O Netskope Threat Labs identificou que, ao longo de 2022, os hackers aumentaram a sofisticação em técnicas de SEO para impulsionar o alcance de sites maliciosos em mecanismos de busca. Eles chegaram até a hospedar páginas falsas no Google Sites e Azure Web App. O objetivo da ação é ganhar a confiança das vítimas e ampliar as chances de sucesso no roubo de credenciais de acesso em sites de transações de criptomoedas.
LEIA MAIS: Com SEO, CI&T consegue aumentar em 198% os acessos de seus sites
Nesta campanha, os alvos foram Coinbase, Kraken, Gemini e Metamask – listadas no topo do ranking da Forbes entre melhores corretoras de criptomoedas do mundo. A técnica consiste em criar páginas cuidadosamente elaboradas, incluindo até mesmo seções de FAQ, e investir em perfis falsos para interagir em comentários em sites e blogs com os links maliciosos.
Dessa forma, impulsionam o alcance desses sites de phishing, fazendo com que apareçam como primeira opção em mecanismos de buscas quando a vítima tentar localizar a página verdadeira. Como forma de atrair os usuários, eles utilizam até SEO, ou seja, com as palavras chaves mais buscadas para aquelas páginas.
No primeiro passo dessa campanha, a vítima é direcionada para sites que exigem diferentes opções para prosseguir com a ação, como o clássico login e senha. No caso da Gemini, ao tentar o login a vítima é direcionada a uma página de autenticação de múltiplos fatores (MFA) e depois a um chat com um usuário que solicita confirmação de informações.
Já nos registros com a Metamask, foi identificada também a opção de importar uma carteira de criptomoeda, que exigirá a recuperação da “palavra secreta” de segurança. Em todos os casos, as opções direcionam para páginas maliciosas que concluirão o roubo com sucesso.
A recomendação para não se tornar mais uma vítima deste cibercrime crescente é, em primeiro lugar, digitar diretamente no navegador a URL do site que será acessado e nunca inserir as credenciais após clicar em um link. Para as empresas, os especialistas recomendam o uso de secure web gateway (SWG), capaz de detectar e bloquear phishing em tempo real.
Outra pesquisa da Netskope deste ano aponta que os hackers já estão utilizando técnicas de otimização de mecanismos de busca (SEO) para melhorar a classificação de arquivos PDF maliciosos em sites de pesquisa, incluindo Google e Bing.
As principais categorias de referência na web que os cibercriminosos estão se aproveitando são algumas tradicionalmente associadas a malware – principalmente shareware (software gratuito por período e recursos limitados até a aquisição de uma licença) e freeware (software gratuito que não pode ser modificado).
O aumento do uso de mecanismos de busca para a entrega de malware nos últimos 12 meses reflete quão adeptos os hackers estão às técnicas de SEO. Os downloads foram registrados predominantemente em arquivos PDF, incluindo muitos CAPTCHAs maliciosos que redirecionavam os usuários para sites de phishing, spam, scam e malware.
O relatório também mostra que a maioria dos malwares neste período foi baixada na mesma região da vítima, uma tendência crescente que aponta maior grau de sofisticação dos hackers, que mais cada vez mais posicionam ameaças para evitar filtros de proteção entre países e outras medidas tradicionais de prevenção.
As descobertas revelam que, na maioria dos casos os atacantes, tendem a buscar vítimas em uma localidade específica com malware hospedado dentro da mesma região. Isto vale principalmente para a América do Norte, onde 84% de todos os downloads maliciosos foram baixados de sites hospedados no continente.
Com base em um subconjunto de dados anonimizados coletados pela plataforma Netskope Security Cloud, as principais conclusões do relatório incluem: