O Guardião que se Tornou Cúmplice Involuntário

Houve um tempo, que parece pré-histórico na velocidade da internet, em que o phishing era uma arte tosca. E-mails com erros de português, domínios bizarros e promessas de heranças de príncipes distantes eram a norma. Era um jogo de amadores. Hoje, essa realidade parece tão distante quanto um modem de 56k. O cibercrime se profissionalizou, montou uma linha de produção industrial e, ironicamente, adotou as melhores ferramentas do mercado para se proteger. E no centro desse ecossistema está um nome que deveria ser sinônimo de segurança: Cloudflare.

Um relatório bombástico da equipe de CTI (Cyber Threat Intelligence) da SicuraNext jogou um balde de água fria no mercado de segurança digital. Após analisar mais de 42.000 URLs e domínios ativos de phishing no último trimestre, a empresa descobriu que impressionantes 68% de toda essa infraestrutura maliciosa está protegida pela Cloudflare. Sim, a mesma empresa que oferece segurança e aceleração para milhões de sites legítimos virou, sem querer, o escudo preferido dos bandidos.

A Fortaleza que Abriga o Inimigo

A pergunta óbvia é: por quê? A resposta, segundo o estudo da SicuraNext, é uma combinação irresistível para qualquer operação criminosa. O plano gratuito da Cloudflare oferece, sem custo inicial, proteção contra ataques DDoS de classe mundial e serviços de proxy que mascaram completamente a localização do servidor original. Na prática, rastrear a origem de um ataque que passa pela rede da Cloudflare é uma tarefa hercúlea.

Os criminosos se concentram no ASN AS13335, o principal da Cloudflare, que se tornou a base operacional para campanhas de phishing em escala global. A pesquisa da SicuraNext também revelou uma divisão clara na estratégia dos atacantes:

  • 51.54% utilizam hospedagem direta, em infraestruturas descartáveis, ideais para ataques rápidos e massivos.
  • 48.46% apostam no jogo de longo prazo, usando CDNs e proxies para garantir a resiliência de suas operações. Dentro deste grupo, a Cloudflare é a escolha em 92% dos casos.

Isso significa que as tradicionais listas de bloqueio baseadas em IP, uma das pedras angulares da segurança corporativa por décadas, hoje são tão eficazes quanto jogar uma moeda para o alto. Elas funcionam em apenas metade do cenário de ameaças, enquanto a outra metade simplesmente ri por trás da muralha da Cloudflare.

Uma Operação com Selo de Qualidade Corporativa

Se você pensa que esses servidores maliciosos vivem caindo, pense de novo. A análise da SicuraNext apontou uma taxa média de resolução de DNS de 96.16%. É uma disponibilidade de fazer inveja a muitas empresas de tecnologia legítimas. O crime organizado moderno adota as melhores práticas de DevOps, garantindo que suas ferramentas estejam sempre online e prontas para o ataque.

Essa profissionalização se estende aos domínios escolhidos. A era dos domínios .xyz ou .tk ficou para trás. Os fraudadores agora preferem TLDs (Top-Level Domains) que transmitem confiança e legitimidade:

  • .com: 11.324 domínios, pela sua legitimidade universal.
  • .dev: 7.389 domínios, mirando especificamente desenvolvedores.
  • .app: 2.992 domínios, para se passar por aplicações mobile e SaaS.

Ao usar um domínio .dev ou .app, os criminosos criam uma falsa sensação de segurança, enganando até mesmo usuários mais técnicos. Combine isso com o uso de plataformas de hospedagem gratuitas como Vercel (1.942 domínios) e GitHub Pages (1.540 domínios), e o desastre está completo. Como uma empresa pode simplesmente bloquear o acesso ao `vercel.app` ou `github.io` quando suas próprias equipes de desenvolvimento dependem desses serviços? Os atacantes sabem disso e exploram essa confiança.

PhaaS: O Crime como Serviço por Assinatura

O ápice dessa industrialização é o surgimento do Phishing-as-a-Service (PhaaS). Plataformas como W3LL e a já extinta Caffeine oferecem pacotes completos de ataque por assinatura. Clientes, mesmo sem conhecimento técnico, podem contratar templates, hospedagem, e até mesmo suporte para lançar suas campanhas.

A funcionalidade mais assustadora desses kits é o bypass de autenticação de múltiplos fatores (MFA). Ferramentas como EvilProxy e Tycoon 2FA funcionam como um proxy intermediário (Adversary-in-the-Middle - AitM). A vítima insere suas credenciais na página falsa, o kit as repassa para o site legítimo em tempo real e, no final, rouba o cookie de sessão autenticado. Com isso, o criminoso ganha acesso direto à conta, sem precisar da senha e sem disparar alertas de MFA.

Essas plataformas ainda contam com tecnologias de evasão sofisticadas, como geofencing para bloquear pesquisadores de segurança, detecção de ferramentas de desenvolvedor (o famoso F12) e CAPTCHAs da própria Cloudflare para filtrar scanners automatizados.

Meta: O Alvo Preferido

Nenhuma marca é mais visada que a Meta. Com 10.267 menções, ela representa 42% de todas as marcas impersonificadas rastreadas pela SicuraNext. O motivo é simples: bilhões de usuários e múltiplas plataformas (Facebook, Instagram, WhatsApp) ricas em dados valiosos. Em seguida, aparecem gigantes como Amazon, Netflix, PayPal e Stripe, evidenciando o foco no roubo direto de dados financeiros e credenciais de pagamento.

O Fim da Defesa Tradicional

O relatório da SicuraNext não é apenas um conjunto de estatísticas; é um atestado de óbito para as estratégias de defesa reativas. Bloquear domínios e IPs não é mais suficiente. A era da segurança digital exige uma abordagem mais inteligente e adaptativa, focada em análise comportamental, na identificação de padrões de certificados TLS e na detecção de infraestruturas compartilhadas por plataformas PhaaS.

Assim como os antigos mainframes, a infraestrutura da web foi construída sobre uma base de confiança. Hoje, vemos essa mesma base ser usada como arma. A Cloudflare, um pilar da internet moderna, tornou-se um refúgio para aqueles que querem destruí-la. A lição é dura, mas clara: na guerra digital, até os guardiões mais poderosos podem, sem saber, acabar protegendo o inimigo.