--- title: "O Guardião Virou Cúmplice? 68% dos Sites de Phishing Usam a Cloudflare para se Protegerem" author: "Ignácio Afonso" date: "2025-12-07 14:32:00-03" category: "Tecnologia & Desenvolvimento" url: "http://desbugados.scale.press/portal/desbugados/post/2025/12/07/o-guardiao-virou-cumplice-68-dos-sites-de-phishing-usam-a-cloudflare-para-se-protegerem/md" --- # O Guardião que se Tornou Cúmplice Involuntário Houve um tempo, que parece pré-histórico na velocidade da internet, em que o phishing era uma arte tosca. E-mails com erros de português, domínios bizarros e promessas de heranças de príncipes distantes eram a norma. Era um jogo de amadores. Hoje, essa realidade parece tão distante quanto um modem de 56k. O cibercrime se profissionalizou, montou uma linha de produção industrial e, ironicamente, adotou as melhores ferramentas do mercado para se proteger. E no centro desse ecossistema está um nome que deveria ser sinônimo de segurança: Cloudflare. Um relatório bombástico da equipe de CTI (Cyber Threat Intelligence) da **SicuraNext** jogou um balde de água fria no mercado de segurança digital. Após analisar mais de 42.000 URLs e domínios ativos de phishing no último trimestre, a empresa descobriu que impressionantes **68% de toda essa infraestrutura maliciosa está protegida pela Cloudflare**. Sim, a mesma empresa que oferece segurança e aceleração para milhões de sites legítimos virou, sem querer, o escudo preferido dos bandidos. ## A Fortaleza que Abriga o Inimigo A pergunta óbvia é: por quê? A resposta, segundo o estudo da SicuraNext, é uma combinação irresistível para qualquer operação criminosa. O plano gratuito da Cloudflare oferece, sem custo inicial, proteção contra ataques DDoS de classe mundial e serviços de proxy que mascaram completamente a localização do servidor original. Na prática, rastrear a origem de um ataque que passa pela rede da Cloudflare é uma tarefa hercúlea. Os criminosos se concentram no ASN AS13335, o principal da Cloudflare, que se tornou a base operacional para campanhas de phishing em escala global. A pesquisa da SicuraNext também revelou uma divisão clara na estratégia dos atacantes: **51.54%** utilizam hospedagem direta, em infraestruturas descartáveis, ideais para ataques rápidos e massivos.**48.46%** apostam no jogo de longo prazo, usando CDNs e proxies para garantir a resiliência de suas operações. Dentro deste grupo, a Cloudflare é a escolha em 92% dos casos.Isso significa que as tradicionais listas de bloqueio baseadas em IP, uma das pedras angulares da segurança corporativa por décadas, hoje são tão eficazes quanto jogar uma moeda para o alto. Elas funcionam em apenas metade do cenário de ameaças, enquanto a outra metade simplesmente ri por trás da muralha da Cloudflare. ## Uma Operação com Selo de Qualidade Corporativa Se você pensa que esses servidores maliciosos vivem caindo, pense de novo. A análise da SicuraNext apontou uma taxa média de resolução de DNS de **96.16%**. É uma disponibilidade de fazer inveja a muitas empresas de tecnologia legítimas. O crime organizado moderno adota as melhores práticas de DevOps, garantindo que suas ferramentas estejam sempre online e prontas para o ataque. Essa profissionalização se estende aos domínios escolhidos. A era dos domínios **.xyz** ou **.tk** ficou para trás. Os fraudadores agora preferem TLDs (Top-Level Domains) que transmitem confiança e legitimidade: **.com:** 11.324 domínios, pela sua legitimidade universal.**.dev:** 7.389 domínios, mirando especificamente desenvolvedores.**.app:** 2.992 domínios, para se passar por aplicações mobile e SaaS.Ao usar um domínio **.dev** ou **.app**, os criminosos criam uma falsa sensação de segurança, enganando até mesmo usuários mais técnicos. Combine isso com o uso de plataformas de hospedagem gratuitas como **Vercel** (1.942 domínios) e **GitHub Pages** (1.540 domínios), e o desastre está completo. Como uma empresa pode simplesmente bloquear o acesso ao `vercel.app` ou `github.io` quando suas próprias equipes de desenvolvimento dependem desses serviços? Os atacantes sabem disso e exploram essa confiança. ## PhaaS: O Crime como Serviço por Assinatura O ápice dessa industrialização é o surgimento do **Phishing-as-a-Service (PhaaS)**. Plataformas como W3LL e a já extinta Caffeine oferecem pacotes completos de ataque por assinatura. Clientes, mesmo sem conhecimento técnico, podem contratar templates, hospedagem, e até mesmo suporte para lançar suas campanhas. A funcionalidade mais assustadora desses kits é o bypass de autenticação de múltiplos fatores (MFA). Ferramentas como **EvilProxy** e **Tycoon 2FA** funcionam como um proxy intermediário (Adversary-in-the-Middle - AitM). A vítima insere suas credenciais na página falsa, o kit as repassa para o site legítimo em tempo real e, no final, rouba o cookie de sessão autenticado. Com isso, o criminoso ganha acesso direto à conta, sem precisar da senha e sem disparar alertas de MFA. Essas plataformas ainda contam com tecnologias de evasão sofisticadas, como geofencing para bloquear pesquisadores de segurança, detecção de ferramentas de desenvolvedor (o famoso F12) e CAPTCHAs da própria Cloudflare para filtrar scanners automatizados. ## Meta: O Alvo Preferido Nenhuma marca é mais visada que a **Meta**. Com 10.267 menções, ela representa 42% de todas as marcas impersonificadas rastreadas pela SicuraNext. O motivo é simples: bilhões de usuários e múltiplas plataformas (Facebook, Instagram, WhatsApp) ricas em dados valiosos. Em seguida, aparecem gigantes como Amazon, Netflix, PayPal e Stripe, evidenciando o foco no roubo direto de dados financeiros e credenciais de pagamento. ## O Fim da Defesa Tradicional O relatório da SicuraNext não é apenas um conjunto de estatísticas; é um atestado de óbito para as estratégias de defesa reativas. Bloquear domínios e IPs não é mais suficiente. A era da segurança digital exige uma abordagem mais inteligente e adaptativa, focada em análise comportamental, na identificação de padrões de certificados TLS e na detecção de infraestruturas compartilhadas por plataformas PhaaS. Assim como os antigos mainframes, a infraestrutura da web foi construída sobre uma base de confiança. Hoje, vemos essa mesma base ser usada como arma. A Cloudflare, um pilar da internet moderna, tornou-se um refúgio para aqueles que querem destruí-la. A lição é dura, mas clara: na guerra digital, até os guardiões mais poderosos podem, sem saber, acabar protegendo o inimigo.