A ESET identificou uma campanha de phishing que usa uma nova técnica para enganar vítimas e roubar informações pessoais e confidenciais, como senhas e dados bancários. Ao contrário dos golpes tradicionais, esse ataque utiliza páginas falsas dinâmicas que se adaptam automaticamente ao alvo, tornando o golpe mais realista e difícil de ser detectado pelos usuários.

O phishing é um tipo de ataque em que o criminoso se passa por uma empresa ou serviço confiável para induzir a vítima a fornecer dados sensíveis. No caso dessa nova campanha, os criminosos enviam e-mails com links que direcionam para sites falsos, mas que importam logos e informações oficiais de serviços externos, criando páginas de login personalizadas para cada empresa alvo. Além disso, o endereço de e-mail da vítima é preenchido automaticamente nos formulários, o que aumenta a sensação de legitimidade.

Segundo Daniel Barbosa, pesquisador de segurança da ESET no Brasil, "o phishing dinâmico é uma evolução dos golpes tradicionais. Ele usa tecnologia para deixar as páginas falsas muito parecidas com as originais, o que confunde até usuários atentos". Ao inserir a senha, a vítima tem seus dados enviados em tempo real aos criminosos, e é redirecionada para o site legítimo da empresa, dificultando a percepção do golpe.

Esses tipos de campanhas foram mencionadas pela equipe da RiskIQ, especialmente em relação a uma ferramenta chamada LogoKit, que facilita a criação rápida e convincente de páginas falsas de login, além de plataformas em nuvem para hospedagem, como Firebase e GitHub, o que dificulta a identificação e remoção dos sites maliciosos.

Para reduzir os riscos desse tipo de ataque, a ESET recomenda que empresas e usuários adotem medidas como a autenticação em dois fatores (MFA), que adiciona uma camada extra de segurança ao processo de login, dificultando o uso indevido de credenciais roubadas.

“Os cibercriminosos continuam evoluindo suas técnicas, utilizando tecnologias originalmente desenvolvidas para melhorar a experiência do usuário, mas que acabam sendo destinadas para fins maliciosos. A atenção constante e a implementação das melhores práticas de segurança são essenciais para proteger dados e sistemas”, alerta Barbosa.