A Microsoft continua a ser a marca mais visada, representando 32% de todas as tentativas de phishing de marca identificadas. A Apple permanece na segunda posição, com 12%, enquanto a Google ocupa o terceiro lugar. O LinkedIn, que havia caído da lista, voltou à quarta posição, destacando-se entre as marcas mais imitadas.
O relatório também revela que o setor da Tecnologia foi o mais utilizado em ataques de phishing, seguido pelas Redes Sociais e pelo Retalho. A imitação de marcas reconhecidas em emails e websites fraudulentos é uma tática comum para explorar a confiança dos utilizadores e facilitar o roubo de informações.
Omer Dembinsky, gestor do grupo de dados da Check Point Software, sublinha a necessidade de reforçar a educação e a segurança digital para mitigar estas ameaças. “A persistência de ataques de phishing com marcas conhecidas destaca a importância de os utilizadores verificarem a origem das mensagens, evitarem links suspeitos e ativarem a autenticação multifator (MFA). Estas medidas são essenciais para proteger dados pessoais e financeiros contra um cenário de ameaças em constante evolução”, alertou.
O estudo da CPR destaca a crescente sofisticação dos ataques de phishing e reforça a importância de adotar práticas de segurança robustas num ambiente digital cada vez mais ameaçador.
Principais marcas imitadas em ataques de phishing
Abaixo estão as 10 principais marcas classificadas pela sua presença geral em eventos de phishing de marca durante o quarto trimestre de 2024:
- Microsoft – 32%
- Apple – 12%
- Google – 12%
- LinkedIn – 11%
- Alibaba – 4%
- WhatsApp – 2%
- Amazon – 2%
- Twitter – 2%
- Facebook – 2%
- Adobe – 1%
Campanhas de phishing de marcas de roupa
Durante a época festiva, várias campanhas de phishing visaram os compradores, imitando os websites de marcas de vestuário bem conhecidas. Por exemplo, domínios como nike-blazers[.]fr, nike-blazer[.]fr e nike-air-max[.]fr foram concebidos para enganar os utilizadores, fazendo-os acreditar que eram plataformas oficiais da Nike. Estes sites fraudulentos reproduzem o logótipo da marca e oferecem preços irrealistas para atrair as vítimas. O seu objetivo é induzir os utilizadores a partilhar informações sensíveis, como credenciais de login e dados pessoais, permitindo que os hackers roubem os seus dados de forma eficaz.
Outros exemplos incluem:
- Adidas – adidasyeezy[.]co[.]no, adidassamba[.]com[.]mx, adidasyeezy[.]ro e adidas-predator[.]fr
- LuluLemon – lululemons[.]ro
- Hugo Boss – www[.]hugoboss-turkiye[.]com[.]tr, hugobosssrbija[.]net e www[.]hugoboss-colombia[.]com[.]co
- Guess – www[.]guess-india[.]in
- Ralph Lauren – www[.]ralphlaurenmexico[.]com[.]mx
Página de início de sessão do PayPal – Exemplo de roubo de credenciais
Recentemente, identificámos um website de phishing que opera sob o domínio wallet-paypal[.]com, criada para se fazer passar pela marca PayPal. Este site falso imita a página de início de sessão do PayPal, incluindo o logótipo oficial, para enganar os utilizadores. Ao criar uma falsa sensação de legitimidade, induz as vítimas a iniciarem sessão ou a registarem-se, acabando por roubar as suas informações pessoais e financeiras.
Site de phishing (wallet-paypal(.)com) Vs. Página de Login Original
Falsificação de identidade do Facebook
No último trimestre de 2024, identificámos um website fraudulento (svfacebook[.]click) concebido para imitar a página de início de sessão do Facebook. O site pedia às vítimas que introduzissem informações pessoais, como o seu e-mail e palavra-passe. Apesar de o domínio já não estar a ser resolvido para uma página web ativa, foi criado recentemente e já tinha alojado vários subdomínios que imitavam a página de início de sessão do Facebook.
Com o aumento consistente das tentativas de phishing dirigidas a marcas mundialmente reconhecidas, os utilizadores devem manter-se vigilantes e proativos na adoção das melhores práticas de segurança. Instalar software de segurança atualizado, reconhecer sinais de alerta em comunicações não solicitadas e evitar interações com sites suspeitos pode reduzir significativamente o risco de ser vítima de esquemas de phishing.