Criminosos Pagam $10 para Hackear Você: Ameaças Baseadas em Identidade Atingem Recorde Absoluto

A equipe de pesquisa da eSentire alerta que kits de phishing baratos, combinados com ladrões de informações, permitem que os cibercriminosos realizem ataques baseados em identidade em níveis recordes.

O número de ataques cibernéticos focados em identidades de usuários aumentou 156% durante o ano anterior, porque os hackers agora visam principalmente as credenciais de login. Pesquisadores de segurança da eSentire indicam que ameaças baseadas em identidade compõem 59% de todos os incidentes que eles investigam.

Os principais fatores que impulsionam esse aumento? Plataformas PhaaS (Phishing como Serviço) como Tycoon 2FA, juntamente com malwares de roubo de informações, operam como as principais causas desse crescimento. As ferramentas permitem que os criminosos assumam o controle das contas dos usuários e criem despesas substanciais de recuperação para as empresas.

“Tycoon 2FA emergiu como a principal ferramenta de phishing desde que chegou às prateleiras em 2023,” explicou a eSentire, conforme relatado por The Record. Por apenas $200-300 por mês, os criminosos obtêm páginas realistas de phishing para Microsoft 365 e Google Workspace, além de ferramentas para burlar a autenticação de múltiplos fatores (MFA). “A sofisticação técnica desses serviços rivaliza com a de ferramentas de segurança legítimas,” acrescentou a eSentire no relatório.

A principal ameaça de segurança no mundo dos negócios vem de esquemas de Comprometimento de Email Comercial (BEC). Os atacantes usam Tycoon 2FA para criar páginas de login falsas, que utilizam para enganar o pessoal financeiro. Os atacantes roubam credenciais de login para rastrear comunicações de e-mail antes de localizar documentos financeiros importantes e redirecionar transferências de pagamento para suas contas bancárias criminais.

Os ataques BEC e as tomadas de e-mail aumentaram em 60% entre o ano anterior e o primeiro trimestre de 2025, tornando-se o principal tipo de ataque com 41% do total de incidentes. Os menos conhecidos ataques BEC resultam em perdas financeiras que chegam a bilhões para as empresas.

A compra de registros de ladrões de informações custa aos operadores criminosos entre $10 e $100. As credenciais roubadas de dispositivos infectados somam dezenas de entradas, que podem ser usadas para ataques básicos de identidade.

“O retorno sobre o investimento para ataques baseados em identidade supera em muito o de malwares tradicionais”, alertou a eSentire, instando as empresas a adotar ferramentas resistentes a phishing como chaves de acesso e investir em monitoramento e resposta rápida.

“As organizações podem transformar proativamente suas arquiteturas de segurança para enfrentar ameaças centradas na identidade, ou podem continuar operando com programas de segurança obsoletos até que um ataque bem-sucedido force mudanças reativas sob condições de crise”, concluiu o relatório de segurança.