Últimas notícias

Fique informado

Deep Web: como funciona a compra e venda de credenciais roubadas 

8 de janeiro de 2024

Spotlight

A Transformação Digital do Mercado Imobiliário: Blockchain, Moedas digitais, Cartórios e o Futuro

A tecnologia blockchain tem despertado interesse devido ao seu potencial disruptivo em vários setores, incluindo o setor imobiliário.

8 de abril de 2024

Empresa de Israel traz tecnologia de ponta em cibersegurança para o mercado brasileiro

Com o potencial de crescimento do mercado brasileiro e sua consequente inserção no ambiente digital, os fundadores da Cysfera decidiram trazer as inovações de ponta israelenses ao cenário nacional.

3 de abril de 2024

Do primeiro Robô Advogado ao ChatGPT: Você sabe como as IAs podem impactar o futuro do setor jurídico?

Assista o webinar na íntegra, gratuitamente pelo canal oficial da doc9 no YouTube e obtenha insights essenciais sobre como aproveitar ao máximo as tecnologias emergentes e manter vantagem competitiva neste setor em constante evolução.

28 de março de 2024

AX4B: 64% das empresas brasileiras não possuem soluções corporativas de antivírus, apesar do aumento de 7% nos ataques cibernéticos

A AX4B acaba de divulgar os resultados de sua mais recente pesquisa sobre a situação da segurança cibernética no Brasil.

26 de março de 2024

25% de profissionais de cibersegurança são mulheres, aponta BCG

Pesquisa mostra disparidade de mulheres entre profissionais de tecnologia, o que pode ser uma oportunidade para setor de cibersegurança.

15 de dezembro de 2022

e-Safer e SOC Radar firmam parceria para a oferta de soluções em cibersegurança

A e-Safer, empresa referência em consultoria de cibersegurança e transformação digital, firmou parceria com a SOC Radar

14 de dezembro de 2022

Fim de ano registra aumento de 126% em fraudes monetárias on-line

Com a chegada do Natal, criminosos virtuais aproveitam para lançarem ataques em busca de dados sigilosos e fraudes monetárias

1 de dezembro de 2022

Como fortalecer a cibersegurança do varejo durante as vendas de fim de ano

Entrevistados do setor de varejo do Relatório Thales de listaram o malware, com destaque para o ransomware, como as maiores ameaças

24 de novembro de 2022

Golpes e Fraudes: a necessidade da educação financeira para formação de redes de proteção

Com o aumento de golpes e fraudes no país, algumas empresas estão adotando novas estratégias de comunicação com seus clientes, propondo a formação de redes de proteção.

6 de outubro de 2022

Especialista explica como se proteger de golpes e fraudes via cartão de crédito

Para 2022, a previsão é que as fraudes se intensifiquem; uma das tendências é o Phishing, um golpe comum e eficiente

21 de junho de 2022

A ESET, líder em detecção proativa de ameaças, explica que na deep web existem fóruns e mercados online especializados onde os criminosos podem comprar e vender as informações roubadas de maneira relativamente “segura”.

Uma das muitas atividades cibercriminosas conhecidas na deep web é o mercado negro de credenciais e contas roubadas. A ESET, líder em detecção proativa de ameaças, explica que na deep web existem fóruns e mercados online especializados onde os criminosos podem comprar e vender as informações roubadas de maneira relativamente “segura”.

“Embora a maioria dos sites tenha um acesso simples, aqueles que contêm material de “maior interesse” cibercriminal geralmente exigem convites, adesões exclusivas ou participação ativa como vendedor, permitindo o acesso de pessoas envolvidas em atividades criminosas. Todo esse mercado se aproveita principalmente do anonimato, e essa anonimização é alcançada por meio de redes como a rede.onion, que oculta os endereços IP e torna difícil rastrear aqueles que participam dela”, comenta Martina Lopez, Pesquisadora de Segurança da Informação da ESET América Latina.

Quais credenciais são negociadas na Deep Web? Normalmente, esses mercados negociam-se quase todos os tipos de contas de produtos e serviços digitais. No entanto, as credenciais mais solicitadas e disponibilizadas são:

Contas de redes sociais: para gerar interações artificiais, como a compra de curtidas, ou realizar algum outro tipo de cibercrime, como engenharia social.

Contas de serviços de streaming: como Netflix, Disney+, Hulu e Spotify, vendendo aquelas com assinaturas pagas a um preço reduzido em comparação com as assinaturas legítimas.

Contas de jogos online: o foco está naquelas que vêm com níveis avançados, itens valiosos ou moedas virtuais. Isso economiza tempo e esforço para os compradores.

Contas de e-mail e serviços na nuvem: o comprador geralmente tem como objetivo usar esses serviços para enviar spam ou armazenar dados roubados. 

Contas de serviços financeiros: contas como PayPal, cartões de crédito roubados ou contas bancárias online. Essas são especialmente lucrativas para criminosos, pois podem realizar transações financeiras fraudulentas ou cometer crimes como lavagem de dinheiro.

Credenciais de organizações: seja para acessar informações confidenciais ou sistemas internos, ou sob a forma de bancos de dados roubados contendo acessos de clientes.

O preço varia de acordo com a demanda e a qualidade das credenciais, ou se são de um lote de credenciais ou individuais. Em geral, de acordo com a ESET, as mais valiosas são as do setor bancário ou comercial, seguidas por aquelas que incluem uma plataforma ou produto pago, como um videogame, que podem chegar a equivalentes em criptomoedas de 50 dólares, enquanto os lotes geralmente são avaliados em menos de 20 dólares. Registros individuais podem ter um valor de apenas alguns centavos.

Entre os métodos pelos quais os vendedores obtêm credenciais roubadas, o mais comum é o phishing. Os atacantes enviam mensagens falsas que parecem legítimas para enganar as vítimas, geralmente se passando pela identidade da empresa proprietária do serviço cuja conta desejam obter. Os setores mais visados costumam ser empresas de redes sociais, comércio eletrônico e instituições bancárias ou financeiras. Outro método são os ataques de força bruta: por meio de software automatizado, testam combinações comuns de nome de usuário e senha até encontrar uma correspondência. Isso não acontece apenas com contas de redes sociais, mas também é comum em sistemas internos de organizações após um ataque em que o cibercriminoso conseguiu acessá-los.

Um método diferente é a infecção por códigos maliciosos, principalmente usando aqueles com capacidades de espionagem, como keyloggers ou RATs (trojans de acesso remoto) que podem monitorar as teclas pressionadas e a tela da vítima. Uma grande parte dos códigos maliciosos procura por arquivos com credenciais em texto simples ou senhas armazenadas nos navegadores dentro dos dispositivos que infectam. Por fim, a ESET menciona violações de bases de dados de organizações que sofreram alguma intrusão ou estão vulneráveis, expondo assim uma grande quantidade de credenciais. Nestes casos, geralmente, também são comercializadas bases de dados confidenciais, como endereços de e-mail, identificadores governamentais e nomes completos.

Credenciais, como nomes de usuário e senhas, são alvos valiosos para cibercriminosos. Esses dados podem ser usados para acessar contas pessoais e comerciais, o que pode resultar em roubo ou falsificação de identidade e fraudes financeiras. Por isso, a ESET recomenda: 

Ter cuidado com o phishing: Ao receber um e-mail, mensagem ou chamada inesperada solicitando informações pessoais ou financeiras, é necessário verificar a autenticidade da fonte antes de responder ou clicar em links.

Evitar clicar em links suspeitos: Recomenda-se evitar clicar em links em comunicações não solicitadas ou em links que apareçam nos resultados de pesquisas que não tenham o domínio da empresa ou organização.

Manter os sistemas atualizados: É fundamental manter as últimas atualizações de segurança instaladas no computador e dispositivos móveis para prevenir possíveis vulnerabilidades conhecidas.

Utilizar senhas seguras: É importante usar senhas robustas que combinem letras maiúsculas e minúsculas, números e caracteres especiais. Além disso, evitar o uso repetido de senhas para reduzir os danos em caso de vazamento de credenciais.

Para saber mais sobre segurança da informação, visite o portal de notícias ESET. A ESET também convida você a conhecer o Conexão Segura, seu podcast para descobrir o que está acontecendo no mundo da segurança da informação.

Sobre a ESET

Desde 1987, a ESET® desenvolve soluções de segurança que ajudam mais de 100 milhões de usuários a aproveitar a tecnologia com segurança. Seu portfólio de soluções oferece às empresas e consumidores de todo o mundo um equilíbrio perfeito entre desempenho e proteção proativa. A empresa possui uma rede global de vendas que abrange 180 países e possui escritórios em Bratislava, San Diego, Cingapura, Buenos Aires, Cidade do México e São Paulo.

Investigação ESET: nova campanha de phishing atinge países da América Latina

ESET alerta sobre ameaças dirigidas aos navegadores de internet

Deep web: saiba como proteger os seus dados e os da sua empresa

Darknet, dark web, deep web e surface web – qual é a diferença?

Acompanhe o Crypto ID nas redes sociais!