RELATÓRIO

Atividade criminosa
online no Brasil
2º trimestre / 2020

VERSÃO COMPLETA

São Paulo, 22 de julho de 2020

Principais números
deste relatório
12,26%
foi a diminuição da
quantidade de phishing
— página 5
25,6 9,16 mi
pontos percentuais foi o de credenciais expostas
aumento da fatia de infrações foram identificadas
em buscas pagas do Google — página 18
e do Bing no total de usos de
marca — página 24

✗ Malware e vírus, porém, indicam novas táticas dos ataques:

↳ 35 empresas do setor financeiro foram em média afetadas por cada artefato

em abril. — página 9

✗ 75,1% das senhas identificadas são compostas somente por letras minúsculas.
— página 19

✗ 53,9% dos cartões de crédito e débito identificados em vazamentos mundiais são

do Brasil, colocando o país na liderança novamente. — página 21

✗ 37.866 denúncias de fraudes e páginas falsas sobre o coronavírus foram

recebidas pela Axur, e o

↳ Auxílio Emergencial do governo tem sido alvo de inúmeras fraudes,

vazamentos e crimes em deep e dark web. — página 12
Conteúdo
Panorama

O (não tão) novo normal dos cibercriminosos . . . . . . . . . . . . . . . . . . . . . . 4

Phishing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

Malware e vírus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

Especial

Fraudes digitais e a pandemia do novo coronavírus . . . . . . . . . . . . . . . . 12

Vazamento de credenciais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

Vazamento de cartões de crédito e débito . . . . . . . . . . . . . . . . . . . . . . . . 21

Infrações em uso de marca . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

Deep e dark web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

Detecção e procedimentos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
PA N O R A M A

O (não tão) novo normal

dos cibercriminosos
O ano de 2020 tem sido marcado por eventos extraordinários. Nossa vida parece
ter mudado para sempre, gerando um efeito cascata em todo tipo de atividade –
inclusive nas ações dos cibercriminosos. Incrivelmente, o volume de phishing focado
em clientes de grandes empresas caiu no segundo trimestre, contrastando com o
crescimento acelerado de 2019.

No geral, essas constatações não significam que os criminosos pararam de atacar as

empresas (principalmente quando olhamos os dados de phishing), mas sim que existe
um novo sweet spot, chamado Auxílio Emergencial.

A injeção bilionária de recursos na economia brasileira através do Auxílio Emergencial

foi o que ocupou a mente dos criminosos no segundo trimestre. Foram milhares de
ataques, dos mais variados, com potencial de atingir milhões de cidadãos, com uma
taxa de efetividade e um “retorno sobre o ataque” muito melhor para os criminosos.

Devido ao interesse público dessa questão, liberamos nesta edição as detecções em

deep e dark web que mostram crimes voltados ao auxílio. Você as encontra na seção
especial sobre fraudes relacionadas ao novo coronavírus.

Nesse trimestre, motivados por sabermos que os criminosos passariam a focar

seu esforços nas pessoas mais necessitadas, a Axur lançou seu projeto voluntário
Quarentena Sem Fraudes, que no segundo trimestre recebeu 37.866 denúncias de
sites falsos. Continue denunciando!

Fica aqui também o agradecimento da Axur a todas as empresas, profissionais e

voluntários de todos os setores que têm unido esforços para seguirmos em frente
neste difícil período. Esperamos que os dados das próximas páginas ajudem todos
a refletir e construir um ambiente digital cada vez melhor e mais seguro – afinal,
sabemos bem da importância de estar online neste momento. Boa leitura!

Fabio Ramos, CEO da Axur

© Axur. Experiências digitais mais seguras. Todos os direitos reservados. 4

Phishing
Páginas falsas que capturam dados sensíveis de consumidores

De 1º de abril a 30 de junho de 2020 foram identificados 9.572 casos únicos de

phishing no Brasil. Esse número representa uma diminuição bruta de 1.338 casos
e percentual de 12,26% se comparado às 10.910 detecções do primeiro trimestre.
Quando comparado ao valor do segundo trimestre de 2019 (5.297 casos de phishing),
o registro atual representa um aumento de 80,7% nos casos de phishing período de
um ano.

A Figura 1 aponta a evolução mensal dos números de phishing desde abril de 2019.
A queda das detecções é notada principalmente no mês de junho, quando foram
detectados 2.436 casos. Cabe observar que o mês de junho também apresentou
queda em 2019 se comparado a maio do mesmo ano.

4.000

3.000

2.000

1.000

Abr Mai Jun Jul Ago Set Out Nov Dez Jan Fev Mar Abr Mai Jun

Figura 1. Evolução do número total de casos de phishing detectados no Brasil entre o segundo
trimestre de 2019 e o segundo de 2020.

© Axur. Experiências digitais mais seguras. Todos os direitos reservados. 5

 A discrepância responsável pela diminuição dessas fraudes digitais em junho é visível
no setor de bancos e financeiras, como aponta o gráfico da Figura 2. Esse é outro
cenário semelhante ao segundo trimestre de 2019: os casos do setor financeiro
diminuíram 63,3% entre maio e junho do ano anterior e 59,19% em 2020. Mesmo assim,
o setor ainda figura como o principal nos ataques.

Outros Programa de milhas/Linhas aéreas E-commerce Bancos/Financeiras SaaS/Webmail

Outros Programa de milhas/Linhas aéreas E-commerce Bancos/Financeiras SaaS/Webmail

Abr 1.210

Mai 2.267

Jun 1.820

Jul 2.150

Ago 2.645

Set 2.067

Out 2.751

Nov 2.908

Dez 3.123

Jan 3.299

Fev 3.845

Mar 3.766

Abr 3.545

Mai 3.591

Jun 2.436

0 1.000 2.000 3.000 4.000

Figura 2. Quantidade mensal de casos únicos de phishing detectados entre o segundo trimestre de
2019 e o segundo de 2020.

© Axur. Experiências digitais mais seguras. Todos os direitos reservados. 6

Bancos e financeiras ainda em foco
Apesar da diminuição no número de phishing com foco em bancos e financeiras no
mês de junho, o setor continua na liderança na medição trimestral: contabiliza 36,6%
do total (Figura 3).

A liderança desse percentual no setor foi um registro inédito do primeiro trimestre, e

pode ainda estar relacionada à visibilidade e movimentação financeiras ocorridas
com a injeção bilionária do Auxílio Emergencial (anunciado em abril pelo governo
federal) e com o crescimento no número de empresas de serviços financeiros
(fintechs).
1,1% 0,2%

SaaS/Webmail

Bancos/Financeiras
27,7%
34,4%
E-commerce

Programa de milhas/Linhas aéreas

Outros

Figura 3. Porcentagem total do

número de fraudes de phishing
atingindo cada setor de indústria no
segundo trimestre de 2020 no Brasil. 36,6%

As fraudes digitais voltadas ao setor financeiro são também historicamente

conectadas a artefatos de malware, que estão mais sofisticados e aumentaram sua
proliferação em junho (veja na próxima seção).

Quanto ao impacto do período de pandemia do novo coronavírus na atividade

criminosa online brasileira, mais informações e números são apresentados na seção
da página 12.

© Axur. Experiências digitais mais seguras. Todos os direitos reservados. 7

 Nomes de domínios genéricos ainda são maioria
nos ataques
Fraudes envolvendo domínios genéricos, que são aqueles com chamadas sem nomes
de marcas ou com chamadas apelativas (diadasmaes, oferta, atualizarcadastro, etc.)
continuam como maioria: no segundo trimestre, os domínios genéricos estavam em
58% dos ataques de phishing.

Esse tipo de domínio indica o uso de táticas para despistar detecções, já que não
existe menção a marcas. Como mostra a Figura 4, houve redução percentual em
comparação com o primeiro trimestre de 2020, mas o registro ainda é um nível alto se
comparado ao ano anterior.

Domínios genéricos
Domínios genéricos Domínios similares
Domínios similares

100%

38% 42%
75% 52%
67%

50%

62% 58%
25% 48%
33%

0%
2019 4º trimestre 2019 1º trimestre 2020 2º trimestre 2020

Figura 4. Porcentagem dos ataques de phishing com uso de domínios similares a marcas ou
domínios genéricos entre 2019 e o segundo trimestre de 2020.

© Axur. Experiências digitais mais seguras. Todos os direitos reservados. 8

Malware e vírus
Softwares maliciosos que são instalados em computadores, disseminados por técnicas de
engenharia social que personificam marcas financeiras para capturar dados sensíveis de
consumidores

A atividade de malware (que afeta o setor financeiro por mirar a captura de dados
bancários e de autenticação, em sua maioria) diminuiu em volume no primeiro
trimestre e ainda mais no segundo, com exceção de junho. Foram 38 arquivos
detectados entre abril e junho. A Figura 5 mostra essa evolução mensal.

2019 2020

100

81

75
67
64

56
52
49
47
50 44

32

24
22 20
25

11
7

0
Abr Mai Jun Jul Ago Set Nov Dez Jan Fev Mar Abr Mai Jun

Figura 5. Quantidade mensal de casos únicos de malware detectados entre o segundo trimestre de
2019 e o segundo de 2020.

© Axur. Experiências digitais mais seguras. Todos os direitos reservados. 9

 É importante destacar que esta análise só considera casos únicos (excluindo
pequenas variações) e que estão associados a marcas de empresas. Incidentes que
exploram órgãos de governo, empresas de terceiro setor ou assuntos genéricos (que
se passam por pessoas físicas) foram excluídos de nossa análise.

A subida do valor mensal para 20 casos únicos em junho pode indicar um

redirecionamento dos ataques digitais, em contraste com a diminuição de phishing
afetando o setor financeiro no mesmo mês (página 6).

Um volume menor não é indicativo de diminuição da atividade criminosa. É importante

ressaltar que foi identificado um número recorde de empresas sendo afetadas por um
único artefato de malware (Figura 6), indicando maior especialização dessas fraudes
– que por sua natureza exigem mais conhecimento técnico e esforço para que atinjam
consumidores.

Número máximo de alvos em um malware Média de alvos por malware

Número máximo de alvos em um malware Média de alvos por malware

50

40

30

20

10

0
Jan Fev Mar Abr Mai Jun

Figura 6. Média e número máximo mensal de instituições financeiras afetadas por malware entre
janeiro e junho de 2020.

© Axur. Experiências digitais mais seguras. Todos os direitos reservados. 10

 Análise dos arquivos de malware
No segundo trimestre, 11 dos 38 arquivos estavam hospedados em servidores
Dropbox, ultrapassando o número na Amazon AWS.

Diferente do primeiro trimestre do ano, foram agora seis tipos diferentes de arquivos
(antes três) detectados, porém ainda com a predominância do tipo instalador .msi. A
Figura 7 mostra esses aspectos em detalhes.

Dropbox

msi

Amazon
AWS

Microsoft

exe

Oracle

bat
Aptum
js
Yandex
cmd

Aruba.it lnk

Figura 7. Classificação por ISP de hospedagem e por formato dos arquivos de malware do segundo
trimestre de 2020 detectados no Brasil.

© Axur. Experiências digitais mais seguras. Todos os direitos reservados. 11

ESPECIAL

Fraudes digitais e a pandemia

do novo coronavírus
Frente à incerteza e ao medo causados pelas dificuldades financeiras e de saúde na
atual pandemia, a atividade criminosa no Brasil tem atuado na fragilidade da proteção
digital de trabalhadores remotos e na onda de crescimento do uso de serviços e
produtos digitais neste segundo trimestre.

Pensando nisso, a Axur lançou ainda em março o projeto voluntário Quarentena Sem
Fraudes, que no segundo trimestre contabilizou 37.866 denúncias analisadas por
nosso time e enviadas para remoção de fraudes relacionadas a órgãos públicos e à
OMS (Organização Mundial da Saúde).

Nesse período, centenas de páginas foram retiradas do ar. De modo geral, todas
as páginas encontradas têm apresentado métodos de ataques diferentes entre
si (Figura 8), com a predominância de usos de marcas de empresas e órgãos
governamentais para engenharia social e cupons falsos.

A plataforma ainda está recebendo denúncias de fraudes e informações falsas sobre o

novo coronavírus e pode ser acessada aqui.

4,1%
Cupom falso ou uso de marca
11%
Perfil falsos em rede social

Aplicativo mobile fraudulento

Phishing

Figura 8. Percentuais dos tipos 27,4% 57,5%

de páginas falsas ou fraudulentas

removidas pelo projeto Quarentena Sem
Fraudes no segundo trimestre de 2020.

© Axur. Experiências digitais mais seguras. Todos os direitos reservados. 12

ESPECIAL

Fraudes digitais e a pandemia do novo coronavírus

Cupons falsos e páginas de compartilhamento massivo

Dentre as ameaças de uso abusivo de marca no segundo trimestre, o cupom falso foi
a que teve mais destaque. Esse golpe exige um cadastro simples e compartilhamentos
via WhatsApp (e muitas vezes só é visível quando acessado por dispositivos móveis).

Esse golpe gera ganho para o fraudador pela visualização de publicidade paga ou pelo
furto de dados pessoais completos – que podem ser negociados na deep e na dark
web ou usados para fraudar cadastros como o do próprio Auxílio Emergencial.

Um caso que chamou a atenção foi o de uma página que falsificava o cadastro para
Auxílio Emergencial (Figura 9) e que no segundo trimestre contabilizou 4 diferentes
aparições em URLs distintas – utilizando o mesmo “kit” de hospedagem de página –
entre 2 e 3 de abril.

© Axur. Experiências digitais mais seguras. Todos os direitos reservados. 13

ESPECIAL

Fraudes digitais e a pandemia do novo coronavírus

AUXÍLIO EMERGENCIAL | SOLITCITE LIBERAÇÃO

https://auxilioemergencial.campanhas.net

AUXÍLIO EMERGENCIAL | SOLITCITE LIBERAÇÃO

https://ae.formuiario.com

AUXÍLIO EMERGENCIAL | SOLITCITE LIBERAÇÃO

https://auxilioemergencial.campanhas.net

AUXÍLIO EMERGENCIAL | SOLITCITE LIBERAÇÃO

https://auxilio.formuIario.com

Figura 9. Página falsificando o cadastro para Auxílio Emergencial detectada de forma idêntica em 4
diferentes URLs.

© Axur. Experiências digitais mais seguras. Todos os direitos reservados. 14

ESPECIAL

Fraudes digitais e a pandemia do novo coronavírus

Phishing
As páginas falsas que capturam senhas e dados de cartões de crédito costumam
fisgar consumidores pelo senso de urgência e de novidade, apostando principalmente
na falta de conhecimento sobre segurança digital. Com o novo coronavírus não é
diferente.

Identificamos cestas básicas, potes de álcool em gel, máscaras e outros utensílios

considerados importantes na pandemia sendo usados como isca para phishing. Um
exemplo desses, com uso de nome de domínio genérico, está na Figura 10.

Kit 10 Máscaras de tecido não descartáveis Unissex cores

http://promocao-todo-dia.com/MeusProdutos/Prefetch.php?skullid=1682922010

Figura 10. Phishing falsificando um e-commerce utilizando máscaras como iscas para a captura de
dados sensíveis. Abaixo, o título da página e sua URL também mostram chamadas para atração de
vítimas. A imagem é uma simulação da página, de forma a não expor a marca atacada.

© Axur. Experiências digitais mais seguras. Todos os direitos reservados. 15

ESPECIAL

Fraudes digitais e a pandemia do novo coronavírus

Movimentações em deep e dark web

Considerando o interesse público das informações, optamos por liberar o acesso
às detecções em deep e dark web envolvendo movimentações criminosas e o novo
coronavírus. Dessas, são também destaque aquelas voltadas ao Auxílio Emergencial:

✗ Venda de contas (logins): oferta de cadastros funcionais para saques (Figura 11).

✗ Venda de CPF e dados para cadastro: oferta “completa” de informações pessoais

que ainda não foram utilizadas para o auxílio (Figura 12).

Figura 11. Mensagens em fóruns da deep web ofertando a venda de contas funcionais do Auxílio
Emergencial.

Figura 12. Oferta em deep web de lotes de dados de CPF para cadastro no Auxílio Emergencial.

© Axur. Experiências digitais mais seguras. Todos os direitos reservados. 16

ESPECIAL

Fraudes digitais e a pandemia do novo coronavírus

✗ Venda de programas testadores de dados: chamados de checkers, a oferta

desses programas prevê que o comprador consiga inserir em lote os dados
obtidos ilegalmente para verificar rapidamente quais podem ser usados para
cadastro no site do Auxílio Emergencial (Figuras 13 e 14).

Figura 13. Venda de checker

(programa testador de dados)
em grupo fechado alegando a
disponibilização de outros dados
necessários para cadastro no
Auxílio Emergencial.

Figura 14. Interface de programa

testador com a extração de
todos os dados necessários para
cadastro no Auxílio Emergencial.

© Axur. Experiências digitais mais seguras. Todos os direitos reservados. 17

Vazamento de credenciais
Exposição de e-mails com senha ou hash em web superficial, deep e dark web

9,16 milhões de credenciais expostas foram detectadas pela Axur no segundo

trimestre de 2020.

O número total de credenciais é próximo ao do quarto trimestre de 2019 (7,44

milhões), mas comparativamente menor ao registro do primeiro trimestre de 2020
(86,67 milhões), devido a grandes bases detectadas nos primeiros meses do ano e que
somavam milhões de credenciais em um único vazamento.

Essas grandes bases de vazamentos continuam somando a maior parte das

credenciais encontradas, como mostra o gráfico da Figura 15.

6%

Deep e dark web

Serviços de paste e
compartilhamento de textos 24,3%

Grandes vazamentos

Figura 15. Origem das credenciais

vazadas encontradas pela Axur
69,7%
no segundo trimestre de 2020.

Credencial
E-mail com senha ou hash (tipo de senha criptografada).

© Axur. Experiências digitais mais seguras. Todos os direitos reservados. 18

No trimestre, foram identificadas:

✗ 608.713 credenciais de domínios corporativos1 (6,64% do total), distribuídas

entre 141.648 empresas distintas afetadas (no total mundial).2

✗ 377.133 credenciais .br, distribuídas em 25.127 domínios distintos.3

Dessas, foram:

✗ 47.534 credenciais de domínios corporativos (12,6% do total, quase o dobro

do percentual mundial) em 23.290 empresas distintas afetadas.

✗ 692 credenciais .gov.br distribuídas em 207 domínios distintos.

Padrões de senhas: pouca segurança

Apesar das senhas formadas somente por números serem as combinações campeãs
do ranking apresentado na Figura 16, as senhas formadas somente por letras
minúsculas são a maioria nos vazamentos detectados, como aponta o gráfico da
Figura 17.

O tamanho médio de todas as senhas detectadas no período é de 8,3 caracteres.

A Figura 17 mostra que as senhas formadas somente por letras minúsculas são a
maioria, representando 75,06% do total de credenciais detectadas. O gráfico mostra
que apenas um pequeno percentual das credenciais utiliza senhas de acordo com
padrões adequados de segurança, com o uso de caracteres especiais (4,79%) ou com
variação entre dois ou mais tipos de caracteres (10,9%).

1
As credenciais corporativas detectadas não necessariamente dão acesso aos sistemas e bases internos das
empresas, pois podem apenas ter sido vazadas a partir de cadastros feitos em outros sites com e-mails dessas
empresas. Ainda assim, é importante perceber que essas credenciais representam risco devido à prática de utilizar o
mesmo par de e-mail e senha em vários sites.
2
O número de domínios distintos de empresas é obtido a partir da remoção de todos os domínios considerados
públicos (como gmail.com, yahoo.com e outros).
3
As credenciais .br são apenas uma amostra para análise do cenário brasileiro, já que muitos usuários e empresas do
Brasil utilizam domínios .com ou outros.

© Axur. Experiências digitais mais seguras. Todos os direitos reservados. 19

 20.771

20 mil

15 mil

10.788

10 mil

5.001
4.443 4.153
5 mil 4.051
3.416 3.242
2.472 2.393

df
ty

5t
0
9

3
78
56

l
ai
9
78

12

as
34
er

4r

gm
78
56
34

sx
qw

ty
56

3e
12

56
34
12

er
zw
34

2w
34

qw
12

qa
12

1q
12

Figura 16. Ranking global de exposições de senhas detectadas pela Axur no segundo trimestre
de 2020.

Apenas números

Apenas letras minúsculas 7,7%

10,9%

Apenas letras maiúsculas 1,5%

4,8%

Com caracteres especiais

Com dois ou mais tipos de

caracteres (letras maiúsculas,
letras minúsculas, números)

Figura 17. Distribuição percentual

de senhas conforme os caracteres
que as compõem, identificadas no 75,1%
segundo trimestre de 2020.

© Axur. Experiências digitais mais seguras. Todos os direitos reservados. 20

Vazamento de cartões
de crédito e débito
Exposição de dados completos de cartões em web superficial, deep e dark web

No segundo trimestre de 2020, 517.670 cartões de crédito e débito com

dados completos foram identificados pela Axur, expostos da web superficial à
deep e dark web e distribuídos entre 20.564 BINs.

Destes, 96,9% (502.093 cartões) estavam dentro da data de validade no

momento de detecção.

O número total representa uma diminuição de 48,7% em comparação com o volume de

1,009 milhão de cartões encontrados no primeiro trimestre, e se deve à característica
variável dessas detecções: milhares de cartões foram encontrados em grandes
vazamentos isolados entre janeiro e março.

Mesmo com a diminuição das detecções, no segundo trimestre o Brasil voltou a ser o
país com maior número de cartões expostos, com 53,9% do total mundial. O ranking
por país está disposto na Figura 18.

BINs (Bank Identification Numbers)

Os seis primeiros dígitos de um cartão de crédito ou débito, que identificam a
instituição financeira emissora e o tipo de cartão.

© Axur. Experiências digitais mais seguras. Todos os direitos reservados. 21

 Isso significa que, em um trimestre, o Brasil aumentou consideravelmente sua fatia
mundial de cartões expostos mundialmente, saltando de 20,7% para 53,9% das
exposições.

Outros
6,1%
Espanha
1,1%
México
1,3%
Itália
1,7%
França
2,2%

Estados Unidos
33,7% Brasil

53,9%

Figura 18. Porcentagem total dos países com mais cartões de crédito e débito vazados online e
detectados pela Axur no segundo trimestre de 2020.

© Axur. Experiências digitais mais seguras. Todos os direitos reservados. 22

 Para mensurar esses dados, foram analisadas as 500 BINs com mais cartões vazados,
o que também mostra que Brasil é também o país com mais BINs expostas, com 227
aparições.

Juntas, as 500 BINs com mais vazamentos detectados contabilizaram 367.301 cartões.
Assim, 2,4% das BINs encontradas somam 70,49% do total de cartões de crédito ou
débito.

O ranking da Figura 19 também aponta que o Brasil possui 6 das 10 BINs com mais
vazamentos, ainda que o primeiro lugar seja ocupado por uma BIN norte-americana.

BIN 1 Estados Unidos

BIN 2 Brasil

BIN 3 Brasil

BIN 4 Estados Unidos

BIN 5 Estados Unidos

BIN 6 Brasil

BIN 7 Estados Unidos

BIN 8 Brasil

BIN 9 Brasil

BIN 10 Brasil

0 5 mil 10 mil 15 mil 20 mil

Figura 19. Ranking mundial das 10 BINs com mais vazamentos de cartões de crédito e débito
registrados no primeiro trimestre de 2020, identificadas por país.

© Axur. Experiências digitais mais seguras. Todos os direitos reservados. 23

Infrações em uso de marca
Personificação e violação de propriedade intelectual

As violações em buscas pagas do Google e do Bing são o maior destaque do

segundo trimestre de 2020, contabilizando 28,7% do total de infrações de marca.
A disposição das infrações está na Figura 20.

1ᵒ trimestre

2ᵒ trimestre

0 25% 50% 75% 100%

Venda não autorizada Figura 20. Porcentagem total de

Perfil falso em redes sociais incidentes de uso de marca no

Uso indevido ou fraudulento de marca segundo trimestre de 2020.

Domínio similar
Uso indevido de marca em busca paga
Aplicativo mobile fraudulento
Outros

Esse fato inédito marca um aumento de 25,6 pontos percentuais (de 3,1 para 28,7%)
da fatia ocupada por uso indevido de marca em busca paga. Essas que acontecem em
anúncios patrocinados das páginas de busca são numerosas devido à facilidade de
registro de milhares de palavras-chave por uma única pessoa (ou fraudador).

© Axur. Experiências digitais mais seguras. Todos os direitos reservados. 24

Quando um consumidor clica em um link falso pensando estar indo à marca
pesquisada, está na verdade propenso a cair em golpes de phishing, malware ou
estelionatos. Um exemplo de estelionato que direcionava ao pagamento de um boleto
a partir de uma palavra chave “nome de um banco + quitação” está na Figura 21.

Usos de marca em busca paga são muito comuns no mundo todo pois significam
ganho de vantagem competitiva. Usar uma palavra-chave em pesquisas com a marca
adversária gera desvio de tráfego e de receita.

Figura 21. Exemplo de busca paga com infração de marca na palavra chave da pesquisa e que
direcionava para uma página de estelionato a partir do pagamento de boletos falsos.

© Axur. Experiências digitais mais seguras. Todos os direitos reservados. 25

Estelionatos e domínios similares em declínio, mas uso
de técnicas que exigem alerta redobrado
O número de páginas de uso indevido ou fraudulento de marca (em geral
contempladas por estelionatos digitais e falsificações de parcerias) e nomes de
domínios similares a marcas nunca estiveram tão baixos, registrando respectivamente
4,2% e 1,8%.

Assim como os níveis de phishing tem registrado os maiores níveis de uso de domínios
genéricos, mais difíceis de serem detectados por não conterem menção a marcas,
os usos indevidos de marca em buscas pagas também são técnicas que podem ser
usadas pelos fraudadores para despistar sistemas de monitoramento.

Dessa forma, nos usos indevidos em buscas pagas uma menção a marca nas páginas
do Google ou do Bing pode direcionar a outra página de captura de dados que não
contêm nenhuma menção à marca inicialmente atingida.

De modo geral, esses indicativos mostram que a atividade cibercriminosa no Brasil

está relacionada tanto nos menores usos de marca quanto em fraudes digitais
sofisticadas como o malware. Isso exige, portanto, cada vez mais atenção das
empresas na hora de criar mecanismos de proteção de seus consumidores e de seus
dados internos.

© Axur. Experiências digitais mais seguras. Todos os direitos reservados. 26

Deep e dark web
As informações contidas nesta seção são confidenciais e não devem ser repassa-
das a terceiros sem autorização expressa da Axur.

O monitoramento de deep e dark web, no segundo trimestre de 2020, trouxe os

seguintes números em análises:

✗ 4,4 bilhões de arquivos em 280 mil buckets Amazon S3

✗ 6,913 milhões de documentos em serviços de paste

✗ 647.500 mensagens no IRC (Internet Relay Chat)

✗ 2,418 milhões de mensagens de WhatsApp, Discord e Telegram

✗ 216,6 milhões de páginas na rede TOR

No segundo trimestre, houve um aumento considerável na detecção de anúncios e

serviços de fraude, representando um total de 35,1% do volume de achados (Figura
22). No primeiro trimestre, esse tipo de detecção havia registrado 20,3% do total.

O aumento dessa atividade pode estar relacionado às fraudes ligadas ao novo

coronavírus e ao Auxílio Emergencial.

O número de detecções de vazamentos e exposições de dados sensíveis caiu no

trimestre, totalizando 46% do volume monitorado. Ainda assim, essa continua sendo a
infração com maior volume no trimestre.

© Axur. Experiências digitais mais seguras. Todos os direitos reservados. 27

 É também relevante o aumento das detecções de vendas de logins (listas de
credenciais para acesso a um serviço ou site), que pularam de 3,6% no primeiro
trimestre para 6,7% no segundo. Várias dessas vendas eram de logins do Auxílio
Emergencial.

100%
Vazamento ou
exposição de dados

Venda ou exposição
de checkers

Venda de tela fake

Venda de 75%
maquineta/POS

Venda de logins

Venda de contas

Venda de Central/
Painel de consulta 50%

Venda de cartões

Menção

Anúncio de serviços
de fraude
25%

0%
WhatsApp
Website

Total
Facebook
Amazon S3

Discord

Telegram
Pastebin

Skype

TOR
IRC

Figura 22. Volume de cada tipo de detecção em deep e dark web no segundo trimestre de 2020, por
canal monitorado.

© Axur. Experiências digitais mais seguras. Todos os direitos reservados. 28

 O foco no setor financeiro fica também muito visível quando observadas as menções
aos cinco principais bancos brasileiros, dispostas em números no gráfico da Figura 22.

Em abril, mês de disponibilização do Auxílio Emergencial, foram atingidos níveis

recorde de menções a esses bancos. Nota-se uma tendência de que esses níveis
retornem aos anteriores com o passar dos meses, considerando o volume visto no mês
de junho.

20 mil

15 mil

10 mil

5 mil

0
Janeiro Fevereiro Março Abril Maio Junho

Figura 23. Menções aos cinco principais bancos brasileiros em deep e dark web entre janeiro e
junho de 2020.

© Axur. Experiências digitais mais seguras. Todos os direitos reservados. 29

Detecção e procedimentos
Todas as informações aqui apresentadas foram obtidas a partir do monitoramento
diário de milhões de URLs e artefatos maliciosos realizado pela Axur.

As detecções são feitas em web superficial, deep e dark web, e com o uso de
tecnologias que permitem que os processos sejam automatizados e mais facilmente
visíveis na forma de dados:

✓ Coletores

✓ A Axur possui uma estrutura de coletores próprios com todas as possíveis fontes
de sinais (milhões de e-mails considerados spam são processados diariamente, e
cerca de 780 milhões de URLs avaliadas todos os meses).

✓ Machine learning

✓ É usado pela Axur para diminuir exponencialmente os tempos de detecção. O

procedimento é feito a partir da análise dos componentes de URLs, de elementos
no conteúdo das páginas e do uso de visão computacional, permitindo a
identificação de padrões que são ensinados e testados – possibilitando os mais
elevados níveis de acertos.

Com essas técnicas, a Axur consegue entregar resultados com precisão, fazendo
com que seja possível visualizar ameaças em potencial e incidentes de forma prática
e clara. Todas as detecções acontecem na plataforma Axur One, onde é também
possível realizar as ações de tratamento.

Para saber sobre as detecções de sua marca e/ou conhecer os produtos de

proteção contra riscos digitais da Axur, entre em contato conosco.

© Axur. Experiências digitais mais seguras. Todos os direitos reservados. 30

Sobre a Axur

Líder em monitoramento e reação a riscos digitais na internet, com foco em criar experiências
digitais mais seguras para empresas e seus consumidores. Utilizando automações e machine
learning, monitoramos a web superficial e a deep e dark web para oferecer proteção contra riscos
como uso abusivo de marca, apropriação de identidade, phishing, aplicativos fraudulentos e vendas
não autorizadas.

Para mais informações, visite axur.com e conheça o blog Deep Space, blog.axur.com.

Contato para a imprensa

Denise Claudino
+55 51 3012 2987
press@axur.com

Endereços

EUA Singapura Brasil

601 Brickell Key Drive, Suite 901 109 North Bridge Road Rua Mostardeiro, 322 – 15º andar
Miami, FL 33131 Cityhall District, 179097 Porto Alegre, RS 90430-000

Axur OneAxur AxurOne

© Axur. Experiências digitais mais seguras. Todos os direitos reservados.