Rastro dos dados roubados em phishing: do formulário ao mercado escuro

Análise da cadeia que segue após um phishing: dados coletados por formulários são enviados por e‑mail, bots do Telegram ou painéis administrativos; depois são verificados, agrupados e vendidos em mercados escuros. Estatísticas mostram 88,5% das campanhas visavam credenciais. Recomendações vão de bloqueio de cartões a adoção de FIDO2.

Introdução

Especialistas em threat intelligence mapearam o caminho que informações roubadas via phishing seguem após a captura: envio em tempo real a bots, consolidação em painéis administrativos e venda em mercados clandestinos. O texto abaixo resume esse fluxo e as medidas práticas recomendadas.

Descoberta e escopo / O que mudou agora

Pesquisadores da Kaspersky analisaram campanhas de phishing e kits comerciais para identificar os métodos prevalentes de exfiltração. Os três mecanismos mais comuns para encaminhar dados são: e‑mail, bots do Telegram e painéis administrativos (PaaS) que agregam e verificam credenciais.

Vetor e exploração / Como os dados são colhidos

Em kits simples, um index.php coleta campos do formulário e um script encaminha para um endereço de e‑mail controlado pelo atacante. Métodos mais modernos enviam a informação a um bot do Telegram usando a API, com notificações instantâneas ao operador. Plataformas comerciais (BulletProofLink, Caffeine e similares) centralizam dados de várias campanhas, oferecem verificação automática e painéis estatísticos para os criminosos.

Impacto e alcance / Setores afetados

A Kaspersky compilou estatísticas de janeiro a setembro de 2025: 88,5% das campanhas visavam credenciais de contas, 9,5% visavam dados pessoais (nome, endereço, data de nascimento) e 2% focavam em dados de cartões bancários. Após a coleta, os dados podem ser vendidos como dumps em mercados escuros por valores que variam conforme tipo e validade.

Preços observados (resumo): contas bancárias, plataformas de cripto e portais governamentais atingem as faixas mais altas; contas de redes sociais e serviços gerais têm valor muito menor por unidade.

Limites das informações / O que falta saber

Embora existam medidas de preço e esquemas de verificação, os relatórios públicos não permitem rastrear com precisão o uso final de cada registro vendido — por exemplo, quantas entradas são revendidas, reutilizadas em ataques direcionados ou usadas para extorsão ao longo do tempo.

Repercussão / Mitigações e recomendações

Se for vítima: notificar o banco, bloquear cartões comprometidos e mudar senhas imediatamente;
Habilitar autenticação multifator (preferencialmente FIDO2/passkeys) e revisar sessões ativas e dispositivos confiáveis;
Monitorar serviços de breach notification e realizar varreduras periódicas por credenciais vazadas;
Para organizações: implantar filtragem de phishing, bloquear exfiltração por bots conhecidos e integrar detecção de kits comerciais nos SOCs.

Fonte: relatório e investigação da Kaspersky sobre o ciclo de vida dos dados roubados via phishing.