Escolar Documentos
Profissional Documentos
Cultura Documentos
Relatorio Completo Axur Q2 2020
Relatorio Completo Axur Q2 2020
Atividade criminosa
online no Brasil
2º trimestre / 2020
VERSÃO COMPLETA
✗ 75,1% das senhas identificadas são compostas somente por letras minúsculas.
— página 19
Phishing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Malware e vírus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Especial
Vazamento de credenciais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
Detecção e procedimentos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
PA N O R A M A
A Figura 1 aponta a evolução mensal dos números de phishing desde abril de 2019.
A queda das detecções é notada principalmente no mês de junho, quando foram
detectados 2.436 casos. Cabe observar que o mês de junho também apresentou
queda em 2019 se comparado a maio do mesmo ano.
4.000
3.000
2.000
1.000
Abr Mai Jun Jul Ago Set Out Nov Dez Jan Fev Mar Abr Mai Jun
Figura 1. Evolução do número total de casos de phishing detectados no Brasil entre o segundo
trimestre de 2019 e o segundo de 2020.
Abr 1.210
Mai 2.267
Jun 1.820
Jul 2.150
Ago 2.645
Set 2.067
Out 2.751
Nov 2.908
Dez 3.123
Jan 3.299
Fev 3.845
Mar 3.766
Abr 3.545
Mai 3.591
Jun 2.436
Figura 2. Quantidade mensal de casos únicos de phishing detectados entre o segundo trimestre de
2019 e o segundo de 2020.
SaaS/Webmail
Bancos/Financeiras
27,7%
34,4%
E-commerce
Outros
Esse tipo de domínio indica o uso de táticas para despistar detecções, já que não
existe menção a marcas. Como mostra a Figura 4, houve redução percentual em
comparação com o primeiro trimestre de 2020, mas o registro ainda é um nível alto se
comparado ao ano anterior.
Domínios genéricos
Domínios genéricos Domínios similares
Domínios similares
100%
38% 42%
75% 52%
67%
50%
62% 58%
25% 48%
33%
0%
2019 4º trimestre 2019 1º trimestre 2020 2º trimestre 2020
Figura 4. Porcentagem dos ataques de phishing com uso de domínios similares a marcas ou
domínios genéricos entre 2019 e o segundo trimestre de 2020.
A atividade de malware (que afeta o setor financeiro por mirar a captura de dados
bancários e de autenticação, em sua maioria) diminuiu em volume no primeiro
trimestre e ainda mais no segundo, com exceção de junho. Foram 38 arquivos
detectados entre abril e junho. A Figura 5 mostra essa evolução mensal.
2019 2020
100
81
75
67
64
56
52
49
47
50 44
32
24
22 20
25
11
7
0
Abr Mai Jun Jul Ago Set Nov Dez Jan Fev Mar Abr Mai Jun
Figura 5. Quantidade mensal de casos únicos de malware detectados entre o segundo trimestre de
2019 e o segundo de 2020.
50
40
30
20
10
0
Jan Fev Mar Abr Mai Jun
Figura 6. Média e número máximo mensal de instituições financeiras afetadas por malware entre
janeiro e junho de 2020.
Diferente do primeiro trimestre do ano, foram agora seis tipos diferentes de arquivos
(antes três) detectados, porém ainda com a predominância do tipo instalador .msi. A
Figura 7 mostra esses aspectos em detalhes.
Dropbox
msi
Amazon
AWS
Microsoft
exe
Oracle
bat
Aptum
js
Yandex
cmd
Aruba.it lnk
Figura 7. Classificação por ISP de hospedagem e por formato dos arquivos de malware do segundo
trimestre de 2020 detectados no Brasil.
Pensando nisso, a Axur lançou ainda em março o projeto voluntário Quarentena Sem
Fraudes, que no segundo trimestre contabilizou 37.866 denúncias analisadas por
nosso time e enviadas para remoção de fraudes relacionadas a órgãos públicos e à
OMS (Organização Mundial da Saúde).
Nesse período, centenas de páginas foram retiradas do ar. De modo geral, todas
as páginas encontradas têm apresentado métodos de ataques diferentes entre
si (Figura 8), com a predominância de usos de marcas de empresas e órgãos
governamentais para engenharia social e cupons falsos.
4,1%
Cupom falso ou uso de marca
11%
Perfil falsos em rede social
Phishing
Esse golpe gera ganho para o fraudador pela visualização de publicidade paga ou pelo
furto de dados pessoais completos – que podem ser negociados na deep e na dark
web ou usados para fraudar cadastros como o do próprio Auxílio Emergencial.
Um caso que chamou a atenção foi o de uma página que falsificava o cadastro para
Auxílio Emergencial (Figura 9) e que no segundo trimestre contabilizou 4 diferentes
aparições em URLs distintas – utilizando o mesmo “kit” de hospedagem de página –
entre 2 e 3 de abril.
Figura 9. Página falsificando o cadastro para Auxílio Emergencial detectada de forma idêntica em 4
diferentes URLs.
Phishing
As páginas falsas que capturam senhas e dados de cartões de crédito costumam
fisgar consumidores pelo senso de urgência e de novidade, apostando principalmente
na falta de conhecimento sobre segurança digital. Com o novo coronavírus não é
diferente.
Figura 10. Phishing falsificando um e-commerce utilizando máscaras como iscas para a captura de
dados sensíveis. Abaixo, o título da página e sua URL também mostram chamadas para atração de
vítimas. A imagem é uma simulação da página, de forma a não expor a marca atacada.
✗ Venda de contas (logins): oferta de cadastros funcionais para saques (Figura 11).
Figura 11. Mensagens em fóruns da deep web ofertando a venda de contas funcionais do Auxílio
Emergencial.
Figura 12. Oferta em deep web de lotes de dados de CPF para cadastro no Auxílio Emergencial.
6%
Serviços de paste e
compartilhamento de textos 24,3%
Grandes vazamentos
Credencial
E-mail com senha ou hash (tipo de senha criptografada).
A Figura 17 mostra que as senhas formadas somente por letras minúsculas são a
maioria, representando 75,06% do total de credenciais detectadas. O gráfico mostra
que apenas um pequeno percentual das credenciais utiliza senhas de acordo com
padrões adequados de segurança, com o uso de caracteres especiais (4,79%) ou com
variação entre dois ou mais tipos de caracteres (10,9%).
1
As credenciais corporativas detectadas não necessariamente dão acesso aos sistemas e bases internos das
empresas, pois podem apenas ter sido vazadas a partir de cadastros feitos em outros sites com e-mails dessas
empresas. Ainda assim, é importante perceber que essas credenciais representam risco devido à prática de utilizar o
mesmo par de e-mail e senha em vários sites.
2
O número de domínios distintos de empresas é obtido a partir da remoção de todos os domínios considerados
públicos (como gmail.com, yahoo.com e outros).
3
As credenciais .br são apenas uma amostra para análise do cenário brasileiro, já que muitos usuários e empresas do
Brasil utilizam domínios .com ou outros.
20 mil
15 mil
10.788
10 mil
5.001
4.443 4.153
5 mil 4.051
3.416 3.242
2.472 2.393
df
ty
5t
0
9
3
78
56
l
ai
9
78
12
as
34
er
4r
gm
78
56
34
sx
qw
ty
56
3e
12
56
34
12
er
zw
34
2w
34
qw
12
qa
12
1q
12
Figura 16. Ranking global de exposições de senhas detectadas pela Axur no segundo trimestre
de 2020.
Apenas números
Mesmo com a diminuição das detecções, no segundo trimestre o Brasil voltou a ser o
país com maior número de cartões expostos, com 53,9% do total mundial. O ranking
por país está disposto na Figura 18.
Outros
6,1%
Espanha
1,1%
México
1,3%
Itália
1,7%
França
2,2%
Estados Unidos
33,7% Brasil
53,9%
Figura 18. Porcentagem total dos países com mais cartões de crédito e débito vazados online e
detectados pela Axur no segundo trimestre de 2020.
Juntas, as 500 BINs com mais vazamentos detectados contabilizaram 367.301 cartões.
Assim, 2,4% das BINs encontradas somam 70,49% do total de cartões de crédito ou
débito.
O ranking da Figura 19 também aponta que o Brasil possui 6 das 10 BINs com mais
vazamentos, ainda que o primeiro lugar seja ocupado por uma BIN norte-americana.
BIN 2 Brasil
BIN 3 Brasil
BIN 6 Brasil
BIN 8 Brasil
BIN 9 Brasil
BIN 10 Brasil
Figura 19. Ranking mundial das 10 BINs com mais vazamentos de cartões de crédito e débito
registrados no primeiro trimestre de 2020, identificadas por país.
1ᵒ trimestre
2ᵒ trimestre
Domínio similar
Uso indevido de marca em busca paga
Aplicativo mobile fraudulento
Outros
Esse fato inédito marca um aumento de 25,6 pontos percentuais (de 3,1 para 28,7%)
da fatia ocupada por uso indevido de marca em busca paga. Essas que acontecem em
anúncios patrocinados das páginas de busca são numerosas devido à facilidade de
registro de milhares de palavras-chave por uma única pessoa (ou fraudador).
Usos de marca em busca paga são muito comuns no mundo todo pois significam
ganho de vantagem competitiva. Usar uma palavra-chave em pesquisas com a marca
adversária gera desvio de tráfego e de receita.
Figura 21. Exemplo de busca paga com infração de marca na palavra chave da pesquisa e que
direcionava para uma página de estelionato a partir do pagamento de boletos falsos.
Assim como os níveis de phishing tem registrado os maiores níveis de uso de domínios
genéricos, mais difíceis de serem detectados por não conterem menção a marcas,
os usos indevidos de marca em buscas pagas também são técnicas que podem ser
usadas pelos fraudadores para despistar sistemas de monitoramento.
Dessa forma, nos usos indevidos em buscas pagas uma menção a marca nas páginas
do Google ou do Bing pode direcionar a outra página de captura de dados que não
contêm nenhuma menção à marca inicialmente atingida.
100%
Vazamento ou
exposição de dados
Venda ou exposição
de checkers
Venda de 75%
maquineta/POS
Venda de logins
Venda de contas
Venda de Central/
Painel de consulta 50%
Venda de cartões
Menção
Anúncio de serviços
de fraude
25%
0%
WhatsApp
Website
Total
Facebook
Amazon S3
Discord
Telegram
Pastebin
Skype
TOR
IRC
Figura 22. Volume de cada tipo de detecção em deep e dark web no segundo trimestre de 2020, por
canal monitorado.
20 mil
15 mil
10 mil
5 mil
0
Janeiro Fevereiro Março Abril Maio Junho
Figura 23. Menções aos cinco principais bancos brasileiros em deep e dark web entre janeiro e
junho de 2020.
As detecções são feitas em web superficial, deep e dark web, e com o uso de
tecnologias que permitem que os processos sejam automatizados e mais facilmente
visíveis na forma de dados:
✓ Coletores
✓ A Axur possui uma estrutura de coletores próprios com todas as possíveis fontes
de sinais (milhões de e-mails considerados spam são processados diariamente, e
cerca de 780 milhões de URLs avaliadas todos os meses).
✓ Machine learning
Com essas técnicas, a Axur consegue entregar resultados com precisão, fazendo
com que seja possível visualizar ameaças em potencial e incidentes de forma prática
e clara. Todas as detecções acontecem na plataforma Axur One, onde é também
possível realizar as ações de tratamento.
Líder em monitoramento e reação a riscos digitais na internet, com foco em criar experiências
digitais mais seguras para empresas e seus consumidores. Utilizando automações e machine
learning, monitoramos a web superficial e a deep e dark web para oferecer proteção contra riscos
como uso abusivo de marca, apropriação de identidade, phishing, aplicativos fraudulentos e vendas
não autorizadas.
Para mais informações, visite axur.com e conheça o blog Deep Space, blog.axur.com.
Denise Claudino
+55 51 3012 2987
press@axur.com
Endereços