Qantas sofre ataque de phishing para roubo de cartão de crédito

Sydney — InkDesign News — Uma sofisticada campanha de phishing tem como alvo a companhia aérea australiana Qantas desde fevereiro de 2025, explorando vulnerabilidades humanas e técnicas para roubo de informações pessoais e dados de cartão de crédito. O ataque, que ultrapassou múltiplos filtros de segurança de email, evidencia a crescente complexidade nas ameaças digitais direcionadas ao público australiano.

Incidente e vulnerabilidade

Especialistas em segurança da Cofense Intelligence identificaram uma série de emails fraudulentos que imitam com precisão as comunicações oficiais da Qantas, usando cores, layouts e o branding característico da empresa. A campanha utiliza técnicas como a inserção de links funcionais, inclusive de cancelamento de inscrição (“unsubscribe”), que direcionam para websites falsos. Estes sites contêm URLs com a sequência “auth/auhs1” seguida por termos relacionados à Qantas ou cupons, e desaparecem em poucas horas.

O phishing funciona por meio de um processo em múltiplas etapas que coleta informações pessoais detalhadas, incluindo nome, telefone, endereço residencial e data de nascimento. A fim de reforçar a credibilidade, os criminosos tentam implementar uma etapa falha de autenticação multifator após a entrada dos dados do cartão de crédito, induzindo o usuário a crer que o problema está no próprio dispositivo. Embora não tenha sido identificado um CVE (Common Vulnerabilities and Exposures) específico, o ataque evidencia uma exploração da confiança e da engenharia social combinada com a evasão de gateways de segurança de email, como Microsoft APT, Proofpoint e Mimecast.

“One clever trick the criminals used was to include an ‘unsubscribe’ link in the emails, just like real marketing emails do.”
“Um truque inteligente usado pelos criminosos foi incluir um link de ‘cancelar inscrição’ nos emails, assim como os emails de marketing verdadeiros.”

— Cofense Intelligence, Relatório de Pesquisa

Impacto e resposta

Os ataques têm causado o comprometimento de informações sensíveis de vítimas australianas, abrindo brechas para fraudes financeiras, roubo de identidade e ataques subsequentes. A escolha em focar o público local é evidenciada pelo uso do dólar australiano e pela referência errônea ao aniversário de 103 anos da Qantas em 2025, quando na realidade ocorreu em 2023.

As campanhas conseguiram passar por diversos Secure Email Gateways (SEGs), destacando a sofisticação técnica dos autores ao contornar defesas tradicionais. Embora a frequência do ataque tenha diminuído a partir de meados de março de 2025, ele demonstra uma evolução constante nas táticas de engenharia social e na capacidade dos criminosos de modificar rapidamente suas infraestruturas de hosting.

“These fake websites generally disappeared within a day and asked for personal information in a multi-step process.”
“Esses sites falsos geralmente desapareciam em um dia e solicitavam informações pessoais em um processo de múltiplas etapas.”

— Cofense Intelligence, Relatório de Pesquisa

Mitigações recomendadas

Para mitigar riscos semelhantes, recomenda-se manter atualizados os gateways de segurança de email com as últimas defesas contra phishing, implementar autenticação multifator real e treinamentos contínuos para conscientização dos usuários sobre os perigos dos links suspeitos, mesmo em mensagens aparentemente legítimas.

Além disso, alertar para a verificação de datas, domínios oficiais e evitar o fornecimento de dados pessoais a links recebidos por email deve ser reforçado como prática padrão. Organizações devem monitorar rapidamente incidentes e adaptar seus sistemas de defesa para identificar comportamentos anômalos, como tentativas rápidas de descarte de domínios fraudulentos.

A adoção de medidas combinadas, unindo tecnologia e educação, é crucial para reduzir a eficácia desses vetores de ataque, especialmente contra ameaça que emprega técnicas de evasão em múltiplos níveis.

Embora os atacantes demonstrem alta adaptabilidade, a vigilância contínua e a aplicação correta de práticas de segurança podem reduzir significativamente o impacto potencial de campanhas similares.

Fonte: (Hack Read – Segurança Cibernética)