EUA apreendem base de dados usada em phishing bancário

O Departamento de Justiça dos Estados Unidos (DOJ) anunciou a apreensão de um domínio web e de uma base de dados de palavras-passe utilizados por um grupo de cibercriminosos num esquema de comprometimento de contas bancárias à escala global.

Segundo o DOJ, o domínio web3adspanels[.]org alojava um painel backend usado para armazenar e manipular milhares de credenciais bancárias roubadas. Estas credenciais eram obtidas através de campanhas de phishing que recorriam a anúncios maliciosos em motores de pesquisa como o Google e o Bing.

Os atacantes direcionavam as vítimas para sites falsos de instituições bancárias, onde estas introduziam os seus dados de acesso. As credenciais recolhidas eram depois usadas para aceder às contas e desviar fundos.

O FBI identificou perto de 20 vítimas nos Estados Unidos, incluindo duas empresas. As autoridades apuraram que os cibercriminosos tentaram roubar cerca de 28 milhões de dólares, com perdas efetivas estimadas em aproximadamente 14,6 milhões de dólares.

A operação contou com a colaboração das autoridades da Estónia, que preservaram e recolheram dados a partir dos servidores que alojavam as páginas de phishing e as credenciais roubadas, utilizadas para dar continuidade ao esquema.

Até ao momento, o Departamento de Justiça não anunciou detenções nem acusações formais relacionadas com o caso.

Este anúncio surge menos de um mês depois de o FBI ter reportado que esquemas de account takeover provocaram perdas superiores a 262 milhões de dólares desde janeiro de 2025.

O caso coincide ainda com a divulgação, por parte de Troy Hunt, administrador do serviço Have I Been Pwned (HIBP), de um conjunto de 630 milhões de palavras-passe comprometidas fornecidas pelo FBI para análise. O HIBP permite aos utilizadores verificar se as suas credenciais foram expostas em fugas de dados, com base no endereço de email.

A análise indicou que as palavras-passe não terão origem numa única violação, mas em múltiplas fontes, incluindo mercados de cibercrime e malware do tipo infostealer. Cerca de 46 milhões destas credenciais ainda não constavam da base de dados do HIBP.

As autoridades não esclareceram se existe uma ligação direta entre as palavras-passe analisadas pelo HIBP e o esquema de phishing agora divulgado pelo DOJ.