Escolar Documentos
Profissional Documentos
Cultura Documentos
Atividade criminosa
on-line no Brasil
3º trimestre / 2019
Phishing e malware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Detecção e procedimentos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Phishing e malware
3.000
2.000
1.000
0
Jan Fev Mar Abr Mai Jun Jul Ago Set
Figura 1. Quantidade mensal de casos únicos de phishing detectados nos três primeiros
trimestres de 2019 no Brasil, por setor atingido.
4
© 2019 Axur. Digital Risk Protection - Todos os direitos reservados.
3.000
2.000
1.000
0
Jan Fev Mar Abr Mai Jun Jul Ago Set
Figura 2. Quantidade mensal de casos únicos de phishing e malware detectados entre janeiro e
setembro de 2019 no Brasil.
5
© 2019 Axur. Digital Risk Protection - Todos os direitos reservados.
Phishing no e-commerce
Apesar de não ser o setor mais atingido no último mês (setembro),
o e-commerce se destaca pelo constante crescimento no número
de fraudes. Além do registro de pico absoluto de detecções do ano
visto no mês de agosto (1.024 casos), no terceiro trimestre esse setor
contabilizou 3.025 ataques de phishing – o que representa aumento
de 24% em comparação com os 2.440 casos do segundo trimestre
(Fig. 1).
Atendendo a quatro dos cinco maiores e-commerces brasileiros, a
Axur observa também padrões de fraudes afetando seus clientes de
varejo on-line que são semelhantes aos vistos no setor inteiro (Fig. 3).
O que se visualiza é um pico na semana entre 26 de maio e 01 de
junho (com fraudes relacionadas ao dia dos namorados, como
apontado no relatório do segundo trimestre) com uma estagnação
entre junho e agosto.
Não foram visualizados picos de atividade de phishing associadas ao
dia dos pais, ainda que tenham sido identificados diversos nomes de
domínios fraudulentos relacionados a essa data comemorativa (Fig. 4).
6
© 2019 Axur. Digital Risk Protection - Todos os direitos reservados.
Dia dos Pais
http://www.semanaespecialprediadospaiscomdescontos.tk/
7
© 2019 Axur. Digital Risk Protection - Todos os direitos reservados.
Infrações em uso de marca
1º trimestre 2º trimestre
Figura 5. Porcentagem total de incidentes de uso de marca nos três primeiros trimestres de
2019, separados por tipo.
8
© 2019 Axur. Digital Risk Protection - Todos os direitos reservados.
A infração de marca com maior crescimento no trimestre foi “Uso
indevido em busca paga”. Refere-se a anúncios que aparecem junto
aos resultados nos mecanismos de busca e apresentam links para
páginas falsas sempre que alguém busca por uma marca relevante.
Esse tipo de incidente registrou crescimento de 114% em comparação
com o período anterior, indo de 7,7% a 16,5% do total.
O segundo maior crescimento percentual foi em “Uso indevido ou
fraudulento de marca”, de 15,7% do total para 16,2%. Na esteira
do crescimento acentuado dos ataques de phishing, é notório o
aparecimento de práticas de estelionato digital e páginas com
apropriação de identidade e/ou CNPJ de empresas e suas marcas,
normalmente voltadas a golpes financeiros como a oferta de
empréstimo falso.
9
© 2019 Axur. Digital Risk Protection - Todos os direitos reservados.
Cerca de 100 mil repositórios de códigos-fonte abertos na web
contêm ao menos uma chave secreta, como tokens da Amazon Web
Service ou chaves de APIs privadas. Nas mão erradas, essas chaves
podem permitir acesso a quantidades imensas de dados. Ao longo do
tempo percebemos chaves que definitivamente não deveriam estar
publicadas nesses repositórios, e continuam expostas mesmo depois
de meses.
Fabio Ramos
CEO da Axur
9 bilhões
de dados em 2019
10
© 2019 Axur. Digital Risk Protection - Todos os direitos reservados.
Vazamento de credenciais e
cartões de crédito
Credenciais
Entre 1º de julho e 30 de setembro de 2019, foram detectadas e
inseridas 167.171.700 credenciais, que são e-mails com senha ou hash
(senha criptografada), na base de dados da Axur.
Os registros são globais e atingiram os 9 bilhões de dados em
setembro, quando relançamos o projeto de verificação de senhas
vazadas MinhaSenha.com.
Do total detectado no terceiro trimestre, foram:
11
© 2019 Axur. Digital Risk Protection - Todos os direitos reservados.
Figura 6. Senhas brasileiras armazenadas em texto simples com maior
número de aparições em vazamentos de dados no terceiro trimestre de 2019.
12
© 2019 Axur. Digital Risk Protection - Todos os direitos reservados.
Cartões de crédito
Para analisar os vazamentos de cartões de crédito do terceiro
trimestre, foram selecionadas as primeiras 500 BINs (Bank
Identification Numbers, que são os seis primeiros dígitos do cartão)
com mais exposições registradas globalmente. Esse ranking somou
354.786 cartões vazados e corresponde a 65,6% do total registrado
no trimestre (540.656 cartões).
O Brasil é o país com mais cartões de créditos vazados na web.
Das 500 BINs mais vazadas, 208 são brasileiras e representam 41,6%
do total. Na sequência do ranking aparecem os Estados Unidos, com
124 BINs – um número 40% menor que o brasileiro.
Nas 208 BINs brasileiras estão distribuídos 177.199 cartões, que
correspondem a 49,9% do total mundial apontado. Das 10 primeiras
BINs com mais vazamentos identificados, 5 são brasileiras.
No gráfico da Figura 7 estão apontados os números e países das cinco
BINs mais vazadas mundialmente no terceiro trimestre. A legenda
está apresentada de forma a preservar a identidade dos bancos
correspondentes.
Figura 7. Número de cartões de crédito expostos das cinco BINs com mais vazamentos
registrados mundialmente, identificadas por país.
13
© 2019 Axur. Digital Risk Protection - Todos os direitos reservados.
Detecção e procedimentos
Coletores
A Axur possui uma estrutura de coletores próprios com todas as
possíveis fontes de sinais (milhões de e-mails considerados spam
são processados diariamente, e cerca de 780 milhões de URLs
avaliadas todos os meses).
Machine learning
É usado pela Axur para diminuir exponencialmente os tempos
de detecção. O procedimento é feito a partir da análise dos
componentes de URLs, de elementos no conteúdo das páginas
e do uso de visão computacional, objetivando a identificação de
padrões que são ensinados e testados – possibilitando os mais
elevados níveis de acertos.
14
© 2019 Axur. Digital Risk Protection - Todos os direitos reservados.
axur.com Sobre a Axur
Denise Claudino
press@axur.com
+55 11 3376 5000
Endereços
US Singapore
São Paulo