A atividade de phishing vinculada ao período anual de vendas aumentou drasticamente, segundo novas descobertas de KnowBe4 Threat Labs . A empresa examinou 27.061 e-mails de phishing ligados à Black Friday e relatou sinais claros de que atores ameaçadores prepararam suas campanhas antes do esperado. O primeiro aumento significativo apareceu em 1º de novembro, quando os e-mails relacionados à Black Friday atingiram cerca de 8% de todas as mensagens coletadas para o estudo. Embora o nível tenha caído após o salto inicial, permaneceu acima do normal durante toda a primeira metade de novembro, com uma média entre 4% e 5%. A tendência sugere uma abordagem acelerada, em vez de uma única explosão de atividade. O padrão também mostra que os atacantes estão focando em usuários que começam a buscar descontos antecipados antes das promoções oficiais começarem.
Pesquisadores do KnowBe4 observaram que o conteúdo dos e-mails de phishing seguia temas previsíveis. Muitas mensagens dependiam de promessas de grandes descontos ou ofertas urgentes projetadas para empurrar os compradores para páginas falsas. Os pesquisadores afirmaram que atores ameaçadores tentam alcançar os consumidores antes que varejistas legítimos comecem a anunciar grandes vendas. A atividade inicial dá aos criminosos mais tempo para refinar templates, girar domínios, testar formatos de mensagens e se ajustar aos sistemas de filtragem. O objetivo é garantir que os sites fraudulentos permaneçam ativos durante o auge das compras online, quando as vítimas têm menos probabilidade de examinar os links.
Atividade inicial e padrões regionais
A análise mostrou que 84% dos e-mails relacionados à Black Friday se passaram por um site conhecido de rastreamento de negócios, e não por um varejista específico. Entre campanhas que falsificaram empresas individuais, a Amazon apareceu em 52% dos casos e a Costco em 13%. A seleção de marcas-alvo variou de país para país. Na França e no mercado do Benelux, a atividade de phishing começou por volta de 1 a 3 de novembro. Nos Estados Unidos, Alemanha e Holanda, as campanhas começaram entre 5 e 12 de novembro. No Reino Unido e na África do Sul, os e-mails frequentemente afirmavam ter origem na Amazon. Na França e na região do Benelux, Lidl era um alvo comum de personificação. Na Alemanha, a maioria das atividades de phishing relacionadas ao varejo se passou pela IKEA. Essas variações refletem os hábitos de compra e a familiaridade com a marca dos consumidores em cada região, que os atacantes parecem estudar de perto ao construir suas mensagens.
Pesquisadores observaram que criminosos estão investindo cada vez mais na qualidade de sites de varejo falsos vinculados a e-mails de phishing. Os sites agora frequentemente espelham o layout e a marca dos grandes varejistas com maior precisão do que em anos anteriores. Muitos incluem recursos dinâmicos, como temporizadores regressivos ou widgets de suporte ao cliente que imitam funções legítimas. KnowBe4 afirmou que ferramentas gerativas recentes permitem que criminosos criem interfaces limpas e visualmente convincentes que reduzem a suspeita entre compradores apressados.
Técnicas de vitrine falsas e riscos contínuos
Os criminosos não se concentram mais apenas em roubo rápido de pequenos pagamentos. Em vez disso, muitas campanhas buscam capturar acesso à conta ou credenciais de pagamento que possam gerar lucro a longo prazo. Alguns sites solicitam dados de login vinculados a contas de varejistas, enquanto outros pedem que as vítimas insiram as informações completas do cartão de pagamento antes de mostrar uma mensagem de erro afirmando que a compra não foi realizada.
Pesquisadores também destacaram o papel dos anúncios pagos em direcionar usuários para esses sites. Anúncios fraudulentos colocados em plataformas como Instagram e Facebook se assemelham a promoções genuínas e frequentemente são direcionados a públicos que já navegaram por itens semelhantes anteriormente. Esse método aumenta a probabilidade de as vítimas clicarem sem questionar a fonte. Uma vez na página falsa, o usuário enfrenta um layout que corresponde muito ao site legítimo, reduzindo assim a probabilidade de identificar inconsistências.
KnowBe4 recomendou que os compradores abordem links não solicitados com cautela durante todo o período de vendas. Verificações simples, como confirmar o domínio, visitar varejistas diretamente e evitar descontos incomumente profundos, podem reduzir riscos. Os compradores devem permanecer atentos mesmo quando as ofertas parecem atraentes e devem evitar realizar compras em páginas que solicitam informações pessoais que normalmente não são exigidas.