Resumo da notícia
▲
▲
- Cibercriminosos estão usando um novo método chamado “phishing validado” para aumentar o sucesso no roubo de senhas.
- Você pode ser alvo dessa técnica, que valida seu e-mail antes de tentar roubar suas credenciais.
- O risco é maior para usuários corporativos, pois os criminosos focam em contas ativas e valiosas.
- A técnica dificulta a detecção por ferramentas de segurança tradicionais, exigindo defesas mais avançadas.
<p>Cibercriminosos estão usando um novo método chamado "phishing validado" para aumentar o sucesso no roubo de senhas. A técnica, revelada pela Cofense, valida se o e-mail da vítima existe <em>antes</em> de tentar a captura das credenciais, focando em alvos de alto valor e tornando o ataque mais eficiente.</p>
<p>Especialistas em segurança cibernética da Cofense identificaram uma nova tática de phishing que está dando mais trabalho. Batizada de "phishing validado com precisão", ela funciona como uma versão mais esperta do <i>spear-phishing</i>, aquele ataque direcionado a pessoas específicas, geralmente em cargos importantes, ou a organizações inteiras.</p>
<p>Nesses golpes, as mensagens e páginas falsas são bem mais caprichadas para enganar o alvo. A novidade aqui é um passo extra de verificação.</p>
<h2>Como Funciona a Validação Prévia no Phishing</h2>
<p>Funciona assim: a pessoa é levada a clicar e acessar uma página fraudulenta, muito parecida com uma legítima. Lá, pedem para ela inserir o endereço de e-mail. É nesse momento que a mágica (do mal) acontece.</p>
<p>Os sistemas por trás do golpe, usando APIs ou JavaScript, <strong>verificam na hora se aquele e-mail informado realmente existe</strong> e se faz parte da lista de alvos que os criminosos montaram previamente. Pense nisso como uma checagem antes do ataque principal.</p>
<p>Se o e-mail for confirmado como válido e pertencente à lista, o golpe continua. A vítima é então apresentada a um formulário falso, geralmente imitando uma tela de login conhecida, para que insira suas <strong>credenciais de acesso</strong> (usuário e senha), que serão roubadas.</p>
<h3>E se o E-mail Não Estiver na Lista?</h3>
<p>Agora, se o endereço de e-mail digitado não existir no banco de dados dos atacantes ou não for um dos alvos selecionados, o sistema age de forma diferente. Ele pode mostrar uma mensagem de erro genérica ou simplesmente redirecionar o usuário para um site qualquer e inofensivo, como a Wikipedia.</p>
<p>Essa tática de despiste é inteligente, pois dificulta a vida das ferramentas de segurança. Como o conteúdo malicioso (o formulário de roubo de senha) não é exibido para e-mails "inválidos", a análise automática pode não identificar a página como perigosa.</p>
<h2>O Risco Aumentado do <b>Phishing de credenciais</b> Validado</h2>
<p>Esse método de <strong>phishing validado</strong> representa um perigo maior especialmente para usuários corporativos, que são os alvos preferidos dessas campanhas mais elaboradas. A validação prévia garante que os criminosos concentrem esforços em contas que realmente existem e estão ativas.</p>
<p>Além disso, a técnica dribla mais facilmente os mecanismos de verificação tradicionais. Filtros de spam e listas de bloqueio muitas vezes não conseguem sinalizar o e-mail como suspeito, já que a "isca" inicial pode parecer inofensiva ou nem mesmo levar à página maliciosa se o e-mail não for validado. Isso é um desafio crescente para a <a href='https://tekimobile.com/noticia/seguranca-cibernetica-como-abordagem-zero-trust-ia-esta-reduzindo-ataques-malware/'>segurança cibernética</a>.</p>
<p>"Isso aumenta a eficiência do ataque e a probabilidade de que as credenciais roubadas pertençam a contas reais e usadas ativamente, melhorando a qualidade dos dados coletados para revenda ou exploração adicional", explicou a Cofense em seu comunicado.</p>
<p>Diante disso, a recomendação da Cofense é que as empresas adotem abordagens mais avançadas. Técnicas como <strong>análise comportamental</strong> e <strong>detecção de anomalias</strong> se tornam essenciais para identificar esses padrões de ataque que fogem do comum e impedir que os e-mails fraudulentos cheguem à caixa de entrada dos funcionários. É preciso ir além das defesas convencionais.</p>
<p>A sofisticação de ataques como o phishing validado mostra que a corrida entre cibercriminosos e defensores de segurança continua. Manter-se informado sobre novas táticas e reforçar as defesas digitais, tanto pessoais quanto corporativas, é um processo constante na proteção contra o <a href='https://tekimobile.com/noticia/estrategias-eficazes-implementar-governanca-dados-nas-empresas/'>roubo de dados</a> e credenciais.</p>
<p><em>Este conteúdo foi <b>auxiliado</b> por Inteligência Artificial, mas escrito e revisado por um humano.</em></p>
Leia também:
André atua como jornalista de tecnologia desde 2009 quando fundou o Tekimobile. Também trabalhou na implantação do portal Tudocelular.com no Brasil e já escreveu para outros portais como AndroidPIT e Techtudo. É formado em eletrônica e automação, trabalhando com tecnologia há 26 anos.
