O Netskope Threat Labs identificou que ao longo de 2022 os hackers aumentaram a sofisticação em técnicas de SEO para impulsionar o alcance de sites maliciosos em mecanismos de busca e em hospedagem de páginas falsas no Google Sites e Azure Web App. O objetivo da ação é ganhar a confiança das vítimas e ampliar as chances de sucesso no roubo de credenciais de acesso em sites de transações de criptomoedas.
Nesta campanha, os alvos foram Coinbase, Kraken, Gemini e Metamask – listadas no topo do ranking da Forbes entre melhores corretoras de criptomoedas do mundo. A técnica consiste em criar páginas cuidadosamente elaboradas, incluindo até mesmo seções de FAQ, e investir em perfis falsos para interagir em comentários em sites e blogs com os links maliciosos. Dessa forma, impulsionam o alcance desses sites de phishing, fazendo com que apareçam como primeira opção em mecanismos de buscas quando a vítima tentar localizar a página verdadeira – mais um drible estratégico, agora com a sofisticação do SEO, ou seja, com as palavras chaves mais buscadas para aquelas páginas.
No próximo passo dessa campanha, a vítima é direcionada para sites que exigem diferentes opções para prosseguir com a ação, como o clássico login e senha. No caso da Gemini, ao tentar o login a vítima é direcionada a uma página de autenticação de múltiplos fatores (MFA) e depois a um chat com um usuário que solicita confirmação de informações. Já nos registros com a Metamask, foi identificada também a opção de importar uma carteira de criptomoeda, que exigirá a recuperação da "palavra secreta" de segurança. Todas as opções direcionam para páginas maliciosas que concluirão o roubo com sucesso.
A recomendação para não se tornar mais uma vítima deste cibercrime crescente é, em primeiro lugar, digitar diretamente no navegador a URL do site que será acessado e nunca inserir as credenciais após clicar em um link. Para as empresas, os especialistas recomendam o uso de secure web gateway (SWG), capaz de detectar e bloquear phishing em tempo real.
