O Phishing-as-a-Service (PhaaS) está se consolidando como uma das maiores ameaças digitais da atualidade. De acordo com a Netcraft, mais de 17.500 domínios de phishing foram criados recentemente com base em plataformas que oferecem o crime como um serviço pronto para uso. Esse modelo permite que criminosos sem grandes conhecimentos técnicos lancem ataques sofisticados em escala global.
Neste artigo, vamos explicar em detalhes o que é o PhaaS, como funcionam as plataformas Lighthouse e Lucid, quais são as novas estratégias usadas pelos criminosos e, principalmente, como você pode se proteger.
O crime digital está mais profissionalizado e acessível do que nunca. Entender como esse ecossistema funciona é o primeiro passo para reduzir riscos e navegar com mais segurança.
O que é Phishing-as-a-Service (PhaaS) e por que é tão perigoso?
O conceito de Phishing-as-a-Service (PhaaS) funciona de forma semelhante a outros modelos de software como serviço (SaaS). Aqui, em vez de pagar por uma ferramenta legítima de produtividade, o criminoso paga por kits de phishing, hospedagem e até suporte técnico para executar ataques.
Esses pacotes são vendidos em assinaturas mensais ou anuais, e muitas vezes vêm com interfaces fáceis de usar, personalização de páginas falsas e até tutoriais de como enganar vítimas.
Isso significa que qualquer pessoa, mesmo sem experiência em programação ou cibersegurança, pode realizar ataques em larga escala. É a democratização do cibercrime, baixando a barreira de entrada e aumentando o número de golpes.
Lighthouse e Lucid: os protagonistas do novo cenário de phishing
Segundo o relatório da Netcraft, duas plataformas se destacam na expansão do PhaaS: Lucid, com origem chinesa, e Lighthouse, com forte foco em marcas internacionais.
Lucid: a sofisticação chinesa
A plataforma Lucid está ligada ao grupo XinXin, especializado em golpes avançados. Uma de suas principais vantagens é a capacidade de realizar smishing (phishing via SMS) não apenas por mensagens comuns, mas também por iMessage e RCS, ampliando o alcance dos ataques.
Seus alvos preferenciais incluem empresas de pedágio eletrônico, serviços postais, instituições governamentais e bancos. Essa segmentação mostra como o PhaaS não mira apenas indivíduos, mas também setores estratégicos que concentram dados sensíveis.
Lighthouse: kits para mais de 200 marcas
Já a Lighthouse é uma vitrine global de kits de phishing. A plataforma oferece modelos prontos que simulam mais de 200 marcas conhecidas, permitindo que criminosos escolham qual “máscara” usar em suas campanhas.
Entre os diferenciais estão a personalização de templates e o monitoramento em tempo real, que ajuda os golpistas a acompanhar a eficácia de suas iscas digitais.
O modelo de negócios também chama atenção: o acesso custa US$ 88 por semana, podendo chegar a US$ 1.588 anuais. Esse sistema de assinatura reforça como o phishing virou um verdadeiro mercado estruturado.
As novas táticas dos cibercriminosos: de volta ao e-mail e ataques homóglifos
O relatório da Netcraft também mostrou que os criminosos estão inovando — e, ao mesmo tempo, resgatando métodos antigos.
O retorno ao e-mail: por que o “velho” método ainda funciona?
Apesar da popularidade de aplicativos de mensagens como Telegram, muitos criminosos estão voltando ao e-mail como canal principal. O motivo é simples: a natureza federada do e-mail dificulta a derrubada coordenada de campanhas.
Além disso, serviços como o EmailJS permitem que os atacantes coletem informações roubadas diretamente por formulários, sem precisar manter servidores próprios — tornando a operação mais barata e difícil de rastrear.
Ataques homóglifos: o truque do caractere ‘ん’
Outra técnica em ascensão são os ataques homóglifos, que exploram caracteres parecidos visualmente com os tradicionais.
Um exemplo citado pela Netcraft é o uso do caractere japonês hiragana ‘ん’, que pode se assemelhar a uma barra “/” em links falsos. Isso cria URLs que parecem legítimas, mas direcionam o usuário para páginas fraudulentas.
Os principais alvos desses ataques são usuários de criptomoedas, em especial carteiras digitais como MetaMask e Coinbase, onde o roubo de credenciais pode resultar em perdas financeiras imediatas.
Como se proteger contra essas ameaças avançadas de phishing
Diante de ameaças cada vez mais elaboradas, a melhor defesa é combinar atenção redobrada com boas práticas de segurança. Aqui estão algumas medidas essenciais:
- Verificação de domínios: sempre conferir a URL antes de inserir dados pessoais, principalmente em dispositivos móveis. Caracteres estranhos ou fora do padrão são um sinal de alerta.
- Autenticação de dois fatores (2FA): ativar o 2FA em todas as contas possíveis. Mesmo que uma senha seja roubada, essa camada extra dificulta o acesso indevido.
- Desconfiança padrão: nunca clicar em links ou abrir anexos de e-mails e mensagens inesperadas, mesmo que pareçam vir de marcas conhecidas.
- Uso de gerenciadores de senhas: esses softwares não preenchem credenciais em sites falsos, funcionando como uma barreira natural contra golpes.
- Educação contínua: manter-se atualizado sobre novos tipos de ataques e compartilhar esse conhecimento com colegas, amigos e familiares.
Conclusão: um ecossistema cibercriminoso em constante evolução
O Phishing-as-a-Service é a prova de que o cibercrime está se tornando profissional, escalável e acessível. Plataformas como Lighthouse e Lucid mostram como o modelo de negócio do crime digital evoluiu para se parecer com o de empresas legítimas, com pacotes, preços e suporte.
Para o usuário comum, isso significa que o phishing continuará a se adaptar e se sofisticar. Mas, ao mesmo tempo, também reforça a importância de investir em educação digital e práticas de segurança preventiva.
A melhor defesa é o conhecimento. Compartilhe este artigo para alertar seus amigos e familiares sobre como o phishing está evoluindo e ajude a criar uma comunidade digital mais segura.
