Evolução do phishing através das lentes das plataformas chinesas de PhaaS

O Google Threat Intelligence Group (GTIG) analisou mais de uma dúzia de plataformas maduras de Phishing como Serviço (PhaaS) chinesas estreitamente ligadas ao ecossistema cibercriminoso mais amplo na região. O estudo mostra como os métodos de engenharia social e roubo de credenciais estão evoluindo.

🔴 A principal mudança está se afastando do phishing "estático" que simplesmente coleta logins e senhas para uso posterior, em direção a ataques em tempo real. Após a vítima inserir seus dados, os atacantes interceptam o código OTP em tempo real através do painel de controle da campanha de phishing, usando-o antes que expire para contornar instantaneamente o MFA.

🔴 Uma vez que as credenciais e o OTP são comprometidos, os atacantes tokenizam os cartões bancários das vítimas (provisionam-nos para carteiras digitais em seus próprios dispositivos). Isso permite transações de alto valor, pagamentos sem contato e saques em caixas eletrônicos com o uso dos cartões obtidos.

🔴 Em vez de SMS, essas plataformas PhaaS usam cada vez mais Rich Communication Services (RCS) e iMessage. A criptografia de ponta a ponta nesses protocolos torna mais difícil para a infraestrutura de entrega do lado do servidor detectar e filtrar links maliciosos.

Além disso, para escalar suas operações, várias plataformas PhaaS examinadas usam ferramentas de IA para gerar páginas de phishing e localizar seu conteúdo para diferentes países.

Também vale notar que o modelo como serviço permite que uma ampla gama de atores de ameaças conduza ataques de phishing avançados, independentemente do seu nível de habilidade. A educação do usuário permanece uma camada importante de defesa, mas não é mais suficiente — a ênfase está mudando para salvaguardas técnicas, como autenticação criptográfica resistente a phishing e vinculação de logins ao dispositivo e contexto da sessão.