O que é um ataque spear phishing?

Golpe que usa emails especialmente desenhados é ainda mais perigoso que o phishing tradicional

Se esta não é a sua primeira visita ao nosso blog, você provavelmente já sabe o que é phishing. Se não sabe, confira esse post. Basicamente, phishing é um tipo de fraude para roubar dados pessoais: logins, senhas, informações bancárias e assim por diante. É essencialmente engenharia social.

Há um tipo de phishing conhecido como spear phishing. A principal diferença se comparado com as outras formas é ele ter alvos específicos -mas ninguém está a salvo, pois ataca pessoas e empresas.

O fato de ter um alvo faz do spear phishing mais perigoso. Cibercriminosos coletam meticulosamente informações sobre a vítima para tornar a “isca” mais atrativa. Eles agem por meio de e-mails bem produzidos, confundindo a vítima sobre a autenticidade. Por isso, é mais eficiente.

Motivações e os responsáveis

Há dois motivos associados ao uso do spear phishing: roubar dinheiro ou ter acesso a informações confidenciais. Em qualquer um dos casos, o primeiro passo é entrar na rede corporativa. A abordagem padrão é mandar e-mails com documentos ou arquivos maliciosos para os funcionários. Por exemplo, é assim que opera o grupo responsável pelo APT Silence.

Um documento pode ser transformado em arma ao usar macros no Microsoft Word ou códigos do JavaScript – essencialmente, programas minúsculos e básicos desenvolvidos em arquivos padrão com o único propósito de baixar um malware bem perigoso no computador da vítima. O intuito é infectar a rede do alvo ou interceptar toda a informação possível, ajudando seus criadores a encontrar o que estavam procurando na rede.

Spear phishing não é para os pequenos golpistas, que buscam lançar as suas redes o mais longe possível. Eles não têm tempo, nem meios de customizar as suas ferramentas. É uma arma para ataques maiores em grandes corporações, bancos ou pessoas influentes. Esse tipo de ataque é desenvolvido em campanhas de ameaças persistentes e avançadas (APT), como  Carbanak ou BlackEnergy. Também foi usado nos ataques Bad Rabbit, que começaram via e-mail.

Quem são os alvos?

Os alvos mais comuns de spear phishing são os funcionários de alto nível com acesso à informação potencialmente estratégica e as equipes de departamentos que trabalham com  diversos documentos vindos de fontes externas.

Por exemplo, os departamentos de recursos humanos recebem vários currículos em todos os formatos. Por isso, e-mails com anexos de fontes desconhecidas não é são nem um pouco surpreendentes ou suspeitos. A área de relações públicas e vendas também são vulneráveis, assim como tantas outras.

O setor de contabilidade também está numa zona de risco especial. Para começar, lidam com contratantes, reguladores e só Deus sabe quem mais. E, claro, trabalham com softwares de bancos e dinheiro. Para os hackers em busca de uma brecha, é o lugar perfeito.

Já os espiões estão interessados em pessoas que têm acesso interno aos sistemas – de administração e TI.

Mas não seja enganado pela ideia de que spear phishing só acontece nas grandes companhias. Pequenos e médios negócios também são interessantes. Porém, enquanto os maiores estão mais propensos a serem espionados, os demais provavelmente serão roubados.

Medidas de proteção

No geral, as técnicas mais eficazes para combater spear phishing são mais ou menos as mesmas que para os outros tipos de phishing. Veja nosso post com 10 dicas para máxima proteção contra essa ameaça.

No mundo ideal, e-mails phishing não deveriam nem chegar à sua caixa de entrada. Em uma infraestrutura empresarial, tais mensagens devem ser filtradas no nível do servidor. Há pacotes de softwares especiais que podem ajudar nisso. Por exemplo, o Kaspersky Security for Mail Server usa tecnologias de nuvem para bloquear ataques maliciosos e links de phishing.

Ainda assim, para melhores resultados, o sistema de segurança deve ser multicamadas. Afinal, é possível na teoria (e na prática) que os funcionários usem serviços de e-mail de terceiros ou recebam um link de phishing em uma mensagem instantânea. Então, o melhor é equipar as estações de trabalho com uma solução capaz de detectar atividades maliciosas em aplicativos que os cibercriminosos costumam atacar. Nossa sugestão é o Kaspersky Endpoint Security for Business.

Dicas