Na era digital, o cibercrime evoluiu e se profissionalizou de maneira surpreendente. Com o avanço da tecnologia, as táticas de ataques cibernéticos se tornaram cada vez mais sofisticadas. Recentemente, a ESET, líder no campo da detecção proativa de ameaças, identificou uma ameaça que tem preocupado especialistas em segurança cibernética: o chamado Phishing as a Service (PaaS). Este fenômeno, que se originou na Dark Web e, surpreendentemente, tem se infiltrado também na web convencional, está emergindo como uma ameaça em crescimento.
O phishing é uma técnica que visa enganar os usuários a divulgar informações confidenciais, como senhas ou dados de cartão de crédito. Embora essa técnica exista há décadas, sua comercialização como um serviço é relativamente recente.
Através do Phishing as a Service, até mesmo indivíduos com habilidades técnicas limitadas podem lançar ataques de phishing. Por uma taxa, os provedores oferecem todos os recursos necessários, desde a criação de sites falsos até campanhas de e-mail em grande escala e métodos de evasão de detecção.
A Dark Web, uma parte obscura da internet que não é indexada pelos mecanismos de busca tradicionais e acessível através de navegadores específicos, como o Tor, tem sido há muito tempo um mercado negro para várias atividades ilegais, e é onde o PaaS encontrou um solo fértil.
Por menos de US$ 100, é possível comprar acesso a uma plataforma PaaS com modelos atualizados de sites populares, garantindo que a aparência seja o mais convincente possível. Alguns serviços até oferecem garantias de “satisfação”, prometendo um certo número de “vítimas” bem-sucedidas.
O que preocupa ainda mais a ESET é a migração desses serviços para a web convencional, a internet que usamos no dia a dia. Sob a fachada de testes de segurança ou treinamento antiphishing, alguns sites comuns disponibilizam ferramentas e serviços que podem ser usados para atividades maliciosas. Esses serviços operam em uma zona cinzenta, tornando mais difícil para as autoridades rastrear e fechar esses sites, um problema que tem sido observado também com sistemas de mensagens como o Telegram, frequentemente utilizados por cibercriminosos.
Mario Micucci, Pesquisador de Segurança Computacional da ESET na América Latina, ressalta: “A proliferação do PaaS indica que a demanda por técnicas de phishing está em alta, já que há mais de uma década essa tem sido a técnica preferida dos invasores para executar seus ataques. Nesse contexto, é crucial que organizações e indivíduos estejam bem informados e adotem medidas proativas para se proteger.”
Segundo a ESET, a educação é a primeira linha de defesa. Reconhecer os sinais de phishing e saber como agir pode fazer a diferença entre permanecer seguro e se tornar uma vítima.
“Nesta era digital em constante evolução, é essencial estar um passo à frente dos cibercriminosos. A luta contra o PaaS depende não apenas da tecnologia, mas também da conscientização e educação”, conclui Micucci.
