Spear phishing: o que é e como evitá-lo
Se você leu suas postagens relacionadas a estratagemas de engenharia social (phishing, smishing, whaling e vishing), você já sabe que muitos tipos de golpes são derivados de phishing. Mas é importante aprender sobre o mais comum, o spear phishing. Infelizmente, esse tipo de fraude também é o mais perigoso para as empresas.
Índice
- O que é spear phishing?
- Qual é a diferença entre phishing e spear phishing?
- Quem pode ser o alvo?
- Como detectar esse tipo de fraude?
- Como prevenir o spear phishing?
O que é spear phishing?
Spear phishing é um tipo específico de phishing em que a vítima é direcionada e enganada pelo uso de informações pessoais precisas coletadas com antecedência. Por exemplo, o hacker pode usar seus dados públicos obtidos de suas contas de mídia social para convencê-lo de que sua mensagem é autêntica.
Digamos que você acabou de comprar uma casa e postou a notícia no Facebook. Graças a um de seus comentários no LinkedIn, o hacker descobre o nome e a agência do seu banqueiro. A partir daí, ele só precisa criar um endereço de e-mail aparentemente confiável usando essas informações e aqui está! Ele pode então solicitar que você transfira algum dinheiro para uma conta específica, fingindo que você deve fazer isso em relação à sua hipoteca. Se você não for cuidadoso o suficiente, é assim que você será enganado.
Às vezes, os autores desse tipo de golpe podem ser patrocinados por um governo. Eles também podem ser hacktivistas ou cibercriminosos em busca de informações confidenciais para vender a governos ou concorrentes.
Qual é a diferença entre phishing e spear phishing?
Como era de se esperar, dado o nome, spear phishing é, na verdade, uma espécie de phishing. “Phishing” engloba todos os tipos de ataques cibernéticos com o objetivo de coletar informações confidenciais (número de cartão de crédito, senhas, número do seguro social …) por meio de fraude, roubo de identidade ou roubo de identidade.
Qual é a aparência de um ataque de phishing?
Os ataques de phishing são normalmente lançados em larga escala. Eles têm como alvo um grande número de vítimas em potencial e não são feitos sob medida para elas. Na maioria dos casos, todas essas pessoas são atingidas ao mesmo tempo por um e-mail falso fingindo ter sido enviado por uma organização autêntica.
Você provavelmente já foi exposto a esse tipo de golpe. Todos nós recebemos um desses e-mails supostamente enviados por uma pessoa solicitando ajuda para movimentar uma grande quantidade de dinheiro (normalmente muitas dezenas de milhões de dólares) bloqueada em um banco nigeriano e oferecendo uma porcentagem significativa dessa fortuna em troca de nossa colaboração. Muitas vezes, isso implica compartilhar nossas informações pessoais ou bancárias … Na maioria das vezes, esses golpes têm origem na Nigéria, o que explica por que são chamados de Cartas da Nigéria ou Fraudes “419” (419 sendo a seção do código penal nigeriano que proíbe isso crime).
Os autores desses ataques de phishing não fazem muitos esforços para tornar sua mensagem confiável. Freqüentemente, o e-mail deles é grosseiro (erros de ortografia, erros de linguagem, hiato cultural) e o golpe é flagrante. Simplesmente apostam que dentre a quantidade de pessoas que irão recebê-lo, alguém será ingênuo a ponto de clicar no link fornecido ou enviar os dados pessoais solicitados.
Qual é a diferença com um ataque de spear phishing?
Os ataques de phishing são normalmente lançados em larga escala. Eles têm como alvo um grande número de vítimas em potencial e não são feitos sob medida para elas. Na maioria dos casos, todas essas pessoas são atingidas ao mesmo tempo por um e-mail falso fingindo ter sido enviado por uma organização autêntica.
Em grande parte desses ataques, as vítimas são executivos ou funcionários que ocupam cargos que lhes dão acesso a determinado hardware, software ou privilégios na organização onde trabalham. Mas também podem ser pessoas que publicaram algumas informações exploráveis para golpistas (como em nosso exemplo da compra de uma casa).
Antes de contatá-los, os hackers os terão pesquisado para aprender o máximo possível sobre a organização para a qual trabalham, a posição que ocupam, como são chamados (por exemplo, uso de apelidos), o nome de seu gerente ou CEO, o nome de um banco onde sua organização tem uma conta, etc.
Essas informações são então usadas para criar uma mensagem simulando um e-mail genuíno daquela organização ou de outra entidade com a qual está em contato. Os golpistas farão o possível para torná-lo o mais confiável possível. Eles irão adicionar detalhes que irão reforçar a ilusão (endereços de e-mail muito semelhantes, nomes de funcionários reais, cópia do logotipo, cópia de menções normalmente incluídas nos e-mails desta organização) para que a mensagem pareça legítima para ganhar a confiança de seu destinatário.
Eles podem incluir um URL para convidar o destinatário a visitar um site falso que ele possa ter criado anteriormente para coletar as informações confidenciais solicitadas (senhas, número do seguro social, contas bancárias ou números de cartão de crédito, etc.). Em alguns casos, eles terão o cuidado de gerar tráfego para esse site falso para validar o nome de domínio e enganar o software antivírus da organização.
Outras vezes, eles podem fingir ser amigos, alegando estar em perigo e precisando de uma quantia em dinheiro ou pedindo acesso a fotos específicas postadas em redes sociais.
Uma terceira forma de spear phishing usa um anexo que simula uma fatura ou um documento de algum tipo (arquivo PDF, Word ou Excel) contendo secretamente um software malicioso, uma macro ou um pedaço de código (e.g. a keylogger). Também pode ser um ransomware, um software que pode bloquear o sistema de computador da organização, forçando-a a pagar um resgate para desbloqueá-lo.
Os hackers costumam explicar que sua solicitação de informações confidenciais é urgente. Eles vão dizer às vítimas que necessita alterar uma senha que está prestes a expirar, ou tomar conhecimento de mudanças em uma entrega implementada em um documento anexo, por exemplo.
Eles também podem se passar por um membro sênior da organização (normalmente o CEO ou um gerente envolvido em transações de pagamento, por exemplo) solicitando uma transferência urgente para um novo fornecedor. Às vezes, essa urgência será combinada com a necessidade de manter estrita confidencialidade ou de violar procedimentos específicos, como obter a aprovação de um gerente.
Finalmente, eles também podem brincar com as emoções e tentar usar a empatia para fazer a vítima obedecer.
Todos esses estratagemas visam obter um movimento rápido do alvo, para evitar que ele pense muito …
Quando tiverem sucesso em seu objetivo, os golpistas se passarão por suas vítimas graças aos dados pessoais para realizar operações específicas (transferência de dinheiro, roubo de dados pessoais, roubo de propriedade intelectual, publicação indesejada de mensagens hediondas em seu nome, etc.). Em outros casos, eles farão com que seus alvos cliquem em um link para disparar o download de um software malicioso sem o seu conhecimento. Ou eles receberão uma transferência de dinheiro ou uma ação específica de sua vítima.
Quem pode ser o alvo?
Qualquer funcionário de uma organização pode ser alvo de um ataque de spear-phishing. No entanto, alguns desses golpes visam mais especificamente executivos de alto nível. Eles são chamados “whaling attacks“. A maioria deles se faz passar pelo CEO ou outro membro sênior da organização para impor uma ordem inquestionável à vítima.
Surpreendentemente, os estudos sugerem que os executivos são mais propensos a serem alvos, mas também mais propensos a serem enganados do que outros membros da equipe. Isso ocorre porque muitas vezes eles estão muito ocupados e falta tempo para dedicar uma atenção crítica aos seus e-mails. Às vezes, eles também subestimam a ameaça.
Por outro lado, é mais recompensador para um hacker pegá-los, por causa de seu maior acesso e autoridade.
Também vale a pena mencionar que esses ataques cibernéticos também são frequentemente lançados contra funcionários ou executivos que trabalham em processos que envolvem pagamentos, como folha de pagamento ou faturamento.
Por fim, observe que até mesmo indivíduos podem ser vítimas dessa forma de fraude: um hacker pode se passar por um de seus amigos e convidar você a clicar em um bom site ou vídeo … escondendo um ransomware que pode bloquear seu smartphone.
Como detectar esse tipo de fraude?
Na maioria das vezes, os e-mails de spear phishing são muito bem imitados, por isso é muito difícil detectar o conteúdo malicioso. Mesmo as ferramentas usadas para detectar preventivamente essa forma de e-mails fraudulentos dentro das organizações podem falhar na identificação de mensagens de ataques de spear phishing.
Esse também é o motivo pelo qual eles se tornaram comuns (estima-se que agora sejam responsáveis por 91% de todos os ataques cibernéticos) e por que causam tantos danos.
Alguns conselhos para ajudá-lo a identificar um e-mail de spear-phishing
Além de ser cuidadoso, você tem outras opções para evitar o spear phishing. Os hackers podem ser sutis, mas ser enganado não é uma fatalidade e você pode realmente proteger a si mesmo e seus dados pessoais realizando as seguintes etapas:
1. Lembre-se de que qualquer informação (nome, imagem, …) postada nas redes sociais pode ser usada de forma maliciosa. Quando possível, torne suas contas privadas e evite publicar muitas informações sobre suas responsabilidades, fornecedores, clientes, processos ou aspectos operacionais de seu negócio em seus perfis do LinkedIn.
2. Algum detalhe parece diferente do normal? Cuidado com as diferenças de formato. A assinatura é diferente, mesmo ligeiramente? O e-mail está cheio de erros ortográficos, o que nunca acontece com aquela pessoa específica? A forma como ele se dirige a você não é familiar? Todos esses detalhes são bandeiras vermelhas que o convidam a suspeitar. Algumas características específicas podem não ser conhecidas pelos hackers e é aí que você pode localizar spear phishing.
3. Preste atenção aos anúncios de emprego publicados por sua organização para preencher vagas no departamento de TI. Certifique-se de que eles nunca sejam muito específicos ao mencionar detalhes sobre o software e os sistemas de segurança cibernética usados por sua organização.
4. Além disso, preste atenção ao texto e ao jargão. Uma menção ou expressão incomum nunca ouvida em sua organização deve deixá-lo desconfiado. Verifique também as frases educadas e saudações no final da mensagem. Geralmente é “Obrigado” ou “Atenciosamente” ou algo mais?
5. Finalmente, se um clique em um arquivo anexado acionar a abertura de uma janela indicando que ele contém uma macro, cuidado!
6. Em caso de dúvida, nunca hesite em confirmar o conteúdo de um e-mail por telefone. Uma chamada rápida pode poupar muitos problemas! Melhor prevenir do que remediar.
Como prevenir o spear phishing?
Os hackers podem usar vários truques para obter informações sobre suas vítimas. Por exemplo, eles podem usar mensagens fora do escritório para descobrir como são os e-mails dos membros da equipe de uma organização. Outros usarão as mídias sociais e outras fontes disponíveis publicamente para coletar informações.
Alguns conselhos para ajudá-lo a prevenir esses ataques
Além de ser cuidadoso, você tem outras opções para evitar o spear phishing. Os hackers podem ser sutis, mas ser enganado não é uma fatalidade e você pode realmente proteger a si mesmo e seus dados pessoais realizando as seguintes etapas:
- Lembre-se de que qualquer informação (nome, imagem, …) postada nas redes sociais pode ser usada de forma maliciosa. Quando possível, torne suas contas privadas e evite publicar muitas informações sobre suas responsabilidades, fornecedores, clientes, processos ou aspectos operacionais de seu negócio em seus perfis do LinkedIn.
- Evite publicar muitas informações sobre sua equipe em seu site também. Não forneça seu e-mail, use um formulário para convidar visitantes solicitando informações.
- Preste atenção aos anúncios de emprego publicados por sua organização para preencher vagas no departamento de TI. Certifique-se de que eles nunca sejam muito específicos ao mencionar detalhes sobre o software e os sistemas de segurança cibernética usados por sua organização.
- Procure essas informações também na Internet e suprima-as quando possível.
- Sempre use um sistema de segurança de e-mail hospedado e uma proteção antispam para impedir qualquer e-mail prejudicial.
- Em qualquer caso, nunca envie informações confidenciais como credenciais e senhas para ninguém. Quando alguns anexos são enviados a você, carrega-os com seu antivírus antes de abri-los.
- Mantenha todo o seu software constantemente atualizado para evitar qualquer abuso ou violação de segurança.
- Conhecimento e consciência são as chaves. Mantenha-se informado sobre o últimas tendências de phishing trends.
- As organizações precisam treinar sua equipe e organizar simulações de ataques de spear phishing. Dessa forma, eles podem desenvolver a consciência dessa ameaça e identificar quais funcionários são mais vulneráveis a esses tipos de golpes.
- Treine sua equipe para relatar qualquer e-mail suspeito ao departamento de TI e para evitar clicar em qualquer URL nos e-mails. Em vez disso, eles devem se conectar diretamente ao site genuíno.
- Cuidado com e-mails incomuns e inesperados, especialmente se eles alegarem ser urgentes.
- Se a sua organização tem boas habilidades no departamento de TI, pode valer a pena pedir que marquem todos os e-mails externos para que sejam facilmente diferenciados dos e-mails internos.
- Estabeleça regras estritas sobre o uso de senhas. Proíba sua equipe de reutilizar uma senha ou de usar senhas muito fáceis de quebrar.
- Estabeleça processos de pagamento envolvendo muitas aprovações executivas.
- Evite qualquer política de “BYOD” e o uso de softwares, plataformas ou aplicativos externos não expressamente baseados por seu departamento de TI.
- A prevenção também é importante, especialmente para possíveis alvos mais frágeis, como usuários mais velhos ou mais jovens. Se alguém perto de você pode ser um alvo fácil, avise-o sobre o spear phishing. Se puder, fique de olho nas caixas de e-mail.
- Informe sua equipe, seus amigos e familiares sobre os riscos incorridos ao compartilhar dados pessoais nas redes sociais.
- Algumas ferramentas foram criadas especificamente para prevenir phishing. Aqui está uma seleção que você pode usar para controlar qualquer URL antes de clicar nele: Where Goes, Redirect Detective e Redirect Check.
- E por último, mas não menos importante: use um provedor de e-mail seguro como Mailfence para garantir a segurança e privacidade do e-mail.
Prevenir o spear phishing é fundamental para manter seus dados pessoais protegidos. Se você não seguir alguns passos mínimos para evitar esse cenário, pode esperar que seu e-mail seja hackeado. Leia nossos conselhos saber o que fazer neste caso, e contate-nos se você tiver alguma dúvida sobre segurança e privacidade.
Mailfence é um conjunto de ferramentas de colaboração integradas com muitos recursos para proteger seus dados pessoais. Se você já possui uma conta, sabe tudo sobre ela. Se não, o que você está esperando? Abra uma conta gratuita agora.
Mantenha-se atualizado com nossos artigos mais recentes, seguindo-nos no Twitter e Reddit. Para mais informações sobre Mailfence e-mail seguro suíte, não hesite em nos contatar em support@mailfence.com.
Patrick é um dos co-fundadores do Mailfence. Como um empreendedor em série que investe em startups desde 1994, ele já lançou diversas empresas digitais pioneiras, como a Allmansland, a IP Netvertising e a Express.be. Ele acredita e defende fortemente a criptografia e a privacidade. Você pode segui-lo no Twitter e LinkedIn em @pdeschutter.
