Google, Facebook e Amazon são as marcas mais visadas em ataques de roubo de credenciais, revela estudo
De acordo com a recente pesquisa da Kaspersky entre 25 empresas globais populares, a Google, o Facebook e a Amazon são as marcas mais frequentemente visadas quando se trata de ataques de phishing. Os cibercriminosos também procuram obter acesso às credenciais e os dados de outras marcas, com o número de ataques a aumentar quase 1,5 vezes em relação ao ano anterior.
A Kaspersky analisou uma amostra de 25 empresas da classificação ‘Best Global Brands 2023’ da Interbrand sobre os ataques de phishing. No primeiro semestre de 2024, pessoas em todo o mundo foram vítimas de um ataque de phishing, tendo sido registados quase 26 milhões de tentativas, um número quase 40% mais alto do que o primeiro semestre de 2023. Os especialistas da Kaspersky atribuem este fenómeno a um aumento da atividade fraudulenta e não a um declínio na vigilância dos utilizadores: os cibercriminosos estão a tornar-se mais agressivos nos seus ataques que visam os dados e dinheiro dos utilizadores.
Entre as marcas estudadas, os cibercriminosos visaram principalmente os serviços da Google nas suas tentativas de roubo de dados e credenciais. As soluções da Kaspersky bloquearam mais de 4 milhões de tentativas de acesso a sites de phishing concebidos para enganar os utilizadores e levá-los a disponibilizar informações sobre as suas contas Google em todo o mundo. O top 3 também é ocupado pelo Facebook, que regista cerca de 3,7 milhões de tentativas contra os seus utilizadores, e pela Amazon, que ocupa o terceiro lugar com aproximadamente 3 milhões de tentativas. A Microsoft e a DHL completam o top 5 com 2,8 milhões e 2,6 milhões de tentativas, respetivamente. O PayPal, Mastercard, Apple, Netflix e Instagram estão entre as 10 principais marcas visadas pelos cibercriminosos para obter credenciais e dinheiro em 2024.
Algumas marcas revelaram-se cada vez mais visadas nas tentativas de ataque de phishing em comparação com o ano passado. Os ataques de phishing ao Google sofreram um crescimento de 243% no primeiro semestre de 2024 em comparação com o ano passado. A Mastercard registou um aumento de 210%, face a 2023, nas tentativas de roubo de dados sensíveis e dinheiro, seguida do Facebook e da Netflix, que registaram o dobro das tentativas de ataque, ao comparar com o ano passado.
“Este ano experienciou-se um aumento significativo de tentativas de phishing dirigidas à Google. Se um phisher obtiver acesso a uma conta Gmail, pode potencialmente aceder a vários serviços, o que a torna um alvo privilegiado. Os esquemas de phishing que visam a Mastercard, normalmente destinados a roubar dinheiro, aumentaram com a proliferação de lojas online falsas que fingem vender bens e oferecem opções de pagamento Mastercard”, destaca Olga Svistunova, especialista em segurança da Kaspersky.
“Curiosamente, a Microsoft registou um declínio nos cliques em recursos de phishing. Uma vez que esta marca é frequentemente um alvo de phishing de credenciais empresariais, o decréscimo pode ser atribuído a uma melhor literacia de cibersegurança em várias organizações. A DHL também registou um declínio, o que é uma tendência comum entre várias marcas de transporte e logística que analisámos”, acrescenta.
Outras marcas que não entraram no top 10, mas que também se tornaram em novos alvos para os cibercriminosos, incluem o HSBC (240.000 tentativas de phishing em 2024) e o eBay (mais de 300.000 tentativas de ataque). O Airbnb, a American Express e o LinkedIn também foram marcas cujas tentativas de ataques aumentaram, registando mais de 174%, 137% e 122% de tentativas, respetivamente, em comparação com o ano anterior.
Como identificar se a sua marca é alvo de phishers
Embora as marcas muito reconhecidas em mercado sejam os principais alvos dos cibercriminosos, as marcas de nicho e mais pequenas não estão imunes. Os cibercriminosos visam frequentemente produtos e serviços com elevada procura, tendências sazonais ou por outros motivos.
Para gerir e atenuar eficazmente estes riscos:
– Monitorize a sua presença online: procure regularmente a sua marca nos motores de busca, nas redes sociais e nos mercados. Considere a possibilidade de subcontratar esta tarefa a um fornecedor de cibersegurança comprovado, de modo a encontrar recursos de phishing antes que alguém seja vítima deles. Por exemplo, o Kaspersky oferece uma ferramenta de remoção dedicada.
– Informe os seus clientes: organize os recursos autorizados e legítimos de onde podem comprar os seus produtos em websites oficiais, destaque os canais de comunicação oficiais e denuncie publicamente quaisquer tentativas de phishing.
– Consciencialize os seus clientes: Se trabalha no sector financeiro ou em qualquer outro sector que atrai a atenção dos cibercriminosos, alerte os seus clientes para este facto e consciencialize-os para o risco acrescido de serem enganados. Peça-lhes que estejam mais atentos aos e-mails e às mensagens que recebem.
– Reporte às autoridades imediatamente: Se um phisher explorar a sua marca, recolha informações sobre o domínio ou endereço IP fraudulento e todos os pormenores disponíveis. Comunique imediatamente os websites suspeitos ou de phishing às autoridades competentes.
– Colabore com os seus clientes: Peça aos seus clientes que comuniquem todas as atividades suspeitas realizadas em nome da sua marca. Peça-lhes que partilhem capturas de ecrã e outras provas para poderem descobrir atempadamente quem é responsável por ações suspeitas.