Websites falsos estão a causar estragos com phishing.

Ataques de phishing envolvendo sites falsos que imitam marcas conhecidas estão agora a ocorrer a um nível de escala que outrora parecia inimaginável.

Investigadores de cibersegurança da NordVPN revelaram no início deste mês que conseguiram identificar mais de 120.000 sites maliciosos que se fazem passar pela Amazon, que foram criados nos últimos dois meses. No total, os investigadores de segurança detetaram 92.000 sites de phishing com o nome Amazon, com 21.000 sites falsos da Amazon a tentar instalar malware. Outros 11.000 sites estavam a vender produtos falsos.

Ao mesmo tempo, analistas da Silent Push, um fornecedor de serviços de inteligência em cibersegurança, relataram a descoberta de milhares de sites falsos que se fazem passar por marcas conhecidas como Apple, Harbor Freight Tools, Wayfair, Guitar Center, Lane Bryant e Wrangler Jeans. Esses sites falsos até parecem estar a processar transações através do PayPal e do Google para bens que nunca são entregues. Essa abordagem permite aos cibercriminosos vender informações de cartões de crédito sem levantar suspeitas para transações que, no que diz respeito a uma empresa de serviços financeiros, nunca ocorreram.

Todos os sites falsos identificados pela Silent Push estão ligados ao mesmo mercado online, que parece conectar esses desenvolvedores à República Popular da China. Não está claro em que medida os agentes de ameaça estão a usar ferramentas de codificação de inteligência artificial (IA) para construir sites falsos, mas é seguro assumir que a IA está a acelerar o desenvolvimento destes sites de phishing. O número de sites maliciosos como estes continuará a aumentar à medida que o uso da IA reduz o custo de desenvolvimento. Mais preocupante ainda, é apenas uma questão de tempo até que os agentes de ameaça também usem IA para criar milhões de identidades falsas.

Todos esses sites falsos estão a ser usados tanto para distribuir malware como para recolher fraudulentamente credenciais de cartões de crédito. Os dados dos cartões de crédito roubados serão então usados para efetuar compras fraudulentas em sites legítimos, tornando impossível calcular o dano financeiro total desses ataques. A Federal Trade Commission (FTC) estima que só os consumidores dos EUA relataram perdas de mais de $12,5 mil milhões devido a fraude em 2024, com problemas de compras online classificados como a segunda categoria de fraude mais relatada. Este é um aumento acentuado em relação aos $10 mil milhões reportados em 2023. Ao adicionar as perdas dos consumidores ao montante de dinheiro perdido por retalhistas e fabricantes, podemos imaginar que esses crimes custam às vítimas trilhões de dólares todos os anos. 

Embora a maioria dos retalhistas e fabricantes, em colaboração com emissores de cartões de crédito, tente valentemente travar a maré de transações fraudulentas, o número de sites falsos está rapidamente a tornar-se esmagador. Mesmo que metade destes sites falsos sejam descobertos, os custos incorridos estão a exceder aquilo que muitas empresas podem realisticamente esperar absorver. Ainda pior, também faz com que muitos mais clientes fiquem receosos de fazer compras online.

Com sorte, as tecnologias de IA também tornarão em breve mais simples identificar sites falsos à medida que surgem online. Entretanto, as equipas de cibersegurança seriam bem aconselhadas a prestar mais atenção aos feeds de ameaças numa era em que a quantidade de aviso prévio fornecido é medida em minutos e segundos.