Na era digital, o cibercrime se diversificou e profissionalizou. À medida que a tecnologia avança, as técnicas de ciberataque se tornam mais sofisticadas. Nos últimos anos, temos testemunhado o surgimento de um serviço clandestino que preocupa os especialistas em cibersegurança: o Phishing as a Service (PhaaS). Esse fenômeno, que floresce na Dark Web e surpreendentemente também na Surface Web, está se tornando uma grande ameaça.

O Phishing como Mercadoria

Para os não familiarizados, o phishing é uma técnica que visa enganar as pessoas para que revelem informações confidenciais, como senhas ou dados de cartões de crédito, fazendo-se passar por uma pessoa ou instituição confiável. Embora esse método exista há décadas, sua comercialização como serviço é relativamente nova.

Através do Phishing as a Service, até mesmo usuários com habilidades técnicas limitadas podem lançar ataques de phishing. Por uma taxa, os fornecedores oferecem tudo o que é necessário: desde sites falsos até campanhas de e-mail em massa e técnicas para evitar a detecção.

sitio-falso-LeCoqSportif
Imagem 1: Exemplo de um site falso simulando ser a loja oficial de uma marca de roupas.

O submundo da Dark Web

A Dark Web, uma parte oculta da internet que não é indexada por mecanismos de busca convencionais e é acessível através de navegadores específicos como o Tor, tem sido há muito tempo um mercado ilegal para todo tipo de atividade criminosa. E foi neste lugar que o Phishing as a Service encontrou solo fértil.

Por menos de R$500, é possível comprar acesso a uma plataforma PhaaS com modelos atualizados de sites populares, garantindo que a aparência e a sensação sejam o mais realistas possível. Além disso, alguns serviços até mesmo oferecem garantias de "satisfação", prometendo um certo número de "vítimas".

Diagrama-Diseño Laboratorio-Nacional-Argonne
Imagem 2: Diagrama inspirado no design criado pelo Laboratório Nacional de Argonne.

A Surpresa da Surface Web

O que é ainda mais alarmante é a migração desses serviços para a surface web, a internet que usamos diariamente. Disfarçados como testes de segurança ou treinamentos anti-phishing, alguns sites na web convencional oferecem ferramentas e serviços que, nas mãos erradas, podem ser usados para atividades criminosas.

Esses serviços, ao operar em uma área cinzenta, tornam ainda mais difícil para as autoridades rastrear e tirar do ar tais sites, assim como tem acontecido há um tempo com os aplicativos de mensagens, como o Telegram, que são escolhidos por cibercriminosos.

Canal-Telegram-PaaS
Imagem 3: Exemplo de um canal no Telegram oferecendo Phishing as a Service.

A importância da prevenção

A proliferação do Phishing as a Service demonstra que a demanda por técnicas de phishing está aumentando e, por mais de uma década, tem sido a técnica preferida de cibercriminosos para lançar seus ataques. Nesse contexto, é crucial que as empresas e os indivíduos estejam informados e adotem medidas proativas para se protegerem.

A educação é a primeira linha de defesa. Reconhecer sinais de phishing e saber como agir pode fazer a diferença entre permanecer seguro e se tornar uma vítima.

Nesta era digital, onde as ameaças evoluem constantemente, é essencial estar um passo à frente dos cibercriminosos. A luta contra o Phishing as a Service não depende apenas da tecnologia, mas também da conscientização e da educação.