Report - Atividade Criminosa Online No Brasil - Compressed

2022
Análise: Relatório de
Atividade Criminosa
Online em 2022
Um relatório completo sobre fraudes digitais e
vazamentos de dados durante 2022: o ano em que os
ecossistemas complexos e ataques mais sofisticados
abalaram as práticas de cibersegurança.
1
O que você vai encontrar neste relatório
PANORAMA DE CIBERSEGURANÇA
05
SUMÁRIO EXECUTIVO
09
COMO O CIBERCRIME EVOLUIU EM 2022

13
Crime digital reage às novas medidas de segurança

14
Fraudes corporativas: porque credenciais ganharam valor

18
O papel dos Credential Stealers

23
Ransomware
28
Burladores de selfies de verificação

31
Fraudes contra os consumidores: engenharia social se destaca

33
Fraude do falso emprego de meio período

35
Fraude da falsa central de atendimento

37
Stealers contra usuários finais

40
Cenário da Cibersegurança no Brasil

42
PHISHING
47
FRAUDES DIGITAIS
53
Credenciais
56
Vazamento de cartões
60
PERFIL DO CIBERCRIME BRASILEIRO

62
Como os criminosos brasileiros se comunicam?

64
TENDÊNCIAS
69
Veja também
76
Sobre a Axur 77
© Axur. Experiências digitais mais seguras. Todos os direitos reservados. 2

Highlights 2022
Identificamos 34 mil páginas de phishing em 2022,

com aumento de 20% em relação a 2021
Detectamos mais de 193 mil fraudes digitais,

incluindo perfis falsos em rede social, uso
fraudulento de marca, apps mobile falsos, uso de
marca em busca paga e nomes de domínio similares
às marcas monitoradas pela Axur
108 mil perfis falsos foram identificados em 2022,

o que representa 56% do total de incidentes de
marca detectados no ano todo
Esses 108 mil perfis falsos detectados em 2022

representam uma queda de 12% em comparação
com os 123 mil identificados em 2021
15 mil aplicativos mobile fraudulentos foram

identificados em 2022, representando 15% a mais
do que em 2021
A Axur processou 7,4 TB de arquivos de logs de

malware em 2022, de onde extraímos
435,98milhões credenciais de stealers; 

4,11 bilhões de credenciais foram detectadas em
2022, registrando um aumento de mais de 300%
em relação ao ano anterior. Delas, cerca de 96%
foram expostas na Deep & Dark Web
Os vazamentos de cartões de crédito totalizaram

mais de 3,7 milhões
Das senhas vazadas em 2022, 65,1% delas usavam

apenas letras minúsculas, 20,3% continham
caracteres especiais e apenas 2,3% com dois ou
mais tipos de caracteres especiais.

PANORAMA DE CIBERSEGURANÇA
Ecossistemas complexos e
ataques mais sofisticados
abalaram as práticas de
cibersegurança em 2022
Por: Fábio F. Ramos, CEO da Axur.
O ano de 2022 deixou claro que os desafios que

começaram na pandemia da Covid-19 estão longe de
acabar. Mais do que isso: eles têm uma ligação estreita
com muito daquilo que já estava à vista no horizonte
da cibersegurança.
O home office, que chegou como solução prática para

a continuidade do trabalho longe do escritório,
acentuou um movimento de melhorias na gestão da
identidade dentro das empresas, com controles de
acesso refinados. Mas, em 2022, a atividade dos
credential stealers deixou evidente que, com ou sem
home office, o controle de acesso e de credenciais não
pode ser negligenciado.

As paralisações de fábricas e de cargas deixaram as
cadeias de suprimento sobrecarregadas na pandemia.
A computação em nuvem, que já vinha crescendo,
tornou-se uma boa saída para quem viu o custo do
hardware aumentar diante de uma demanda urgente
por mais escala na infraestrutura de TI – tanto para
atender o home office como para migrar o
atendimento aos clientes para o ambiente online.
Essa migração, claro, trouxe seus próprios desafios.

Primeiro, na busca por profissionais qualificados: o
Cybersecurity Workforce Study da (ISC)² aponta que o
gap de vagas cresceu 26% em 2022, com uma lacuna
de 3,4 milhões de profissionais de segurança.
Segundo: na ampliação da cadeia de fornecedores em
decorrência da contratação de provedores de
serviços, plataformas e parcerias para modernização
de processos.
Apesar dessas dificuldades práticas, os incidentes e a

atividade criminosa não deram trégua. Foram muitos
ataques de ransomware com paralisações, roubos de
dados e, infelizmente, pagamentos que incentivam a
continuidade da ação criminosa. Seria arriscado
apostar que os próximos meses trarão algum respiro.

De olho nesses acontecimentos, autoridades de vários
países vêm reformulando as legislações e
apresentando novos marcos regulatórios. Nos Estados
Unidos, operadores de infraestrutura crítica logo
estarão sujeitos a uma lei que os obrigará a relatar
incidentes de segurança ao governo, dando mais
visibilidade para os problemas que essas entidades
enfrentam – o que faz com que a sociedade exija por
cada vez mais segurança.
Muitas empresas na América Latina (e organizações do

setor público) podem se beneficiar de um
entendimento mais estratégico do papel da segurança
da informação, menos ligado ao operacional e mais
aliado ao negócio.
A escassez global de profissionais de segurança vem

estimulando o desenvolvimento de novas tecnologias e
métodos de trabalho que deixam os profissionais de
segurança livres para conduzir esse pensamento.
Contudo, muitas vezes é preciso uma contrapartida
dos líderes para que essa transformação ocorra em
todas as camadas da empresa.

O cenário na América Latina mostra que, em muitos
casos, esse passo ainda precisa ser tomado pelas
empresas. A região enfrenta desafios que são comuns
no mundo todo, como ransomware, ladrões de
credenciais e phishing.
Porém, nem todos estão cientes dos riscos

representados por essas ameaças e das
oportunidades existentes na formação de parcerias em
inteligência para um combate mais integrado e
eficiente. Conforme a migração para a nuvem avançar
em 2023, esses riscos de origem global tendem a ser
agravados.
Quando esmiuçamos as ameaças e os métodos

usados por adversários, é essencial lembrar da
necessidade de inovar. A resposta exige uma visão
ampla, atenta ao que há de mais eficaz em termos de
tecnologia, parcerias e inteligência – e quem se
esquece disso corre um risco cada vez maior de ser
surpreendido pelas consequências.
Fábio Ramos 
CEO da Axur

SUMÁRIO EXECUTIVO
O retrato da Atividade
Criminosa Online no Brasil
Por: Thiago Bordini, Head de Cyber Threat Intelligence da Axur.
O ano de 2022 ficou marcado pelo roubo de

credenciais, pela sofisticação do modus operandi dos
criminosos para burlar esquemas de segurança e a
necessidade, agora maior do que nunca, de uma boa
estratégia de proteção contra riscos e ameaças digitais.
Este relatório traz um retrato do crime digital ao longo

do ano de 2022: quais foram as ameaças que
preocuparam especialistas, como elas evoluíram ao
longo do período e como elas foram combatidas.
A diversificação dos serviços e acessos externos nas

redes corporativas pesou na valorização das
credenciais no mundo do cibercrime. Criminosos sabem
que agora podem encontrar credenciais corporativas
até em computadores de uso doméstico e, por isso,
intensificaram o uso de malwares para roubo de
credenciais (credential stealers).

Na Plataforma Axur, coletamos 340% mais
credenciais expostas em 2022 que no ano anterior.
As credenciais, sejam elas de terceiros ou de

colaboradores que acessam redes corporativas
externamente, podem ser usadas para iniciar diversos
tipos de ataque, incluindo aqueles que podem se
desdobrar em um golpe de ransomware, com
paralisação do negócio e cobrança de extorsão. Este
relatório resume as evoluções do ransomware e das
diversas táticas que criminosos vêm aprimorando para
contornar as barreiras de segurança existentes, como
os burladores de selfies e as centrais de atendimento
falsas.
Em muitos aspectos, a análise da atividade criminosa

reflete as transformações que estamos vivendo. Há
uma expansão da "superfície de ataque" – um conceito
que incorpora todos os caminhos pelos quais um
atacante pode comprometer a segurança de uma
organização. Se o atacante pode chegar de onde
menos esperamos, os defensores precisam dar um
passo para trás e trabalhar com uma visão mais ampla.
Contribuem para essa expansão a adoção de práticas

como Bring Your Own Device (BYOD) e a computação
em nuvem, que deve fechar o ano com crescimento de
30%, segundo o Gartner. A contratação de mais
terceiros e parceiros, o uso de plataformas de
colaboração e a diversidade de softwares no
ecossistema das organizações também representam
uma fatia cada vez maior da superfície de ataque.

Contudo, cabe ressaltar que tendências não devem ser
vistas como "práticas inseguras" ou "riscos". Elas
ocorrem para suprir demandas práticas do negócio.
Sendo assim, é preciso compreender como essas

dinâmicas modificam a visão dos criminosos e
atacantes, que sempre procuram o caminho mais curto
– um atalho por onde a resistência é menor. Do outro
lado, cada "Blue Team" deve conhecer os mecanismos
mais eficientes para que esses movimentos inovadores
ocorram com segurança. Assegurar clientes e
parceiros em tempos incertos traz oportunidades.
De modo ainda mais amplo, temos a expansão das

próprias plataformas da web, pelas redes sociais,
aplicativos de mensagens e no metaverso. Todos eles
são espaços onde fraudes podem ocorrer, levando
prejuízos a consumidores e empresas que poderiam
formar relações comerciais legítimas no mesmo
ambiente.
A tecnologia da Axur está em constante

aprimoramento para garantir a maior visibilidade
possível sobre ameaças. Isso também aparece nos
nossos números, com uma parcela maior de detecções
ocorrendo em espaços da Deep Web onde o acesso
costuma ser restrito. A Surface Web e os novos
ambientes da Web 3.0, contudo, não ficaram de fora
da nossa atenção.

Essa visibilidade, aliada à tecnologia e à capacidade de
produzir inteligência em ciberameaças são
ferramentas importantes para que organizações
continuem evoluindo e adaptando suas estratégias de
segurança da informação. É por isso que também
temos um capítulo especial sobre o perfil do criminoso
brasileiro, mostrando um pouco da mentalidade e da
atuação dos agentes maliciosos no país a partir de
insights de analistas da Axur.
Compartilhando essas informações, queremos

contribuir com a compreensão do cenário que 2022
está deixando para todos nós – algo indispensável
para a formulação de estratégias que visem um
ambiente digital mais seguro em 2023.
Thiago Bordini 
Head de Cyber Threat Intelligence da Axur

Como o cibercrime
evoluiu em 2022
Embora ataques de ransomware continuem dominando
o noticiário, um olhar mais cuidadoso sobre a atividade
criminosa no mundo digital em 2022 mostra um
contexto bem mais diversificado. Sejam as vítimas
consumidores ou empresas, os ataques realizados
pelos agentes maliciosos se aproveitaram de dados
vazados, redes sociais, vulnerabilidades e até de
deficiências em processos de segurança para alcançar
o objetivo desejado.

Crime digital reage às novas
medidas de segurança
Os atacantes sempre estão interessados em maneiras

de burlar as medidas defensivas adotadas por
empresas e usuários. O golpe do phishing – em que o
atacante envia um e-mail falso com o intuito de
convencer a vítima a revelar suas informações ou
credenciais de acesso – é a receita mais comum para
burlar mecanismos de autenticação com usuário e
senha.
A autenticação multifator (MFA), que abrange a

verificação em duas etapas (2FA), adiciona um ou mais
códigos de autorização temporária a esse processo de
autenticação tradicional. Esses códigos podem ser
recebidos por SMS, gerados em um aplicativo
autenticador ou até autorizados em apps específicos.
O MFA dificulta o acesso à conta mesmo após a vítima

cair em um golpe de phishing tradicional, pois o código
de autorização do MFA precisa ser gerado em um
momento próximo ao acesso. Dessa forma, o MFA
obriga o atacante a adotar técnicas mais avançadas de
roubo de credencial.

Infelizmente, a adoção do MFA pode ser bastante
desafiadora, tanto em sistemas corporativos como em
serviços voltados ao usuário final. O Google, que
oferece essa opção desde 2011, revelou em 2018, que,
sete anos após a introdução desse mecanismo, menos
de 10% dos usuários dos seus serviços haviam
habilitado a verificação em duas etapas. Apesar de
haver uma recomendação para o uso da MFA, ela não
era obrigatória.
Contudo, essa postura mudou após uma série de

incidentes e a busca por medidas capazes de prevenir
ataques de ransomware e diminuir o impacto causado
pelo vazamento de credenciais. No início de 2022, 150
milhões de contas Google passaram a ter MFA de
forma automática. Outros 2 milhões de criadores do
YouTube também seriam obrigados a adotar essa
medida, assim como desenvolvedores que publicam
apps na Play Store.
Aplicativos de uso cotidiano, como redes sociais e

serviços de comunicação, também começaram a
reforçar a importância do recurso. Para o ambiente
corporativo, há agora várias opções no mercado para
quem precisa integrar uma solução de MFA.

Esse movimento é necessário e positivo, impondo
obstáculos às formas mais conhecidas de ataque. Por
outro lado, era de se esperar que as táticas dos
criminosos também acabariam se adaptando.
É por isso que é muito relevante entender o

funcionamento das estratégias que burlam (ou tentam
burlar) a proteção oferecida pela autenticação
multifator. Uma delas é a atuação dos códigos
maliciosos da categoria de credential stealers, que não
roubam mais apenas as "senhas", mas sim toda e
qualquer informação que pode ser útil para forjar uma
credencial — mesmo que ele não consiga por si só
burlar a MFA, são informações importantes para achar
um caminho com essa finalidade.
Em outra frente, existem as medidas defensivas

adotadas para burlar soluções tipicamente associadas
ao digital. A popularização dos serviços financeiros
digitais oferecidos por fintechs e disponibilizados em
aplicativos, por exemplo, veio acompanhada de uma
expectativa de que toda a experiência seja remota e
digital — incluindo a criação da conta e a verificação
de transferências.

Quando todas as transferências ocorrem no mundo
digital, sem que as pessoas precisem sair de casa,
modalidades de crime como a "saidinha de banco" —
golpe em que a vítima é abordada logo após sacar
valores em instituições financeiras — e outros golpes
que ocorrem dentro e fora da agência também
precisam ser transportados para o meio digital.
É desse contexto que surgem os chamados

"burladores" – mecanismos criados para subverter as
tentativas de autenticação remota com selfies. Sendo
a confirmação de movimentações financeiras através
de selfies um pilar básico dos serviços financeiros
modernos, é evidente que os criminosos buscariam
uma forma de burlar esse mecanismo – por mais
exitosa ou falha que seja a tentativa.
Evidentemente, há também fraudes que atingem

diretamente os usuários. Além das fraudes envolvendo
o sistema financeiro, cartões e e-commerce, o
contexto econômico da pandemia abriu espaço para
novas modalidades de golpes que se aproveitam de
promessas de emprego em home office e golpes no
Pix.

Fraudes
corporativas: por
que credenciais
ganharam valor

O vazamento de credenciais foi um dos maiores riscos
para empresas de todos os ramos e tamanhos em
2022. Como os criminosos se aproveitam de senhas
expostas para realizar diversos ataques, inclusive com
ransomware, a compreensão dos riscos ligados a
credenciais ajuda a explicar como outros ataques têm
acontecido.
Nesse sentido, cabe examinar algumas mudanças na

maneira como trabalhamos e na relação das empresas
com suas necessidades de TI.
Na prática, a infraestrutura de TI corporativa em 2022

continuou sendo impactada por novos modelos de
trabalho (categorizados como "híbridos", "home office"
ou "teletrabalho"), mantendo a tendência que começou
com a pandemia do coronavírus em 2020. Porém, o
setor de tecnologia foi tumultuado também por
instabilidades no mercado, inclusive por uma
dificuldade maior para a aquisição de hardware e de
recursos humanos.
Muitas empresas acabaram preferindo migrar seus

sistemas para provedores de nuvem. Essa medida
dispensa a aquisição de hardware e ainda abre
oportunidades para o aproveitamento da tecnologia de
escala (ou "elástica") que é característica da nuvem.

Segundo previsões do Gartner, o setor de
infraestrutura como serviço (IaaS), atendido por
provedores de nuvem, deve alcançar um crescimento
anual de 30,6% em 2022. A tendência sugere que os
gastos no setor de cloud como um todo superem a
computação tradicional em 2025.
Sendo uma tarefa envolvendo a própria infraestrutura

de trabalho, essa migração exige dois elementos
mão de obra qualificada, seja treinando os
colaboradores existentes ou contratando pessoas
já treinadas para administrar uma infraestrutura em
nuvem
remodelar processos e mecanismos para a gestão
de recursos – no caso da nuvem, a infraestrutura
sai das dependências físicas da própria empresa
para se abrigar em um provedor público. Portanto,
qualquer segurança ligada à barreira física precisa
ser repensada.
Ambas as necessidades são desafiadoras. Um

mapeamento do mercado de trabalho de
cibersegurança realizado em 2022 pela (ISC)² sugere
que o número de profissionais precisa ser 65% maior
para atender às demandas do mercado. O gap é de 3,4
milhões de profissionais.

Para suprir as necessidades de mão de obra, muitas
empresas formam ecossistemas tecnológicos com
seus parceiros e fornecedores, o que vem
acompanhado de desafios no compartilhamento de
dados e na gestão das credenciais usadas por esses
terceiros.
Por exemplo, uma empresa pode dar um acesso

remoto a seus sistemas corporativos para um
prestador de serviços ou consultor externo – mesmo
que essa capacidade tenha sido instalada apenas para
o trabalho remoto de colaboradores durante a
pandemia.
A melhoria nas soluções de autenticação, por sua vez,

é um desafio único para cada empresa. O conceito de
zero trust sugere que as empresas minimizem
privilégios e adotem sistemas robustos de
autenticação que autorizam e limitam tarefas
específicas, mas cada negócio precisa mapear por si
mesmo essa estratégia, o que normalmente exige
extensa colaboração entre os departamentos. Em
resumo: é uma lição que precisa ser feita, mas não é
possível simplesmente aplicar uma receita.

Com esse cenário, temos os elementos-chave para
entender por que o roubo de credenciais corporativas
é uma dor de cabeça em 2022
O trabalho remoto acelerou a adoção de
ferramentas colaborativas online, que aumentam a
quantidade de informações trocadas por canais
cuja única limitação de acesso é a credencial do
usuári
O uso de dispositivos de TI fora do ambiente
corporativo, inclusive de propriedade do próprio
colaborador, distorce a distinção entre "uso
pessoal" e "uso corporativo", o que abre novas
oportunidades para ataqu
A migração para a nuvem colocou mais dados e
sistemas em locais acessíveis de qualquer lugar do
mundo, sem a limitação física antes imposta pelas
dependências da empresa, desde que com a
credencial de acesso corret
O ecossistema formado com parceiros e
fornecedores e pelas iniciativas da própria empresa
para atender às suas necessidades de TI podem
gerar credenciais de alto privilégio
Se quase todas as ferramentas de trabalho e dados da

empresa estão online ou na nuvem, e a única barreira
que impede acesso a esses dados é uma credencial,
fica evidente a importância das credenciais e o risco
decorrente do vazamento ou exposição delas.

O papel dos Credential Stealers
A Axur monitora dados e credenciais expostos na

Surface e na Dark & Deep Web. Embora uma parte
desses vazamentos ocorra por descuidos no
tratamento da informação ou outros problemas
técnicos, os criminosos atuam de forma incisiva para
conseguir esses dados.
Além de métodos mais tradicionais (como o phishing),

uma das principais armas usadas pelos criminosos são
os códigos maliciosos (malware). Quando um código
malicioso é criado principalmente com o intuito de
roubar credenciais, ele é categorizado como um
credential stealer ("ladrão de credenciais").
É possível destacar duas diferenças que os stealers

possuem em relação aos malwares mais antigos
criados para finalidades semelhantes:

imediata e permite até que o stealer se desinstale
do sistema após realizar a coleta, dificultando a
identificação do ataque em uma perícia ou um
possível alarme do antivírus que chegaria com uma
atualização futura.
2. Os stealers são integrados ao mercado do

crime. O malware pode ser "comprado" por um
criminoso que deseja usá-lo em seus ataques, mas
os próprios dados roubados são vendidos em um
formato de "logs". Também é possível fazer uma
"assinatura" para receber novos logs ou
atualização do malware, e os responsáveis pela
operação de um stealer realizam uma espécie de
"prestação de serviço" para os demais criminosos.
Outra vantagem dos stealers é que, ao roubar
credenciais e dados armazenados em aplicativos, o
stealer acaba roubando informações relativas a
"sessões autenticadas e confiáveis". Dependendo da
forma que essa informação é utilizada, essas chaves
autenticadas podem burlar mecanismos de
autenticação multifator, principalmente aqueles que
não são exigidos para cada acesso individual.
Em 2022, a Axur analizou um total de 7,4 TB de

arquivos, de onde extraímos 435,98 milhões de
credenciais de stealers.

Embora o monitoramento da Axur possa categorizar
diversas credenciais roubadas como corporativas, há
muitos casos em que colaboradores utilizam suas
contas pessoais para acessar informações
empresariais, inclusive de forma direta (quando uma
conta pessoal é autorizada em um serviço de
armazenamento em nuvem).
Também há casos em que contas pessoais são usadas

para fins corporativos de forma indevida pelos
colaboradores, seja por alguma necessidade técnica (o
colaborador não pode acessar seu e-mail corporativo
no celular pessoal e decide receber mensagens em um
e-mail pessoal) ou até porque a própria empresa não
dispõe de uma estrutura unificada.
Por essa razão, embora seja possível ter uma ideia

geral sobre quantas credenciais corporativas são
roubadas pelos stealers, nem sempre faz sentido isolar
o problema a essas credenciais.
Embora exista mais de uma dezena de stealers em

atividade (como RedLine, Raccoon e Black Guard),
todos eles funcionam de forma muito parecida: logo
que são executados, eles varrem o armazenamento do
sistema e de programas instalados em busca de
qualquer informação que possa ser útil para extrair
uma credencial.

Senhas armazenadas no navegador, cookies de sessão
(quando o usuário marca "lembrar de mim" para evitar
novos logins em sites), carteiras de criptomoedas,
sessões locais de programas instalados (inclusive de
lojas de aplicativos e games) – esses são alguns
exemplos do que pode ser roubado por esses
malwares.
A conscientização dos usuários na criação de senhas

fortes também ainda é motivo de discussão, já que as
detecções da plataforma Axur em 2022 indicam que,
das senhas vazadas em 2022, 65,1% delas usavam
apenas letras minúsculas, 20,3% continham caracteres
especiais e apenas 2,3% com dois ou mais tipos de
caracteres especiais.
Complexidade de senhas de credenciais vazadas

detectadas em 2022.

É claro que os dados coletados por cada stealer e o
método de coleta podem variar. Alguns coletam dados
de serviços VPN, por exemplo; outros, como o
BatStealer e o AutoIt Stealer, abusam de ferramentas
já instaladas ou confiáveis para evitar a instalação de
programas que seriam bloqueados por antivírus.
Para chegar à rede corporativa, os stealers funcionam

de forma muito semelhante ao phishing. Porém, como
o usuário só precisa ser convencido a abrir um link ou
executar um programa, a isca utilizada pode ser mais
variada.
Um caso curioso em 2022 foi um de uma empresa de

games que teve seu sistema de suporte técnico
invadido e, posteriormente, utilizado para enviar uma
mensagem contendo o RedLine para clientes que
haviam contatado o canal de atendimento.
Contudo, ainda é mais comum que os stealers sejam

enviados diretamente por e-mail. Os programas
maliciosos podem ocasionalmente ser instalados por
documentos que exploram vulnerabilidades em
softwares de escritório, embora este truque seja
possível apenas quando a aplicação não está em sua
versão mais recente.

Ransomware
O ransomware foi sem dúvida uma das maiores

preocupações das empresas em 2022, principalmente
por conta da atuação de grupos como Conti e LockBit.
Os grupos de ransomware estão entre os mais

monitorados por autoridades policiais e especialistas.
Eles estão integrados ao ecossistema do cibercrime e
podem utilizar outros dados roubados ou ferramentas
produzidas por outros grupos (incluindo credential
stealers).
Os ataques de ransomware em 2022 consolidaram a

estratégia da dupla extorsão, em que os criminosos
ameaçam a vítima com a divulgação de dados
sensíveis extraídos durante o ataque. A extorsão é
"dupla" porque o ransomware também impede que a
empresa acesse seus próprios dados – ou seja, o
pagamento do resgate é tanto para recuperar os
dados como para impedir o vazamento de informações
corporativas.

De fato, não é incomum que as organizações se
surpreendam com a revelação de que o invasor já
estava na rede corporativa há várias semanas (ou
meses) antes do sequestro dos arquivos. Durante esse
período, diversas informações podem ser coletadas
pelos criminosos e usadas para ameaçar a empresa
com a divulgação.
No caso do Conti, sabe-se que o roubo das

informações pode ser realizado com o uso de
aplicativos de uso comum para a interação com
serviços de armazenamento em nuvem. Dessa forma, a
transmissão dos dados sensíveis acaba se misturando
ao tráfego de dados normal da empresa.
O invasor também utiliza esse período anterior ao

sequestro de dados para realizar a "movimentação
lateral": a cada novo sistema alcançado, o invasor
utiliza ferramentas para roubar credenciais e encontrar
novas vulnerabilidades, ampliando o acesso dentro da
rede e, por consequência, o impacto do ransomware
na data da sua ativação.

Nos últimos trimestres de 2022, a atividade de
ransomware parecia estar em queda. A principal causa
é a dissolução do grupo Conti, que sofreu um revés
com a divulgação de conversas internas no início do
ano. Estima-se que o Conti possa ter recebido um total
de US$ 2,7 bilhões em resgates pagos desde 2017, o
que explica a relevância desta quadrilha no quadro
geral de atividade do ransomware.
Por outro lado, os grupos de ransomware continuam

ganhando sofisticação e aperfeiçoando as chantagens
utilizadas para extorsão. Os responsáveis pelo ataque
podem incluir exigências ("não contatar a polícia", "não
procurar a imprensa") ou até entrar em contato com
clientes e parceiros para avisar sobre o ataque
ocorrido, atacando a imagem da organização.

Burladores de selfies de verificação
Conforme as empresas digitalizam seu negócio e seus

sistemas, a falsificação de identidade por meio de
serviços que burlam as selfies de identificação
também se consolidou em 2022.
A verificação é utilizada por vários aplicativos, mas é

mais conhecida por seu papel na autorização de
contas bancárias e transações financeiras. Em geral, o
consumidor é instruído a tirar uma selfie com o próprio
aplicativo para que seja possível confirmar a
autenticidade da operação.
O formato da selfie varia de serviço para serviço, mas

o conceito é o mesmo: atestar a presença e ciência do
consumidor a respeito daquela operação.
O "burlador" é normalmente um aplicativo clonado e

adulterado usado pelo próprio criminoso para
concretizar uma fraude a partir de dados já roubados.
A adulteração modifica o comportamento da câmera
para que o golpista possa selecionar uma foto obtida
ou até forjada com antecedência e, dessa forma, burlar
o procedimento de verificação.
O uso de uma imagem falsa que não foi de fato

capturada pela câmera permite que a verificação seja
bem-sucedida mesmo quando o processo é realizado
sem qualquer interação do cliente legítimo.

Segundo um levantamento realizado pela Axur em
2022, os criminosos brasileiros vendem aplicativos
prontos para a realização desse tipo de fraude. Os
preços variam de R$ 20 a R$ 200, dependendo do
aplicativo em questão, do que está incluso e do tipo de
serviço.
Apesar do preço aparentemente baixo, a atividade

pode ser rentável para os criminosos, pois cada
atualização dos aplicativos costuma exigir uma
atualização do burlador, renovando a fonte da receita.
Além disso, há muitos casos em que o aplicativo

clonado pode ser gerado de forma semiautomatizada
com o uso de ferramentas específicas.
Além de burlar as selfies, a adulteração dos aplicativos

também abre espaço para a falsificação de outras
informações, como a localização GPS. Esses e outros
recursos podem ser valiosos para a realização de
fraudes.
A existência e o funcionamento dos burladores é um

exemplo claro de como os criminosos adaptam suas
fraudes de acordo com os mecanismos e processos
desenvolvidos para facilitar a digitalização dos
negócios.

Fraudes contra
consumidores:
engenharia social
se destaca

Diversos avanços na segurança de dispositivos e
sistemas vêm dificultando a realização de ataques
contra usuários finais. Os navegadores, que já foram a
porta de entrada de muitos ataques, hoje contam com
um conjunto de proteções para blindar os usuários.
Ataques que exploram sentimentos humanos (como a

curiosidade e o medo) sempre existiram. Os truques
usados para essa finalidade são chamados de
"engenharia social", pois normalmente envolvem o
abuso e a falsificação de uma relação social
preexistente (a da vítima com seu banco, com amigos,
com lojas e assim por diante).
Conforme a barreira imposta pelos dispositivos fica

mais alta, as fraudes tendem a depender mais da
engenharia social.

Fraude do falso emprego
de meio período
Um dos maiores exemplos disso no ano de 2022 foi o

golpe da "oferta de emprego de meio período". Nesse
golpe, o criminoso se passa por um representante de
um grande varejista ou marca de e-commerce para
oferecer uma vaga de emprego de meio período,
realizando um contato em massa com diversas vítimas
em potencial, principalmente por meio de aplicativos
como WhatsApp e Telegram.
O crime se concretiza quando a vítima faz um

pagamento para o golpista, normalmente solicitado
para cobrir uma "taxa de participação" ou "taxa de
entrada" no esquema – que é oferecido como um
trabalho legítimo.
Do ponto de vista técnico, o criminoso só precisa de

um portal falso para que a vítima possa se cadastrar e
começar o seu emprego de meio período. Ou seja: o
portal não é tão necessário para a realização da fraude
em si – é apenas um elemento para deixar a história
mais autêntica, deixando a vítima mais propensa a
realizar a transferência que será solicitada no passo
seguinte.

Esse tipo de fraude, que convence a vítima a realizar
um pagamento antes de receber um suposto benefício,
não é diferente de muitas fraudes bastante
conhecidas, como o golpe do bilhete premiado e o
golpe nigeriano — fraude em que o criminoso cria um
personagem virtual falso para conquistar a vítima,
ganhar sua confiança e pedir dinheiro. São todas
pertencentes à categoria de "advance fee scam"
(fraudes de cobrança antecipada).
Embora o prejuízo direto desta fraude recaia sobre os

consumidores, as empresas cujas marcas são
mencionadas pelos golpistas também podem ter
custos indiretos. Uma vítima pode acabar procurando
a empresa para reclamar do golpe ou até acabar
associando aquela marca a uma atividade ilegal. Ainda
que a companhia não tenha responsabilidade legal
pela atividade criminosa, o prejuízo para sua reputação
pode fazer com que ela perca aquele cliente

Fraude da falsa central
de atendimento
Qualquer pessoa tende a ficar atenta a determinados

elementos que possam servir como âncoras de
confiança em uma relação social. Um exemplo simples
são os uniformes usados pelas equipes de uma
empresa.
Na comunicação telefônica, estamos acostumados

com o uso de números especiais, como os 0800, que
normalmente servem como indício de confiabilidade.
Uma vez na chamada, podemos nos atentar ao
formato do menu eletrônico, a música de fundo e
outras características que cada empresa adota em seu
canal de atendimento.
Infelizmente, os criminosos brasileiros têm conseguido

subverter essas expectativas de segurança por meio
da aquisição indevida de números 0800 e da clonagem
do comportamento das unidades de resposta audível
(URAs) utilizadas por empresas.
O criminoso então precisa convencer a vítima a ligar

para a "central" falsa – ele pode fazer isso enviando
mensagens SMS relatando um suposto débito
pendente ou transferência, por exemplo.

Caso a vítima não perceba a natureza fraudulenta da
mensagem e do número 0800 informado, ela entrará
em contato com a central falsa e terá uma experiência
muito semelhante à da central original, inclusive com a
mesma música enquanto aguarda ser atendida.
Existe também uma versão desta fraude em que o

criminoso apenas burla a identificação da chamada.
Em vez de aguardar a ligação, o golpista é que liga
para a vítima. Como a origem da chamada estará
incorreta e apontará para um número legítimo da
empresa pela qual o criminoso está tentando se
passar, é possível que a farsa não seja percebida.
Em ambos os casos, o rumo da conversa telefônica

com o golpista vai depender do tipo golpe que está
sendo aplicado. Alguns exemplos
Falso motoboy: a vítima é informada que receberá a
visita de um motoboy para recolher o cartão de
crédito ou débito do banco
Falso suporte técnico: a vítima é informada que o
celular ou o dispositivo pode estar contaminado
com malwares e será orientada a instalar um
"antivírus" que, na verdade, é um aplicativo que
permite o controle remoto do dispositivo.

A concretização da fraude dependerá da reação da
vítima às farsas contadas pelo golpista. Mesmo assim,
esta fraude tem um potencial maior para danificar a
relação comercial da vítima com a empresa ou
instituição pela qual os criminosos estão se passando.
No pior dos casos, o consumidor pode vir a pensar que

os criminosos possuem algum acesso privilegiado aos
dados da empresa, mesmo quando o criminoso
chegou à vítima apenas por acaso ou utilizando outras
fontes de informação. Além disso, caso os golpistas
consigam dados sensíveis (inclusive senhas ou acesso
remoto ao aparelho com o aplicativo instalado e
autenticado), a fraude pode ser revertida contra a
empresa por meio de compras ou movimentações
indevidas realizadas em nome da vítima, o que
posteriormente pode motivar uma reclamação do
consumidor.

Stealers contra usuários finais
Os credential stealers também são utilizados contra

usuários, principalmente de redes sociais, games e
serviços do gênero.
Já há alguns anos, a prática tem atingido grandes

criadores de conteúdo e influencers, permitindo que
suas contas sejam usadas (mesmo que
temporariamente) para a propagação de golpes. Em
marketplaces do cibercrime, o acesso a canais de
YouTube e outros perfis de redes sociais pode ser
adquiridos por criminosos capazes de rentabilizar
aquele acesso.
Os stealers possuem vantagem nesse cenário porque

podem ser capazes de roubar sessões autenticadas ou
chaves de API, que são criadas para autorizar a
interconexão entre diferentes serviços. Embora esses
acessos sejam indiretos – ou seja, o criminoso não tem
acesso à senha da conta em si –, eles muitas vezes
contornam a segurança da autenticação multifatorial.

Como já mencionado, pode não haver distinção entre
um ataque a um usuário final e uma empresa quando o
mesmo computador é utilizado tanto para fins
pessoais como profissionais. Neste caso, um stealer
que chegar ao computador por meio de uma
publicação ilegítima em uma rede social pode acabar
roubando também uma credencial corporativa.
Mesmo assim, é importante lembrar que os criminosos

tentam aproveitar toda e qualquer credencial roubada.
Uma credencial de rede social pode ser usada para
propagar fraudes, enquanto uma credencial de um
game pode ser usada para roubar o ouro virtual do
personagem do jogo e vendê-lo a terceiros.
O roubo de credenciais é um problema para todos os

serviços digitais. Embora a modalidade da fraude
aplicada mude de serviço para serviço, nenhum deles
pode ignorar o risco que o roubo de credenciais
representa para sua atividade.

Cenário da
cibersegurança
no Brasil

Os consumidores e as empresas brasileiras sofrem
com tentativas frequentes e variadas de golpes. Além
dos golpes já mencionados, como as centrais de
atendimento falsas e o uso de burladores para fraudar
verificações de identidade, os criminosos brasileiros
frequentemente se envolvem em atividades como
Phishing para disseminação de malware ou coleta
de dados
Roubo de dados bancários através de malware (uso
de Bankers)
Perfis falsos em redes sociais
Contratação fraudulenta de anúncios pagos em
mecanismos de pesquisa, muitas vezes para aplicar
golpes contra consumidores se passando por
instituições financeiras
Contratação fraudulenta de posts patrocinados em
redes sociais para divulgar sites falsos com
promoções inexistentes, confundindo
consumidores a respeito das ofertas e gerando
reclamações aos atendimentos das lojas cujas
marcas são usadas nesses golpes
Golpes com uso de engenharia social, como o
sequestro falso, a falsificação/clonagem de perfis
em aplicativos de comunicação (como o
WhatsApp);

Envio de boletos falsos, com ou sem o uso de
informações vazadas de lojas e empresas
Clonagem de boletos legítimos, modificando o
beneficiário de um boleto cujo valor é realmente
devido pelo consumidor ou empresa, um cenário
muito semelhante ao golpe de Business Email
Compromise (BEC) aplicado em outros países.
Ataques de caráter global como ransomware e

credential stealers também afetam o Brasil, mesmo
sem o envolvimento significativo de criminosos
brasileiros nessas operações. Instituições financeiras e
uma emissora de TV foram atingidas por ransomware
em 2022, o que mostrou que até grandes empresas
têm desafios na proteção de suas redes corporativas.
No período da Black Friday, um dos mais visados pelos

fraudadores digitais, notou-se um aumento expressivo
em golpes como phishing envolvendo anúncios em
buscas pagas. Neste tipo de ataque, a página falsa só
é carregada quando a vítima acessa diretamente a
partir do anúncio. A URL conta com um
redirecionamento para um site de buscas para reduzir
os mecanismos antifraude. Tendência essa que se
mantém em alta mesmo após o período movimentado
do varejo.

De todo modo, empresas precisam permanecer
atentas às tentativas de golpe contra seus clientes ou
prestadores de serviço.
No caso dos consumidores, é oportuno que a empresa

busque resguardar o consumidor contra experiências
ruins e evitar que haja uma associação entre suas
marcas e os golpes que sofreram; no caso dos
prestadores e/ou fornecedores, para não serem
vítimas de golpes que explorem a relação comercial de
alguma forma (com e-mails falsos, por exemplo).
Embora muitas empresas brasileiras tenham um nível

de maturidade razoável em termos de segurança de
redes ou na administração da infraestrutura de
tecnologia da informação e até já conheçam a
aplicabilidade de inovações tecnológicas nessa esfera,
a ampliação do escopo de segurança para áreas do
negócio e operação ainda é um desafio para muitas
organizações.
A extensão da segurança para toda a "pegada digital"

do negócio – incluindo interações online e as
infraestruturas terceirizadas, como em redes sociais e
parceiros – pode vir a ser um diferencial nas relações
comerciais, na aquisição de clientes e no uso de
inteligência na resposta a ataques.

A exposição de dados tem centralidade no tema de
segurança. A confidencialidade das informações é um
dos pilares dessa área, claro, mas hoje há também
demandas do mercado e de autoridades que obrigam
organizações de todos os tamanhos a zelar pelos
dados que armazenam – inclusive porque essas
informações muitas vezes pertencem a stakeholders e
clientes.
Já a atividade criminosa, que cada vez mais direciona

esforços em ataques contra empresas, é capaz de
rentabilizar vários tipos de dados: enquanto
credenciais são uma possível porta de entrada para
uma rede corporativa, cartões de crédito podem ser
usados em benefício próprio ou mesmo para financiar
outras atividades ilícitas.
Somando-se os incidentes causados por descuidos em

configuração com a atividade criminosa, o resultado é
o nosso cenário atual.
A Axur atua diretamente no monitoramento de todas

as camadas da Web – Surface, Deep & Dark – para
encontrar informações vazadas que estão em posse
de quem não deveria ter acesso a elas.

Phishing

Total de detecções
34 mil foi o número de páginas de phishing que a Axur

identificou ao longo de 2022. No quarto trimestre do
ano foram identificadas 9.266 páginas falsas — ainda
assim, menos que no terceiro trimestre, no qual foram
identificadas 9.411.
Evolução do número de casos de phishing detectados

no Brasil em 2022, por trimestre.

O segundo semestre de 2022 foi mais intenso do que o
primeiro, quando o assunto é detecção de páginas de
phishing: tivemos 15.360 casos de julho a dezembro, o
que é 3% menor do que os 14.813 casos detectados
de janeiro a junho.
Evolução do número total de casos de phishing

detectados no Brasil em 2022, por mês.

Outro aspecto a ser analisado que nos dá pistas sobre
o comportamento cibercriminosos é a utilização das
TLD ou Top-Level Domains que são o que chamamos
de sufixo de domínio, ou seja, aquilo que está depois
do nome do domínio. Como na figura abaixo:
URL
Uniform Resource Locator
TLD
subdomain Top Level
Domain
https:// www . axur . com
protocol
domain (name)
(Hypertext Transfer)
Em muitos casos, o TLD serve para identificar o

propósito do site em questão. Sabemos que os sites
.com tem um propósito comercial e que os sites
.com.br provavelmente são de negócios situados no
Brasil.

Ao diversificar o uso das TLDs, os criminosos estão
tornando a detecção do domínio mais difícil e,
consequentemente, tentando escapar do takedown.
Apesar disso, as TLDs “.com” e “.com.br” ainda
representam o maior percentual de detecções,
passando a falsa sensação de que um domínio seja
oficial ou confiável.
Top TLDs mais utilizadas pelos cibercriminosos nas

páginas de phishing em 2022.

Ao analisarmos o gráfico, notamos que 94,9% dos
domínios identificados pela Axur estão com um
domínio “.com” ou “.com.br”. Outros domínios variados
como “.bz” também são exemplos de TLDs que podem
confundir as vítimas de phishing.
Os criminosos usam esses domínios para criar sites

clonados com diferentes terminações, todos com
páginas de phishing prontas para roubar as
informações pessoais das vítimas que não se atentam
aos termos similares ou erros na grafia de palavras.
É como se você procurasse por empresa.com e

encontrasse um anúncio ou um resultado de pesquisa
com ennpresa.com. Como é uma letra muito parecida
no domínio e as páginas falsas estão cada vez mais
idênticas às originais, é preciso ficar muito atento para
não clicar pensando que estaria prestes a acessar o
site original da empresa.

Fraudes digitais

Total de detecções
Em 2022, nós detectamos 193 mil fraudes digitais,

incluindo perfis falsos em rede social, uso fraudulento
de marca, apps mobile falsos, uso de marca em busca
paga e nomes de domínio similares às marcas
monitoradas pela Axur. Isso é 8% menor do que os
registros de 212.463 incidentes no ano anterior.
Oscilação na quantidade de incidentes de marca entre

2021 e 2022, separados por trimestre.

Na figura abaixo, temos os percentuais das técnicas
mais utilizadas pelo cibercrime, das quais se destacam
os perfis falsos em redes sociais, o uso indevido ou
fraudulento de marca e os aplicativos mobile
fraudulentos.
Os perfis falsos detectados representam um total de

56% de todos os incidentes de marca, com 108 mil
detecções, representando uma queda de 12% em
comparação com os 123 mil identificados em 2021.
15 mil aplicativos mobile fraudulentos foram

identificados em 2022, representando 15% a mais do
que em 2021.
 
Porcentagem total de incidentes de uso de marca em

2022.

Credenciais
Em 2022, a Plataforma Axur coletou 4,11 bilhões de

credenciais. Destas, cerca de 96% foram coletadas
pelo monitoramento da Deep & Dark Web, que inclui a
análise dos chamados "logs" – "relatórios" gerados por
malwares especializados no roubo de credenciais
(credential stealers).
Número em milhões de credenciais expostas.

O número de credenciais coletadas em 2022 supera
em mais de 300% o número de credenciais coletadas
em 2021, de 935 milhões. Esse crescimento pode ser
explicado, em parte, pela evolução da tecnologia da
plataforma da Axur ao longo de 2022. Porém, houve
também um aumento muito significativo nas ações
criminosas que buscam capturar essas credenciais por
meio de malwares.
Muitas credenciais no passado eram vazadas de

bancos de dados obtidos de empresas. O que temos
agora é um cenário em que as credenciais são
roubadas diretamente dos endpoints (qualquer
dispositivo que seja um “ponto final” em uma rede,
como um notebook), por meio de malware, para então
escalar esse acesso dentro da rede corporativa de
uma maneira que viabilize a realização de uma fraude
de ransomware ou o roubo de outros dados.
Ainda assim, cerca de 4% das credenciais foram

expostas em "Grandes Vazamentos", representando
um volume total de 137 milhões.
Origem dos vazamentos de credenciais em 2022.

A Axur estima que 560 milhões de credenciais
coletadas em 2022 estavam vinculadas a sistemas
corporativos. Esse número, porém, pode ser maior.
Não é incomum que profissionais independentes ou

consultores acessem plataformas corporativas a partir
de endereços de e-mail de provedores que
normalmente não teriam vínculo com organizações
específicas, só para citar um exemplo. Essas
credenciais, que a princípio não seriam "corporativas",
na verdade dão sim acesso a sistemas corporativos.
Por essa razão, a plataforma Axur permite que

organizações acessem dados sobre as credenciais e
façam a própria avaliação do risco ligado a elas. O
número fornecido neste relatório é apenas para fins
estatísticos.

Vazamento de cartões
O número de cartões de crédito e débito vazados teve

um aumento significativo em 2022. A Plataforma Axur
detectou dados de mais de 3,7 milhões de cartões ao
longo do ano, em relação aos 2,1 milhões em 2021.
Quase todos estes cartões (94,2%) ainda estavam

dentro de seu período de validade na data em que
foram coletados pela Plataforma da Axur.
Cartões de crédito válidos e vencidos vazados em

2022.

Vazamento de cartões de crédito e débito ao longo do
ano de 2022.
Assim como no caso das credenciais, a maioria dos

cartões foi detectada pelo monitoramento da Deep
Web (96,1%). Os demais foram coletados em "Pastes" –
arquivos de texto publicados em alguns espaços da
web (especialmente da Surface Web).

Perfil do
cibercrime
brasileiro
© Axur. Experiências digitais mais seguras. Todos os direitos reservados.

O crime cibernético muitas vezes ignora qualquer
fronteira. Uma comunicação pode chegar a qualquer
usuário da internet ou empresa, não importa onde ela
tenha sido redigida, e criminosos se aproveitam disso
para aplicar fraudes em locais distantes.
Enquanto vulnerabilidades em softwares raramente

apresentam qualquer diferença de um idioma para
outro, barreiras linguísticas podem ser superadas com
o uso de serviços de tradução de máquina ou por
cúmplices em outros países. Essa "parceria"
internacional também é possível quando a atividade
exige tarefas como receptação ou lavagem de
dinheiro.
Contudo, existe uma diferença regional considerável

no modus operandi, nas preferências e até na
capacidade técnica dos criminosos.
Quando se fala que os cibercriminosos brasileiros

vendem dados ou serviços a outros golpistas, é
necessário entender que a transação precisa ser feita
por algum meio e que a própria negociação entre as
partes exige algum canal de contato.

Os espaços mais organizados do cibercrime costumam
ter um padrão para esse tipo de atividade, com
pagamentos realizados por criptomoeda e ofertas
específicas que até dispensam contato direto entre os
criminosos. Esses espaços ficam abrigados na Deep
Web, exigindo uma conexão privativa de quem deseja
ter acesso.
No Brasil, há muitas exceções a essa regra. Na

verdade, o acompanhamento que a Axur realiza do
cenário brasileiro indica que muitas interações entre os
criminosos acontecem em redes sociais comuns, na
Surface Web.
Como os criminosos brasileiros se

comunicam?

Por conta da existência desses canais de interação
criminosa na Surface Web, é possível encontrar
comunidades no Facebook e servidores no Discord,
por exemplo, que são dedicados a esse tipo de
atividade. São nesses locais que os golpistas podem
divulgar seus serviços a outros interessados.
Os espaços também servem para ostentar os ganhos

ilícitos dos criminosos, o que funciona como uma
"promessa de sucesso" com a finalidade de atrair
outros interessados para um tipo de atividade
específica. Os ganhos financeiros são, em geral, o
principal motivador dos criminosos brasileiros.
Essas publicações de autopromoção podem mostrar

cédulas de dinheiro ou itens considerados de luxo,
como bebidas, videogames e outros símbolos de
sucesso.
Na prática, o uso desses espaços expostos para toda a

web pode ser um indício de que os criminosos não se
preocupam em esconder suas atividades.
O nosso time de CTI promoveu um estudo recente com

dados que sugerem que os próprios criminosos,
individualmente, também não se importam com o uso
de mecanismos de proteção de identidade (chamados
de "OPSEC", ou "segurança operacional").
Quer receber os estudos do time de CTI? Assine o

informe de segurança (GTI) gratuitamente.

No mundo do crime, a "segurança operacional" está
bastante ligada ao uso de ferramentas e serviços que
escondem o provedor de acesso verdadeiro de alguém
que está realizando uma atividade ilícita. De 227 IPs
potencialmente vinculados a criminosos, apenas 15
sugeriam o uso de uma "blindagem" da identidade.
A mesma situação se repete nas modalidades de

pagamento. Quando negociam entre si, os criminosos
brasileiros costumam aceitar pagamentos por Pix ou
transações bancárias que, em tese, podem ser
rastreadas com mais facilidade.
Em um caso analisado pela Axur, o endereço

cadastrado na conta do Pix estava a menos de 90 km
de distância do endereço associado ao IP do
criminoso. Uma possível conclusão é que os dois
apontamentos corroboram a veracidade um do outro,
pois não haveria motivo para um criminoso falsificar
tanto o endereço físico como o IP em locais próximos.
É claro que isso não significa que os criminosos não

utilizem contas de laranjas e outras práticas ilícitas
para ocultar a origem ou o destino dos ganhos das
fraudes. A distinção que precisa ser feita está na
própria forma de conduzir a atividade ilícita, usando
meios de pagamentos tipicamente brasileiros.

Outra característica do cibercrime brasileiro é o foco
em engenharia social. Embora o reforço na segurança
dos dispositivos tenha alçado a engenharia social a
uma preferência mundial do cibercrime, os brasileiros
sempre demonstraram uma grande afinidade por
golpes desta categoria.
É provavelmente por isso que a digital dos

cibercriminosos brasileiros raramente é vista em
ataques como ransomware, mas aparece de forma
clara em golpes como o da URA falsa.
Como o cenário do cibercrime é mundial, empresas e

cidadãos precisam se proteger de todo tipo de ataque,
sejam eles realizados por brasileiros ou não. Por outro
lado, conhecer o adversário que está mais próximo é
importante para traçar uma estratégia de defesa ou
até para prever o tipo de fraude que poderá ser
realizada.
Ainda que o criminoso mais distante tenha algumas

vantagens – por estar fora do alcance das autoridades
locais –, algumas fraudes simplesmente não podem ser
realizadas sem colaboradores locais.

O Brasil precisa avançar bastante na investigação
dessas atividades. De todo modo, as marcas desse
perfil podem ser vistas nas fraudes e desafios diários
que enfrentamos. Para empresas e instituições, o
cenário abre espaço para que o Cyber Threat
Intelligence contribua com o desenho de uma
estratégia robusta de prevenção, monitoramento,
detecção e resposta.

Tendências

Nos negócios, a visão de futuro é importante para sair
na frente da concorrência ou oferecer um diferencial.
Na segurança, o mais sensato é manter o pé no chão:
olhar para o cenário e pinçar as tendências mais
aparentes. Em termos de planejamento, a aposta na
capacidade de reação e resposta tende a ter mais
efetividade do que uma defesa rígida incapaz de se
adaptar ao imprevisto.
Levando isso em conta – e sem esquecer que 2023 vai

com certeza repetir muitas das mesmas fraudes e
crimes que vimos em 2022 –, é possível citar cinco
tendências
Ransomwar
Ataques contra autenticação multifato
Cadeias de suprimento
Golpes em NF
Novos golpes em redes sociais
Ainda que o ransomware deva se manter como uma

ameaça significativa durante o ano de 2023, não se
pode descartar a possibilidade de que as gangues
criminosas adotem novas práticas. O que hoje
chamamos de "extorsão dupla" – a fraude que combina
sequestro de dados e ameaça de exposição de
informações sensíveis – pode ser incrementada com
novos tipos de golpe, com ataques de negação de
serviço, por exemplo.

O nome de "extorsão tripla" já apareceu em alguns
casos, mas não é preciso imaginar um ataque
específico. Os incrementos da receita vão depender do
gosto dos criminosos e da eficácia dos estratagemas
que porventura tomem forma. Assim como a extorsão
dupla foi uma resposta do crime ao amadurecimento
das políticas de backup das organizações, o reforço
das políticas de privacidade e dados que visam
diminuir o impacto de vazamentos servem de incentivo
para que os criminosos busquem outros caminhos.
Nesse sentido, devemos olhar também para as formas

de entrada às redes corporativas. Cabe mencionar os
ataques ao sistema de autenticação multifator, em
especial o "MFA Fatigue" – que explora a fragilidade do
operador diante de repetidos mecanismos de
autorização – e a cadeia de suprimentos ("supply
chain").
Sobre este último ponto, a terceirização é uma

tendência para 2023, tanto por oportunidades de
negócio como por necessidades das áreas de
tecnologia e segurança (seja para expandir esforços
em novos projetos, por necessidade de compliance ou
por conta de desafios já existentes, como o gap de
profissionais).

Como esses terceiros quase sempre precisam de
algum acesso à rede corporativa, o aumento de
volume – principalmente sem uma boa gestão de risco
– significa que existirão mais portas de entrada para
essa rede. Um ataque ao fornecedor pode
"contaminar" a empresa contratante, alastrando os
efeitos de ataques e problemas operacionais, inclusive
os ligados ao já mencionado ransomware.
Fora do ambiente corporativo, as fraudes em Non-

Fungible Tokens (NFTs) podem ganhar novos
contornos em 2023. Embora elas já estejam ocorrendo,
principalmente com a venda de NFTs piratas (aquelas
que não foram autorizadas pelas marcas ou artistas), o
lançamento de mais NFTs legítimas pode reacender o
interesse por esse tipo de produto.
Empresas e artistas já anunciaram sua entrada nesse

mercado para 2023. Além disso, a promessa da Web
3.0 também vem ganhando força com o apoio de
empresas influentes como a Meta, que atualmente
desenvolve o software e o hardware do "Metaverso".
Inclusive, o próprio Instagram da Meta possui uma
integração com NFTs desde meados de 2022.

Esse movimento torna possível o surgimento de um
novo mercado consumidor formado por quem até
então desconhecia esses produtos. Esses
consumidores nem sempre terão conhecimento dos
golpes já aplicados e estarão vulneráveis. O volume
maior de produtos legítimos pode ser um agravante,
uma vez que não causará tanta estranheza o uso de
uma marca específica como isca para uma NFT pirata.
Vale ressaltar que NFTs piratas não são uma

possibilidade apenas para as marcas que decidirem
entrar neste mercado. Mesmo quem optar por ficar de
fora pode ter que lidar com reclamações e dúvidas de
consumidores referentes a supostas "NFTs" que foram
publicadas sem autorização. A resposta de quem de
fato entrar no mercado, claro, precisará ser mais
detalhada, ensinando o consumidor a diferenciar o
falso do verdadeiro.
Neste contexto, temos também a tendência ligada a

perfis falsos em redes sociais. Embora essas
plataformas sejam um espelho da própria dinâmica
social e estejam em constante mudança, há alguns
elementos especialmente significativos no cenário
atual, como a mudança na administração do Twitter, a
viralização espontânea de novas redes sociais como o
Koo e as novas possibilidades de interações sociais
vinculadas à web 3.0.

Paralelamente, o YouTube padronizou os
identificadores de canais e usuários em um movimento
para coibir as fraudes com perfis falsos que deixavam
comentários em massa em canais de alguns criadores
de conteúdo. Como talvez nem todos os usuários
entendam bem esta mudança logo de início, é possível
que criminosos tentem se aproveitar da oportunidade
e enganar vítimas de novas formas.
Perfis falsos em redes sociais são um acessório

importante em diversos tipos de golpes. A vítima direta
é o usuário (que acessa lojas fraudulentas, anúncios
patrocinados falsos, canais de atendimento ilegítimos,
entre outros), mas as marcas e influenciadores
também sofrem no momento seguinte quando são
cobrados por esses clientes.
As possibilidades para o crime nessa seara também

são potencializadas pelo conteúdo deep fake ou que
foi gerado por inteligência artificial. Ainda que esse
trabalho exija algum esforço, o avanço dessa
tecnologia permite criar imagens, áudios ou até vídeos
realistas para clonar perfis, atacar reputações ou
tentar se passar por executivos em novas formas de
outras fraudes.

Sendo assim, é muito provável que a tecnologia, a
identidade e a confiabilidade das redes (sejam as
redes sociais ou da cadeia de fornecedores) serão
colocadas à prova no próximo ano. Por outro lado, ao
passo em que as novas tecnologias oferecem variados
riscos e ameaças, é possível utilizar a tecnologia como
uma aliada das equipes de segurança, expandindo o
monitoramento, a investigação e a resposta a
incidentes como estes em 2023.

Como funciona o monitoramento de
riscos e ameaças digitais da Axur
Todas as informações aqui apresentadas foram obtidas a partir

do monitoramento diário de milhões de URLs e artefatos
maliciosos realizado pela Axur.
Os coletores de Inteligência Artificial (IA) da Axur escaneiam toda

a Surface Web e Deep & Dark Web em um processo de
monitoramento automatizado e triagem inteligente, diminuindo
drasticamente o tempo médio de contenção (MTTC) das equipes
de cibersegurança.
Coletores próprios na Surface e Deep & Dark Web 

A Axur possui uma estrutura de coletores próprios com todas
as possíveis fontes de sinais (milhões de e-mails considerados
spam são processados diariamente, e cerca de 780 milhões de
URLs avaliadas todos os meses).
Detecção aprimorada por machine learning 

É usado pela Axur para diminuir exponencialmente o tempo de
detecção. O procedimento é feito a partir da análise dos
componentes de URLs, de elementos no conteúdo das
páginas e do uso de visão computacional, permitindo a
identificação de padrões que são ensinados e testados –
possibilitando os mais elevados níveis de acertos.
Clique para receber nossos informes de segurança com

recomendações pelo nosso time de Cyber Threat Intelligence.
Conheça o novo monitoramento de NFT.

Sobre a Axur
A Axur possibilita a escala e automatização do tratamento de

ameaças cibernéticas para apoiar os times de segurança da
informação e proporcionar experiências digitais mais seguras. A
nossa plataforma de Threat Intelligence tem o tempo de reação
mais rápido do mercado, solicitando takedowns automáticos,
24x7.
Isso é possível porque a plataforma Axur atua em quatro

camadas: além da detecção, as tecnologias de inspeção,
automação e remoção diminuem muito o tempo médio de
contenção (MTTC) dos times de segurança. Além disso, nossos
especialistas em Inteligência Cibernética expandem a
investigação tanto na Surface como na Deep & Dark Web,
tornando a Axur a empresa líder em Cyber Threat Intelligence na
América Latina.
Detecte e remova ameaças com a plataforma All-in-one nº 1 do

mercado
AGENDE UMA DEMO
CONVERSE COM UM ESPECIALISTA
Contato para imprensa:  

Letícia Peres 
press@axur.com 
+55 (11) 9 3209.7588

Report - Atividade Criminosa Online No Brasil - Compressed

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Report - Atividade Criminosa Online No Brasil - Compressed

Enviado por

Direitos autorais:

Formatos disponíveis

2022

COMO O CIBERCRIME EVOLUIU EM 2022

Crime digital reage às novas medidas de segurança

Fraudes corporativas: porque credenciais ganharam valor

O papel dos Credential Stealers

Burladores de selfies de verificação

Fraudes contra os consumidores: engenharia social se destaca

Fraude do falso emprego de meio período

Fraude da falsa central de atendimento

Stealers contra usuários finais

Cenário da Cibersegurança no Brasil

PERFIL DO CIBERCRIME BRASILEIRO

Como os criminosos brasileiros se comunicam?

© Axur. Experiências digitais mais seguras. Todos os direitos reservados. 2

Identificamos 34 mil páginas de phishing em 2022,

Detectamos mais de 193 mil fraudes digitais,

108 mil perfis falsos foram identificados em 2022,

Esses 108 mil perfis falsos detectados em 2022

15 mil aplicativos mobile fraudulentos foram

A Axur processou 7,4 TB de arquivos de logs de

© Axur. Experiências digitais mais seguras. Todos os direitos reservados. 3

Os vazamentos de cartões de crédito totalizaram

Das senhas vazadas em 2022, 65,1% delas usavam

© Axur. Experiências digitais mais seguras. Todos os direitos reservados. 4

O ano de 2022 deixou claro que os desafios que

O home office, que chegou como solução prática para

© Axur. Experiências digitais mais seguras. Todos os direitos reservados. 5

Essa migração, claro, trouxe seus próprios desafios.

Apesar dessas dificuldades práticas, os incidentes e a

© Axur. Experiências digitais mais seguras. Todos os direitos reservados. 6

Muitas empresas na América Latina (e organizações do

A escassez global de profissionais de segurança vem

© Axur. Experiências digitais mais seguras. Todos os direitos reservados. 7

Porém, nem todos estão cientes dos riscos

Quando esmiuçamos as ameaças e os métodos

© Axur. Experiências digitais mais seguras. Todos os direitos reservados. 8

O ano de 2022 ficou marcado pelo roubo de

Este relatório traz um retrato do crime digital ao longo

A diversificação dos serviços e acessos externos nas

© Axur. Experiências digitais mais seguras. Todos os direitos reservados. 9

As credenciais, sejam elas de terceiros ou de

Em muitos aspectos, a análise da atividade criminosa

Contribuem para essa expansão a adoção de práticas

© Axur. Experiências digitais mais seguras. Todos os direitos reservados. 10

Sendo assim, é preciso compreender como essas

De modo ainda mais amplo, temos a expansão das

A tecnologia da Axur está em constante

© Axur. Experiências digitais mais seguras. Todos os direitos reservados. 11

Compartilhando essas informações, queremos

© Axur. Experiências digitais mais seguras. Todos os direitos reservados. 12

© Axur. Experiências digitais mais seguras. Todos os direitos reservados. 13

Os atacantes sempre estão interessados em maneiras

A autenticação multifator (MFA), que abrange a

O MFA dificulta o acesso à conta mesmo após a vítima

© Axur. Experiências digitais mais seguras. Todos os direitos reservados. 14

Contudo, essa postura mudou após uma série de

Aplicativos de uso cotidiano, como redes sociais e

© Axur. Experiências digitais mais seguras. Todos os direitos reservados. 15

É por isso que é muito relevante entender o

Em outra frente, existem as medidas defensivas

© Axur. Experiências digitais mais seguras. Todos os direitos reservados. 16

É desse contexto que surgem os chamados

Evidentemente, há também fraudes que atingem