R E L ATÓ R I O

Atividade criminosa
on-line no Brasil
3º trimestre / 2019

São Paulo, 31 de outubro de 2019

Sumário executivo

Este relatório traz informações sobre a atividade criminosa digital

monitorada globalmente pela Axur no terceiro trimestre de 2019, mas
com um recorte no Brasil. As detecções apresentadas se referem a marcas
brasileiras ou a serviços estrangeiros disponíveis no Brasil em português.
A divisão é feita em cinco seções, com dados sobre:

Atividades de phishing e malware

Observamos um recorde nas detecções de phishing para o período
analisado: foram contabilizadas 6.862 páginas falsas. Em seis meses, o
número trimestral de ataques de phishing no Brasil aumentou 113%.

Infrações associadas a usos de marca

Mesmo com expressivo crescimento de uso de marca em busca
paga, o que realmente chamou a atenção no período foram os
vazamentos de dados em web superficial, comuns em repositórios
como GitHub, GitLab e Bitbucket.

Vazamento de credenciais e cartões de crédito

No ranking de senhas brasileiras analisadas, são recorrentes as
sequências de números. Em cartões de crédito, o Brasil fica em
primeiro lugar mundial por ter o maior número de dados expostos.

Atividades criminosas em deep e dark web

Identificamos um aumento expressivo na busca e na comercialização
de dados vazados em grupos da deep e dark web.

Como coletamos e analisamos mais de 8 bilhões de sinais em web

superficial, deep e dark web
Apresentação das tecnologias e instrumentos utilizados pela Axur para
obter precisão nas coletas de fraudes e golpes.

A seção de atividades criminosas em deep e dark web é de acesso

exclusivo a clientes da Axur. Por listarem canais, tipos de infração e setores
que são alvos dos cibercriminosos, esses dados são sensíveis e centrais em
estratégias de segurança digital – dessa forma, optou-se por preservar a
confidencialidade dos clientes.
Conteúdo

Phishing e malware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

Infrações em uso de marca . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

Vazamento de credenciais e cartões de crédito . . . . . . . . . . . . . . . . 11

Detecção e procedimentos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Phishing e malware

De 1º de julho a 30 de setembro de 2019 foram identificados 6.862

casos únicos de phishing e 175 de malware.

Volume de ataques de phishing detectados por mês:

2.150 2.645 2.067

Julho Agosto Setembro

3.000

2.000

1.000

0
Jan Fev Mar Abr Mai Jun Jul Ago Set

SaaS/Webmail Bancos/Financeiras E-commerce Outros Programa de milhas/Linhas aéreas

Figura 1. Quantidade mensal de casos únicos de phishing detectados nos três primeiros
trimestres de 2019 no Brasil, por setor atingido.

4
© 2019 Axur. Digital Risk Protection - Todos os direitos reservados.
3.000

2.000

1.000

0
Jan Fev Mar Abr Mai Jun Jul Ago Set

Figura 2. Quantidade mensal de casos únicos de phishing e malware detectados entre janeiro e
setembro de 2019 no Brasil.

Nas detecções de phishing do trimestre, os níveis de ataques a empre-

sas SaaS (Software as a Service) e Webmail remetem ao que foi visto
no primeiro trimestre: números próximos ou que ultrapassam os regis-
tros de e-commerce.
Entretanto, o terceiro trimestre de 2019 contabiliza mais que o dobro
das fraudes detectadas no primeiro trimestre: em seis meses, o
número trimestral de ataques de phishing no Brasil aumentou 113%.
Para melhor visualizar a mudança, cabe observar as detecções de
agosto: com 2.645 ataques de phishing, agosto sozinho corresponde
a 82% das detecções de todo o primeiro trimestre.
A tendência de crescimento ao longo dos meses no país acompanha o
movimento mundial, como visto no relatório da APWG (Anti Phishing
Working Group).

5
© 2019 Axur. Digital Risk Protection - Todos os direitos reservados.
 Phishing no e-commerce
Apesar de não ser o setor mais atingido no último mês (setembro),
o e-commerce se destaca pelo constante crescimento no número
de fraudes. Além do registro de pico absoluto de detecções do ano
visto no mês de agosto (1.024 casos), no terceiro trimestre esse setor
contabilizou 3.025 ataques de phishing – o que representa aumento
de 24% em comparação com os 2.440 casos do segundo trimestre
(Fig. 1).
Atendendo a quatro dos cinco maiores e-commerces brasileiros, a
Axur observa também padrões de fraudes afetando seus clientes de
varejo on-line que são semelhantes aos vistos no setor inteiro (Fig. 3).
O que se visualiza é um pico na semana entre 26 de maio e 01 de
junho (com fraudes relacionadas ao dia dos namorados, como
apontado no relatório do segundo trimestre) com uma estagnação
entre junho e agosto.
Não foram visualizados picos de atividade de phishing associadas ao
dia dos pais, ainda que tenham sido identificados diversos nomes de
domínios fraudulentos relacionados a essa data comemorativa (Fig. 4).

1º trimestre 2º trimestre 3º trimestre

Figura 3. Quantidade semanal de incidentes de phishing afetando os clientes de e-commerce da

Axur entre janeiro e setembro de 2019.

6
© 2019 Axur. Digital Risk Protection - Todos os direitos reservados.
 Dia dos Pais
http://www.semanaespecialprediadospaiscomdescontos.tk/

404 Not Found

https://mesdospaismega.com/promocao.php

PAGE NOT FOUND

https://www91.mes-dos-pais-de-oportunidades.com/f08cbec8ece3b22...

Promoção dia dos pais, aproveite!

https://www21.agosto-mes-dospais.com/prodd2dbf301fd3d6ad498077...

Figura 4. Detecções de fraudes com domínios genéricos que utilizam

chamadas para o dia dos pais.

Em setembro verificamos uma diminuição nos níveis de phishing

para o setor de e-commerce. Esse fenômeno já foi observado nos
anos anteriores e ocorre devido à aproximação da Black Friday,
em novembro – quando os criminosos guardam suas listas de
destinatários para mensagens falsas associadas a marcas da Black
Friday, o que aumenta suas chances de capturar vítimas.
Os ataques de malware visam principalmente instituições financeiras
brasileiras e seus clientes. Foram em média 16 alvos diferentes em um
único artefato. Já o número máximo de instituições usadas como isca
em um mesmo malware foi 27. Esses números representam um leve
aumento em relação ao segundo trimestre do ano, quando foram 15
e 20, respectivamente – o que significa que o surgimento de novas
empresas no setor financeiro leva os criminosos a aumentarem sua
base de potenciais vítimas.

7
© 2019 Axur. Digital Risk Protection - Todos os direitos reservados.
Infrações em uso de marca

1º trimestre 2º trimestre

Aplicativo mobile fraudulento

Vazamento de dados1
Domínio similar 3º trimestre

Uso indevido ou fraudulento de marca

Perfil falso em redes sociais
Venda não autorizada
Uso indevido em busca paga
Outros
1
Em web superficial.

Figura 5. Porcentagem total de incidentes de uso de marca nos três primeiros trimestres de
2019, separados por tipo.

8
© 2019 Axur. Digital Risk Protection - Todos os direitos reservados.
A infração de marca com maior crescimento no trimestre foi “Uso
indevido em busca paga”. Refere-se a anúncios que aparecem junto
aos resultados nos mecanismos de busca e apresentam links para
páginas falsas sempre que alguém busca por uma marca relevante.
Esse tipo de incidente registrou crescimento de 114% em comparação
com o período anterior, indo de 7,7% a 16,5% do total.
O segundo maior crescimento percentual foi em “Uso indevido ou
fraudulento de marca”, de 15,7% do total para 16,2%. Na esteira
do crescimento acentuado dos ataques de phishing, é notório o
aparecimento de práticas de estelionato digital e páginas com
apropriação de identidade e/ou CNPJ de empresas e suas marcas,
normalmente voltadas a golpes financeiros como a oferta de
empréstimo falso.

Vazamentos de dados em repositórios:

GitHub, GitLab e Bitbucket
Os repositórios de códigos-fonte, como GitHub, GitLab e Bitbucket,
são destaques quando associados ao vazamento de dados no terceiro
trimestre. Os principais incidentes nesses locais são relacionados à
exposição de propriedade intelectual (partes relevantes de código-
-fonte de empresas). Também foram identificadas dezenas de milhares
de trechos de códigos continham chaves de autenticação (SSH keys),
senhas, API keys e tokens de segurança.

9
© 2019 Axur. Digital Risk Protection - Todos os direitos reservados.
 Cerca de 100 mil repositórios de códigos-fonte abertos na web
contêm ao menos uma chave secreta, como tokens da Amazon Web
Service ou chaves de APIs privadas. Nas mão erradas, essas chaves
podem permitir acesso a quantidades imensas de dados. Ao longo do
tempo percebemos chaves que definitivamente não deveriam estar
publicadas nesses repositórios, e continuam expostas mesmo depois
de meses.

Fabio Ramos
CEO da Axur

A base de vazamentos de credenciais

(e-mails com senha ou hash) da Axur atingiu

9 bilhões
de dados em 2019

10
© 2019 Axur. Digital Risk Protection - Todos os direitos reservados.
Vazamento de credenciais e
cartões de crédito

Credenciais
Entre 1º de julho e 30 de setembro de 2019, foram detectadas e
inseridas 167.171.700 credenciais, que são e-mails com senha ou hash
(senha criptografada), na base de dados da Axur.
Os registros são globais e atingiram os 9 bilhões de dados em
setembro, quando relançamos o projeto de verificação de senhas
vazadas MinhaSenha.com.
Do total detectado no terceiro trimestre, foram:

759.797 47.190 3.829

credenciais de domínios .br credenciais
domínios .br distintos .gov.br

Dos 30 domínios brasileiros com mais vazamentos de credenciais:

23 são de provedores de e-mail, três são de universidades, um é
de um órgão governamental, um é de uma empresa estatal, um é
de uma ONG (Organização Não-Governamental) e um é de uma
empresa privada.

11
© 2019 Axur. Digital Risk Protection - Todos os direitos reservados.
Figura 6. Senhas brasileiras armazenadas em texto simples com maior
número de aparições em vazamentos de dados no terceiro trimestre de 2019.

Das senhas brasileiras, 492.606 foram expostas em texto simples, não

criptografadas. Destas, 111.191 são compostas somente por números –
o que corresponde a 22,5% do total.
As combinações de senhas de domínios .br mais vazadas estão
elencadas na Figura 6. No ranking de 10 senhas, destacam-se aquelas
compostas por sequências de números.

12
© 2019 Axur. Digital Risk Protection - Todos os direitos reservados.
 Cartões de crédito
Para analisar os vazamentos de cartões de crédito do terceiro
trimestre, foram selecionadas as primeiras 500 BINs (Bank
Identification Numbers, que são os seis primeiros dígitos do cartão)
com mais exposições registradas globalmente. Esse ranking somou
354.786 cartões vazados e corresponde a 65,6% do total registrado
no trimestre (540.656 cartões).
O Brasil é o país com mais cartões de créditos vazados na web.
Das 500 BINs mais vazadas, 208 são brasileiras e representam 41,6%
do total. Na sequência do ranking aparecem os Estados Unidos, com
124 BINs – um número 40% menor que o brasileiro.
Nas 208 BINs brasileiras estão distribuídos 177.199 cartões, que
correspondem a 49,9% do total mundial apontado. Das 10 primeiras
BINs com mais vazamentos identificados, 5 são brasileiras.
No gráfico da Figura 7 estão apontados os números e países das cinco
BINs mais vazadas mundialmente no terceiro trimestre. A legenda
está apresentada de forma a preservar a identidade dos bancos
correspondentes.

Figura 7. Número de cartões de crédito expostos das cinco BINs com mais vazamentos
registrados mundialmente, identificadas por país.

13
© 2019 Axur. Digital Risk Protection - Todos os direitos reservados.
Detecção e procedimentos

Todas as informações aqui apresentadas foram obtidas a partir do

monitoramento diário de milhões de URLs e artefatos maliciosos
realizado pela Axur.
As detecções são feitas em web superficial, deep e dark web, e
com o uso de tecnologias que permitem que os processos sejam
automatizados e mais facilmente visíveis na forma de dados:

Coletores
A Axur possui uma estrutura de coletores próprios com todas as
possíveis fontes de sinais (milhões de e-mails considerados spam
são processados diariamente, e cerca de 780 milhões de URLs
avaliadas todos os meses).

Machine learning
É usado pela Axur para diminuir exponencialmente os tempos
de detecção. O procedimento é feito a partir da análise dos
componentes de URLs, de elementos no conteúdo das páginas
e do uso de visão computacional, objetivando a identificação de
padrões que são ensinados e testados – possibilitando os mais
elevados níveis de acertos.

Essas técnicas permitem à Axur entregar resultados com precisão,

fazendo com que seja possível visualizar ameaças em potencial e
incidentes de forma prática e clara. Todas as detecções acontecem
no Axur One, plataforma onde é também possível realizar as ações
de tratamento.

Para saber sobre as detecções de sua marca e/ou conhecer melhor

os produtos de monitoramento e proteção contra riscos digitais da
Axur, entre em contato conosco.

14
© 2019 Axur. Digital Risk Protection - Todos os direitos reservados.
axur.com Sobre a Axur

Líder em monitoramento e reação a riscos digitais na América Latina, com foco

OneAxur
em preservar a valiosa relação de confiança entre as empresas e seus públicos.
axurone Utilizando automações e machine learning, fazemos a proteção contra riscos como:
uso abusivo de marca, apropriação de identidade, phishing, aplicativos fraudulentos
@axurone e vendas não autorizadas. Isso significa proteger o consumidor ao longo da sua
jornada de compra, assim como em toda a experiência com os pontos de contato
digitais das marcas. Para mais informações, visite axur.com e conheça o blog Deep
Space, blog.axur.com.

Contato para a imprensa

Denise Claudino
press@axur.com
+55 11 3376 5000

Endereços

US Singapore

535 Mission St. 109 North Bridge Road

San Francisco, CA 94105 Cityhall District, 179097

São Paulo

Alameda Santos, 2326

9º andar, Conj 95

© 2019 Axur. Digital Risk Protection - Todos os direitos reservados.