A APWG (Anti-Phishing Working Group), uma organização internacional composta por mais de 2.200 instituições do setor de segurança, organizações governamentais e não governamentais, que tem produzido relatórios sobre o cenário global de phishing há algum tempo, publicou recentemente um relatório em que analisou a atividade de campanhas de phishing durante o primeiro trimestre de 2021.
O documento destaca que, após ter um ano de 2020 com o número de ataques de phishing dobrando, em janeiro deste ano foi atingido um aumento histórico de acordo com os registros da APWG, com a detecção de 245.771 sites únicos de phishing. Embora o número tenha caído em fevereiro, em março a curva ascendente voltou e ultrapassou 200.000 sites. É importante notar que de abril de 2020 a março de 2021, há uma curva ascendente contínua na atividade relacionada ao phishing.
Veja mais: Brasil é o segundo país da América Latina com mais detecções de ataques de engenharia social
O setor mais visado pelos ataques de phishing continua sendo o financeiro, que registrou 24,9% das tentativas de phishing durante o primeiro trimestre, seguido pelas redes sociais com 23,6% e pelos provedores de serviço de e-mail por meio de sites com 19,6%.
Outro elemento que cresceu foi o número de e-mails que registraram textos únicos no campo assunto, com um total de 172.793 assuntos diferentes no mesmo mês. Nesse caso, após o pico de janeiro, o número de assuntos únicos caiu para menos de 50.000 em março.
Por outro lado, o número de organizações cuja imagem foi utilizada nesses ataques de engenharia social foi maior que 400 em cada um dos meses do primeiro trimestre de 2021, atingindo 465 o número de marcas utilizadas em campanhas de phishing em março.
Ataques de phishing direcionados a usuários de redes sociais passaram de 11,8% no último trimestre de 2020 para 23,6% durante os primeiros três meses de 2021, com cibercriminosos lançando ataques com o objetivo de sequestrar contas de redes sociais para provavelmente comercializar os acessos em mercados da dark web.
Outra informação importante é que 7,6% dos ataques foram direcionados ao e-commerce e 5,8% aos serviços de logística ou entrega de encomendas.
Algo que mencionamos em várias campanhas de phishing analisadas nos últimos anos, é fundamental destacar que não é mais suficiente verificar se um site é seguro ou não analisando o HTTPS, já que 83% dos sites detectados usavam esse protocolo.
Por outro lado, os golpes conhecidos como BEC (Business Email Compromise), que são fraudes direcionadas aos departamentos financeiros das organizações e que usam o e-mail para se fazer passar por uma pessoa de confiança, como um funcionário da própria organização ou um empresa parceira, com o objetivo de solicitar o envio de uma transferência bancária.
De acordo com o relatório da APWG, a quantidade média de transferências solicitadas no âmbito desse tipo de fraude conhecida como BEC no primeiro trimestre de 2021 foi de US$85.000, o que representa um novo pico histórico. O valor médio no último trimestre de 2020 foi de US$ 75.000.
Veja mais: