, o que é uma técnica conhecida como ’typosquatting’. Essa prática visa confundir as vítimas, levando-as a clicar em links maliciosos que instalam malware em seus dispositivos. O pesquisador de segurança que relatou o incidente, JAMESWT, observou que o site falso pode servir como um instalador de malware, como infostealers e trojans de acesso remoto (RAT). Para se proteger, os usuários são aconselhados a revisar cuidadosamente mensagens recebidas, especialmente aquelas não solicitadas, e a verificar links e anexos antes de clicar. O ataque destaca a importância de uma vigilância constante em relação a comunicações digitais.

Pesquisadores de cibersegurança alertam para a venda de contas de e-mail comprometidas do FBI e de outras agências governamentais dos EUA na dark web, com preços a partir de US$ 40. Essas contas são oferecidas em plataformas de mensagens criptografadas, como Telegram e Signal, e podem ser usadas para enviar solicitações de emergência fraudulentas a empresas de tecnologia. Os criminosos oferecem acesso completo às contas, permitindo o envio de mensagens, anexação de arquivos maliciosos e acesso a plataformas que exigem verificação governamental. A venda dessas credenciais representa um risco significativo, pois pode facilitar campanhas de malware em larga escala e a divulgação de dados sensíveis, como endereços IP e números de telefone. Os métodos utilizados para obter essas contas incluem o uso de malware, phishing e técnicas de engenharia social, que exploram vulnerabilidades humanas e técnicas. A crescente comercialização de contas de e-mail de instituições respeitáveis destaca a commoditização da confiança institucional, onde contas ativas e verificadas são reutilizadas para fraudes imediatas.

Um levantamento realizado pela OLX revelou que o golpe do ‘falso pagamento’ foi o crime mais prevalente em 2024, representando 46% de todas as fraudes em compras online no Brasil. Este tipo de fraude resultou em um prejuízo estimado de R$ 1,61 bilhão para os consumidores. O golpe, também conhecido como ‘golpe da compra aprovada’, ocorre quando o criminoso se faz passar por um comprador e envia um comprovante de pagamento falso. A vítima, acreditando que o valor já foi creditado, envia o produto, mas acaba descobrindo que o dinheiro nunca foi depositado. Para evitar cair nessa armadilha, especialistas recomendam que os vendedores confirmem o recebimento do pagamento antes de entregar o item. Além disso, é importante estar atento a sinais de alerta, como pressa excessiva do comprador, pedidos de dados pessoais desnecessários e exigências de taxas extras. Caso identifique comportamentos suspeitos, a orientação é interromper a negociação e denunciar o perfil na plataforma. A OLX já implementa soluções que centralizam pagamentos e entregas, oferecendo maior segurança aos usuários.