Phishing no Brasil: saiba mais sobre os principais golpes e como se proteger

Por Heimdall: Com o avanço da digitalização no país, os ataques cibernéticos como o phishing, realizado via e-mail, tornaram-se mais frequentes e sofisticados, atingindo tanto empresas quanto indivíduos. Esse cenário demanda uma compreensão mais profunda para enfrentar essas ameaças e fomentar uma cultura contínua de conscientização em segurança da informação.

Elaboramos um artigo para explorar alguns dos principais ataques de phishing voltados para a coleta de credenciais e pagamentos fraudulentos, incluindo campanhas que simulam comunicação de órgãos como Correios, STF, Receita Federal e DETRAN. Esses ataques se aproveitam da urgência percebida em relação a multas e cobranças, induzindo vítimas a fornecer informações sensíveis ou realizar pagamentos indevidos.

Nele, vamos destacar características específicas e táticas utilizadas. Ao final, apresentamos recomendações práticas para pessoas e empresas, com foco em identificar e evitar campanhas maliciosas.

Campanhas de phishing

Identificamos que atores de ameaça estão enviando e-mails de phishing com o objetivo de induzir a vítima ao pagamento de determinadas quantias.

Campanha 1. DETRAN

Nesta campanha, os criminosos enviam e-mails com o seguinte conteúdo:

Exemplo de campanha utilizando do DETRAN-DF

Em investigação do referido e-mail, foi possível identificar, com base na análise do cabeçalho, que:

  • Endereço de envio: O e-mail foi enviado a partir do endereço dpf.detran@smtplw-15[.]com, sendo que o domínio smtplw-15[.]com não corresponde ao domínio oficial do órgão.
  • Uso de serviço de terceiros: O envio foi realizado por meio do serviço correio[.]biz, indicando o uso de uma plataforma não autorizada para disseminação da mensagem.
  • URL suspeita: O e-mail contém uma URL suspeita inserida no botão “Visualizar Multa”, potencialmente levando a um site fraudulento.
URL relacionada ao e-mail phishing

O referido link sugere que a página simulada seja potencialmente uma página de phishing, projetada para coletar credenciais de contas do Microsoft Outlook ou Hotmail.

Identificação do arquivo .php utilizado para página do phishing

Como a página apresentava erros em sua exibição para o usuário, possivelmente devido a falhas no código, o ator de ameaça não se atentou a bugs no desenvolvimento da campanha e problemas na infraestrutura. Após manipulações nas requisições, a campanha foi encerrada, redirecionando o usuário para o Portal de Serviços do SENATRAN, reforçando a simulação de que o ataque tinha como objetivo o pagamento fraudulento de multas.

Como o servidor utilizado não está mais disponível para prosseguir com a investigação, conclui-se que os atores estão em constante busca por evoluir suas campanhas e ajustar suas táticas.

Neste caso, os atores utilizaram a plataforma de hospedagem Massivegrid Ltd por meio do IP: 185.168.193.103, onde foi possível identificar outras páginas potencialmente usadas para phishing, reforçando o caráter malicioso dessa infraestrutura.

Outras URL e domínios identificados com base na campanha em questão

Exemplo de uma página de phishing simulando o provedor de serviços “Terra”.

Exemplo de página falsa utilizada pelo ator de ameaça

Como exemplo: parte do código da página contém orientações sobre publicidades, com o objetivo de enganar o usuário e fazê-la parecer o mais legítima possível.

Parte do código da página utilizado em campanha

Campanha 2. Correios

Outra técnica utilizada por atores de ameaça envolve o envio de e-mails de phishing que informam o usuário sobre um suposto objeto retido na alfândega, solicitando o pagamento de taxas para liberação.

Para isso, os criminosos enviam diversos e-mails fraudulentos, buscando não apenas receber valores financeiros, mas também coletar credenciais de acesso a contas de e-mail, como demonstrado no exemplo mencionado anteriormente.

Exemplo de campanha maliciosa utilizada como mensagem dos Correios

Neste e-mail, de acordo com a análise, a campanha foi enviada com o remetente “alfandega856857[@]correios”, mas utilizando o domínio sugcfhonn.hvrjhivjnjzcks[.]com[.]br.

Além disso, o e-mail foi disparado por meio do provedor de serviços Digital Ocean, associado ao IP 67.205.181.176.

Neste caso, o e-mail também contém um link para acesso pelo usuário, correspondente ao seguinte endereço:

Página final do phishing relacionado aos Correios

De acordo com os dados coletados e a investigação, o referido link não permaneceu ativo por muito tempo, apresentando atualmente indisponibilidade. A campanha utilizou o serviço da Cloudflare para hospedar o conteúdo temporariamente.        

Campanha 3. Tributos ICMS/Cofins

Outro caso relevante envolve e-mails enviados por atores de ameaça com o objetivo de obter pagamentos indevidos. Esses ataques têm como principais alvos empresas de pequeno e médio porte, aproveitando-se da rotina tributária das organizações.

Nessa abordagem, o assunto do e-mail afirma que a empresa possui pendências relacionadas a tributos, como ICMS ou Cofins, que precisam ser quitadas imediatamente, induzindo a vítima ao pagamento fraudulento.

Exemplo de e-mail phishing vinculado ao contexto ICMS/Confins

O e-mail recebido normalmente contém dois arquivos em formato PDF: um com o título “baixa_” e outro “titulo_”. Não há links anexados, apenas os PDFs.

A análise do e-mail indica que o ator de ameaça pode ter utilizado um computador pessoal com acesso ao Gmail, pois o envio foi identificado a partir do IP 177.50.121[.]175, com o nome do dispositivo listado como “User-PC”.

Além disso, o remetente é claramente fraudulento, apresentado como BG <ocultado pela ISH>, porém enviado do e-mail sufcdi573@gmail[.]com.

Outro ponto relevante é o sinal de urgência adicionado pelos atores, que mesmo apresentando erros de formatação de caracteres, busca pressionar a vítima a realizar a ação rapidamente.

Assunto correlacionado a alteração do título

Em um dos PDFs, mais precisamente no título, é enviado um boleto bancário, reforçando a tentativa de enganar a vítima e induzi-la ao pagamento fraudulento.

Print do boleto relacionado ao golpe em questão

A equipe de inteligência identificou outras campanhas de phishing em andamento. Em alguns casos, foi observado que o boleto ainda permanecia ativo para pagamento, mas com um valor significativamente mais alto do que o apresentado anteriormente.

Esses boletos são frequentemente emitidos por bancos digitais ou físicos, aproveitando-se das particularidades de cada sistema. Dependendo do banco utilizado para o pagamento, o sistema pode ofuscar a identidade do destinatário real do valor pago, dificultando a identificação do beneficiário.

Um exemplo disso é um boleto bancário emitido pela PagBank, utilizado para essa finalidade fraudulenta.

Prints relacionados ao pagamento de valores dos boletos falsos

É possível observar que, conforme o volume de campanhas coletadas aumenta, padrões podem ser identificados pela equipe de inteligência, o que auxilia clientes e outras organizações na identificação desses tipos de campanhas maliciosas.

Em campanhas como essas, é comum que atores de ameaça recrutem “laranjas”, pessoas que servem como intermediárias para o recebimento das quantias fraudulentas. Essas pessoas recebem uma porcentagem do valor obtido na fraude e, posteriormente, os criminosos utilizam sistemas de cascata para realizar lavagem de dinheiro, dificultando o rastreamento dos valores pagos pelas vítimas pelas forças da lei.

Campanha 4. Multa STF

O último caso apresentado pela equipe de pesquisa envolve atores de ameaça utilizando e-mails fraudulentos com o seguinte assunto:

Prezado(a) Senhor(a), XXX

Você está sendo oficialmente notificado(a) pelo Supremo Tribunal Federal (STF) sobre uma ação judicial de extrema gravidade movida contra você. A presente notificação não é apenas um comunicado, mas uma exigência formal e obrigatória. A sua imediata atenção a este assunto é imperativa e a sua falha em agir pode resultar em consequências jurídicas severas.

Protocolo: [1950]

O não cumprimento das instruções contidas neste e-mail pode acarretar em sanções adicionais. Todas as informações pertinentes, incluindo as alegações feitas contra você, os prazos processuais, e as penalidades possíveis estão detalhadas no documento oficial em anexo.

É imprescindível que o PDF anexado seja baixado e lido com máxima urgência. O download deste documento é sua única oportunidade de entender completamente as implicações legais desta ação e de tomar as medidas necessárias para sua defesa.

<link>

Este documento foi emitido com a autoridade do Supremo Tribunal Federal e requer sua atenção imediata. O cumprimento das instruções é obrigatório.

Atenciosamente,

Supremo Tribunal Federal

Atenção: Esta mensagem pode conter informação confidencial ou privilegiada, sendo seu sigilo protegido por lei. Se você não for o destinatário ou a pessoa autorizada a receber esta mensagem, não pode usar, copiar ou divulgar as informações nela contidas ou tomar qualquer ação baseada nessas informações. Se você recebeu esta mensagem por engano, por favor, avise imediatamente ao remetente, respondendo o e-mail e em seguida apague-a. Agradecemos sua cooperação.

Ao realizar o acesso junto ao referido site, o usuário se deparada com:

Exemplo da página de phishing

O Supremo Tribunal Federal (STF) emitiu um alerta oficial sobre o referido golpe, informando que criminosos estavam utilizando o nome do órgão para cobrança fraudulenta de multas. Mais detalhes podem ser encontrados no link oficial: STF alerta para golpe cibernético com falsa cobrança de multa.

Portanto, a fraude evolui para exigir o pagamento de uma multa, apresentada em forma de boleto bancário embutido em um PDF, enganando as vítimas para que realizem o pagamento.

Esses tipos de golpes evidenciam como atores de ameaça sofisticam suas táticas, aproveitando-se da confiança nos órgãos públicos para induzir pagamentos indevidos. A inserção de boletos falsos em documentos PDF reforça a necessidade de vigilância contínua por parte das organizações e dos cidadãos, demonstrando a importância de verificar a autenticidade das comunicações recebidas e de implementar medidas de segurança que possam mitigar o impacto dessas campanhas fraudulentas.

Indicadores de Comprometimento

A ISH Tecnologia realiza o tratamento de diversos indicadores de compromissos coletados por meio de fontes abertas, fechadas e também de análises realizadas pela equipe de segurança Heimdall. Diante disto, abaixo listamos todos os Indicadores de Comprometimento (IOCs) relacionadas a análise do(s) artefato(s) deste artigo.

Indicadores de Comprometimento

Obs: Os links e endereços IP elencados acima podem estar ativos; cuidado ao realizar a manipulação dos referidos IoCs, evite realizar o clique e se tornar vítima do conteúdo malicioso hospedado no IoC.

Como se proteger

Além dos indicadores de comprometimento elencados pela ISH, poderão ser adotadas medidas visando a mitigação da infecção do referido malware, como por exemplo:

Ações Imediatas ao Receber um E-mail Suspeito:

  • Não abrir links ou anexos: Verifique URLs e anexos usando ferramentas como VirusTotal.
  • Verificar domínios e remetentes: Confirme se o domínio é legítimo e desconfie de e-mails com endereços pessoais.
  • Reportar phishing: Utilize a opção “Reportar Phishing” no Gmail, Outlook ou outras plataformas.
  • Não responder ao e-mail: Para evitar confirmar sua identidade ao atacante.

Contato com a Empresa Legítima:

  • Contate a empresa diretamente por telefone ou site oficial, nunca pelos dados fornecidos no e-mail.
  • Evite responder o e-mail suspeito diretamente.

Boas Práticas de Segurança para Prevenção:

  • Educação e conscientização: Treine usuários para identificar sinais como:
    • Erros de ortografia e formatação.
    • Urgência excessiva.
    • Remetentes desconhecidos.
  • SPF, DKIM e DMARC: Configure autenticação de e-mails e valide registros recebidos.
  • Uso de filtros antispam e antiphishing: Ative proteção avançada no servidor de e-mail.
  • Limite de uso de e-mails pessoais: Use contas empresariais para atividades corporativas.
  • Habilite autenticação multifatorial (MFA): Adicione uma camada extra de segurança.

Procedimentos de Investigação e Resposta a Incidentes:

  • Análise de logs e cabeçalhos: Use ferramentas como MxToolbox para rastrear a origem do e-mail.
  • Isolamento de e-mails maliciosos: Bloqueie endereços ou domínios suspeitos.
  • Verificação de dispositivos comprometidos: Realize escaneamento com ferramentas de EDR.
  • Coleta de IoCs (Indicadores de Comprometimento): Registre IPs, URLs e hashes suspeitos e compartilhe em plataformas de threat intelligence.

Melhoria Contínua de Segurança:

  • Simulações de phishing: Realize campanhas periódicas para testar a conscientização dos usuários.
  • Atualizações frequentes de software: Mantenha sistemas e antivírus atualizados.
  • Backups regulares: Garanta que backups estão atualizados e protegidos contra alterações não autorizadas.

Ações em Caso de Exposição:

  • Alteração imediata de senhas: Troque senhas comprometidas e habilite MFA.
  • Notificação a vítimas e reguladores: Informe pessoas afetadas e, se necessário, órgãos reguladores.
  • Monitoramento de atividades financeiras: Acompanhe movimentações suspeitas em contas bancárias e cartões.

Referências

  • Heimdall by ISH Tecnologia

Copyright © 2024 ISH Tecnologia, All Rights Reserved.