Descoberta e panorama
Pesquisadores citados por Cyber Security News, com base em investigação da CloudSEK, detectaram a criação de mais de 2.000 sites fraudulentos com temática de promoção de fim de ano. Os pesquisadores identificaram dois clusters distintos: um focado em typosquatting que imita a Amazon e outro que usa uma ampla gama de domínios “.shop” para personificar marcas conhecidas como Apple, Samsung e Ray‑Ban.
Abordagem técnica e vetor de fraude
Segundo a análise disponibilizada pela publicação, os sites usam kits de phishing idênticos, templates recorrentes e infraestrutura compartilhada. A fraude opera com páginas de checkout “shell” que colhem dados de faturamento e pagamento; essas páginas costumam processar transações por meio de domínios ainda não sinalizados, o que ajuda os atacantes a contornar mecanismos de detecção de fraude.
- Dois clusters principais: Cluster A (Amazon‑themed) e Cluster B (.shop domains).
- Exemplos de domínios falsos citados: amaboxhub.com, amawarehousesale.com, amaznshop.com e xiaomidea.shop; formatos recorrentes incluem [brand]safe.shop e [brand]fast.shop.
- Uma CDN compartilhada —
cdn.cloud360.top— foi usada para servir ativos a mais de 750 das lojas falsas. - Foi identificado um arquivo JavaScript recorrente, com hash SHA‑256 único, presente em numerosos domínios .shop e responsável por controlar o processo fraudulento de checkout.
Engenharia social e técnicas de confiança
As lojas falsas são montadas para parecer plataformas de e‑commerce legítimas: banners temáticos de feriado, timers de contagem regressiva para induzir urgência e “trust badges” falsos para construir credibilidade. Pop‑ups de “compras recentes” fabricadas são usados como prova social para pressionar visitantes a concluir transações. Ao finalizar, o usuário é direcionado a um checkout projetado para recolher dados sensíveis.
Escopo e impacto
A escala — mais de 2.000 domínios registrados — e a centralização de artefatos (CDN e JavaScript compartilhados) indicam uma operação automatizada e bem orquestrada. O impacto relatado varia desde perdas financeiras diretas até riscos de roubo de identidade de longo prazo. A publicação também destaca o efeito sistêmico: erosão de confiança em varejistas legítimos e no ecossistema de e‑commerce durante um período crítico de vendas.
Limitações das informações
As fontes descrevem táticas, infraestrutura e exemplos de domínios, mas não apresentam números sobre perdas financeiras totais, identidades dos responsáveis ou atribuição a grupos específicos. As informações disponíveis concentram‑se em indicadores de comprometimento e padrões de operação; detalhes sobre contas usadas para recebimento ou gateways de pagamento específicos não são detalhados nas matérias citadas.
Mitigações práticas
- Equipes de segurança de e‑commerce e provedores de gateways devem monitorar variações de marca e registros de domínios typosquatted e .shop que contenham elementos de marcas conhecidas.
- Bloqueio proativo de CDNs e hashes de scripts maliciosos identificados (quando possível) e integração com listas de indicadores de comprometimento (IoC).
- Campanhas de comunicação ao cliente recomendando verificação de URLs, uso de métodos de pagamento com proteção ao consumidor e cautela com ofertas de urgência não verificadas.
As fontes não apresentam medidas de contenção adotadas por registradores de domínios ou por marcas afetadas; tampouco há detalhamento de ações regulatórias ou denúncias formais. Para a investigação mencionada, a principal referência é a CloudSEK, reportada via Cyber Security News.