Conteúdo relevante e atual para MSP’s

Logo Datasafer

| Blog

Spear phishing: entenda a ameaça e saiba como se proteger

Você sabe como ocorre um ataque de spear phishing? Entenda melhor os detalhes dessa estratégia, que é responsável por um a cada 99 e-mails enviados mundialmente, e saiba o que fazer para proteger seu dispositivo dessa ameaça. 

Neste conteúdo, você vai encontrar mais informações sobre uma das formas de ataque mais eficientes, além de entender alguns desdobramentos e como ajudar na proteção de seus clientes. Para isso, continue no texto e tenha uma boa leitura!

O que é spear phishing?

Spear phishing é o nome dado a uma estratégia de furto de dados, feita por aplicativos de mensagem eletrônica. O meio mais comum utilizado para esse tipo de crime é o e-mail, mas qualquer aplicativo ou programa que permita a troca de mensagens entre usuários pode ser utilizado.

Além do roubo de informações, os ataques podem ser direcionados com a intencionalidade de instalar um malware no dispositivo do alvo. Dentre as estratégias mais comuns desse tipo de engenharia social, estão o envio de link para formulários, arquivos que chamem a atenção do usuário e até ofertas supervantajosas.

alerta de spam spear phishing
Fique atento, é comum os provedores e-mail não reconhecerem os ataques de spear phishing como spam.

Segundo os dados de uma pesquisa realizada pela CISCO, pelo menos um usuário por empresa já caiu nesse tipo de ataque. Os dados, ainda, reforçam que cerca de 90% dos vazamentos de dados começam com um ataque de spear phishing

Como funciona um ataque spear phishing?

Uma das características desse tipo de ataque é que ele ocorre de maneira especializada. O criminoso por trás de tudo não aplica o golpe de forma aleatória, geralmente, ele toma um tempo para coletar dados do alvo — o suficiente para personalizar a investida e tornar as chances de sucesso mais altas.

Alguns exemplos de como esses dados são coletados são: quando a pessoa navega em sites não seguros, instala um software infectado ou faz o download de um anexo inseguro do e-mail. 

Em ambientes corporativos, por exemplo, é comum que o criminoso envie uma mensagem se passando por um colega de trabalho ou fornecedor, pedindo para baixar determinado arquivo ou preencher algum formulário.

Já quando o ataque acontece por meio de mídias sociais e aplicativos de mensagem, como o Discord, os criminosos cruzam os dados de interesse do usuário e conseguem enviar propostas praticamente irrecusáveis.

homem acessando arquivos infectados com spear phishing
Ao clicar em um link ou baixar um anexo, isso permite o acesso às informações contidas na máquina do usuário.

Mesmo que lentamente, caminhamos para a Web 3, com sua estrutura de dados descentralizada e sua promessa de liberdade, proporcionada pela blockchain. O uso dessa tecnologia vem sendo explorado cada vez mais, porém um dos mais tradicionais é o da comercialização de criptomoedas, como o bitcoin, moeda favorita dos hackers, muito utilizada em pedidos de resgate nos casos de ransomware.

Para além da liberdade, a blockchain dificulta o rastreamento das transações, uma vez que o processo é rastreável, mas os indivíduos não. Somado a isso, a falta de conhecimento de quem se aventura nesse universo faz com que as criptomoedas sejam um dos tópicos mais rentáveis entre ataques de spear phishing.

E não apenas os usuários, mas as crypto exchanges, as corretoras desse tipo de moeda, também estão na mira dos criminosos. Em maio de 2021, um relatório publicado pela ClearSky, sobre as atividades do grupo CryptoCore, revelou ataques de spear phishing em corretoras crypto de diversos países. As perdas foram estimadas em mais de US$ 200 milhões.

Por fim, vale ressaltar que essa tática busca a exploração de um dos vetores mais incontroláveis na cibersegurança: a interação humana. O relatório Data Breach Investigations Report (DBIR), publicado em 2022 pela Verizon, expôs que a falha humana é responsável por 82% dos incidentes registrados.

spear phishing de cryptomoedas
Dentre um dos tópicos mais utilizados para a prática, estão as criptomoedas.

Qual a diferença entre phishing e spear phishing?

Com certeza, você já conhece o phishing, certo? Ele é caracterizado por ser um tipo de golpe com aplicação ampla, sendo disparado para o máximo de pessoas possível, por vezes, por uma botnet (uma rede de bots maliciosos conectados entre si). Geralmente, se seu provedor de e-mail está fazendo um bom trabalho, as mensagens são jogadas para a pasta de spam.

O funcionamento do spear phishing é mais ou menos o mesmo. Porém, como já abordamos, trata-se de uma tática personalizada. Portanto, é comum que o e-mail utilizado seja bem elaborado, ao ponto de não ser identificado como spam, ou até mesmo um e-mail real, sequestrado de outra vítima.

A diferença entre os dois tipos é que, enquanto o phishing dispara o maior número de mensagens possível, não importando a quantidade de resultados, o spear phishing é uma estratégia muito calculada e objetiva alvos específicos.

Além disso, as informações pessoais do usuário são utilizadas na estratégia. Geralmente, em conjunto a um gatilho de urgência, como uma promessa milagrosa ou, então, em alguns casos, com ameaças perturbadoras.

Homem vítima de spear phishing
Por vezes, a tática tende a desestruturar emocionalmente os alvos, deixando-os mais propensos a cair no ataque.

Para se ter uma ideia de como os ataques são eficientes, entre 2013 e 2015, Evaldas Rimasauskas forjou e-mails, documentos assinados por membros do alto escalão corporativo e até invoices — um tipo de nota fiscal utilizada internacionalmente — para roubar mais de US$ 100 milhões do Google e do Facebook ao se passar pela empresa Taiwanesa, Quanta Computer.

Conheça outras táticas de phishing

Quando percebemos a configuração dos ataques de phishing, podemos entender que existem diversas formas de explorar essa estratégia. O spear phishing, como você percebeu, é mais direcionado e personalizado, buscando alvos específicos.

Porém, existem outras táticas que fazem parte dessa classe de ataques cibernéticos e precisam ser entendidas pelos usuários, para que, só assim, consigam identificar e se esquivar. Confira outras possibilidades exploradas pelos cibercriminosos!

Smishing

A tática de smishing utiliza telefones celulares como vetores de ataque. O criminoso se passa por alguma instituição e, por meio de SMS, tenta coletar dados pessoais de suas vítimas. Os mais comuns são documentos, como RG e CPF, assim como cartões de crédito e informações bancárias.

De forma simplificada, essas mensagens chegam aleatoriamente às vítimas. Um exemplo bem comum, que ocorre no Brasil, são as mensagens de cheque especial ou dívidas com empréstimos. Em tom de alerta, a notificação acompanha um link e pede ao usuário que entre em contato.

A questão é que, por vezes, o usuário mais atento consegue identificar o smishing com facilidade. Seja porque não possui conta na instituição específica que o notifica ou por possíveis erros de digitação. Porém, é importante lembrar que nem todos  possuem esse “traquejo” tecnológico, principalmente as pessoas idosas.

Whaling

Também conhecido como fraude do CEO, o whaling eleva o nível de especificidade de um spear phishing. Nesse tipo de ataque, além de focar em alvos muito delimitados, com cargos importantes dentro das organizações, o criminoso se passa por uma figura de poder de uma instituição. 

Daí vem o nome whaling, de whale ou baleia em português, como são chamadas as figuras de alta influência e poder dentro de negócios. O nível de personificação e personalização do ataque é tão robusto que os alvos são levados a acreditar que a mensagem é real e veio do remetente.

Vishing

Da união de voice e phishing, surge o vishing. Uma tática muito perspicaz e versátil, que utiliza de ligações como vetor de ataque. O gancho pode estar localizado em qualquer local, desde as tradicionais mensagens de texto ou e-mail do phishing, mas a conclusão é feita por meio de uma ligação ou chamada de voz.

Uma vez que a vítima entra em contato com o criminoso, que finge ser um atendente, a pessoa é levada a acreditar que existe algum problema que precisa ser resolvido. E obviamente, a resolução demanda um pagamento. O criminoso se aproveita da falta de conhecimento do alvo.

Outro desdobramento desse tipo de ataque, voltado para empresas, são golpistas se passando por novos clientes. O intuito é coletar dados importantes que ajudem a escalonar suas atividades ilegais. 

Se, porventura, o usuário cair no golpe e passar qualquer informação, como número de documentos, senhas de acesso ou dados de cartão de crédito, o preço sai muito mais caro do que o anunciado. Em relatório, a Help Net Security mostra que os ataques de vishing cresceram 550% de 2021 para 2022.

Como se defender de um spear phishing?

Independentemente da estrutura de segurança utilizada, ataques de spear phishing podem ocorrer. É importante estar atento a boas práticas de segurança para se defender, afinal, muitas das investidas podem ser identificadas se analisadas com calma.

Os e-mails, por exemplo, ainda que parecidos, devem ser analisados. Às vezes, pequenas alterações no endereço utilizado são perceptíveis, como a troca de caracteres ou um número no lugar de uma letra — desde que você esteja atento!

Cuidado também com mensagens que pedem por urgência na ação, esse é um gatilho muito utilizado para convencer o usuário a clicar no link ou efetuar a ação necessária. Se o e-mail vier de um colega de trabalho, verifique pessoalmente se a informação confere antes de fazer qualquer coisa.

Dispositivo móvel é vetor de spear phishing

Conforme relatório da PRADEO, apps em dispositivos mobile são um dos maiores vetores utilizados para a prática de phishing, correspondendo a 85% dos ataques.De acordo com o relatório Phishing Trends Report 2021 da Wandera, o número de ataques bem sucedidos em dispositivos mobile cresceu cerca de 160% entre o período de setembro de 2020 e setembro de 2021. Já o Enterprise Mobile Security Report, da Pradeo, revelou que 85% dos casos de phishing em dispositivos móveis são feitos por apps.

Esses dispositivos são mais suscetíveis tanto pela tela ser menor, dificultando o reconhecimento da ameaça, quanto pelo refinamento da prática, que utiliza certificados de segurança HTTPS e punycode (protocolo de codificação) para camuflar os domínios maliciosos em casos de personificação de marcas.

Jamais clique em links ou faça o download de arquivos de e-mails, especialmente de fontes desconhecidas, mesmo se identificadas como uma empresa tentando extorqui-lo com uma informação personalizada. Ao receber esse tipo de mensagem, bloqueie o contato e exclua.

O spear phishing continua sendo uma das maiores ameaças por conta da efetividade que possui e por explorar um dos recursos mais valiosos das instituições e, ainda assim, mais frágeis: as pessoas. 

Por isso, a informação quanto aos riscos e a atenção contínua são boas aliadas na mitigação desse tipo de golpe. Como profissional da área, auxiliar os colaboradores com treinamentos, preferencialmente com exemplos práticos, é uma ótima alternativa. 

Continue acompanhando os artigos sobre o universo da TI do blog da Datasafer. Clique no banner abaixo e saiba mais sobre os tipos de armazenamento de dados!

Banner final do texto Spear Phishing contendo: Quer saber quais são os tipos de armazenamento? Clique aqui.