Os ataques de phishing são uma ameaça persistente num mundo altamente digital, uma preocupação constante tanto para indivíduos como para organizações. Os ataques de spear phishing são um subconjunto desses tipos de crimes cibernéticos que são particularmente preocupantes. Mas o que é exatamente o spear phishing e é possível prevenir esses ataques?
Spear phishing: Uma definição
Enquanto phishing é um termo geral para ataques cibernéticos realizados por e-mail, SMS ou chamadas telefônicas, alguns podem se perguntar como são chamados ataques de phishing direcionados. A resposta é spear phishing. Em termos mais simples, trata-se de ataques cibernéticos altamente personalizados que visam indivíduos ou empresas específicas. Normalmente, esses ataques são realizados por meio de e-mails de spear phishing que parecem legítimos para o destinatário e os incentivam a compartilhar detalhes confidenciais com o invasor. Embora o objetivo dos ataques de spear phishing geralmente seja roubar informações como credenciais de login ou informações de cartão de crédito, alguns são projetados para infectar dispositivos com malware. Frequentemente, hackers e hacktivistas patrocinados pelo governo são os perpetradores de golpes de spear phishing. No entanto, criminosos cibernéticos individuais também realizam esses ataques com a intenção de perpetrar roubo de identidade ou fraude financeira, manipulando preços de ações, cometendo espionagem ou roubando dados confidenciais para revendê-los a governos, empresas privadas ou outros indivíduos interessados.
O que torna os golpes de spear phishing tão bem-sucedidos – mais do que os ataques de phishing padrão – é que os invasores realizam pesquisas extensas sobre os alvos pretendidos. Usando as informações que encontram, eles podem usar técnicas de engenharia social para criar ataques excepcionalmente personalizados que enganam o alvo, fazendo-o pensar que está recebendo e-mails e solicitações legítimas. Como consequência, mesmo alvos de alto escalão dentro das organizações, como altos executivos, podem abrir e-mails que acreditavam ser seguros. Esses tipos de erros inadvertidos permitem que os criminosos cibernéticos roubem os dados necessários para atacar a rede desejada.
Como funcionam os ataques de spear phishing?
Existem essencialmente cinco etapas para golpes de spear phishing bem-sucedidos. que são:
- Definir os objetivos do ataque
- Escolher os alvos através de pesquisa preliminar
- Identificar uma lista restrita de alvos e pesquisá-los minuciosamente
- Criar e-mail de spear phishing utilizando as informações coletadas e técnicas de engenharia social.
Esses ataques direcionados funcionam porque os e-mails de spear phishing criam uma sensação de familiaridade com a vida do destinatário. Os invasores gastam muito tempo e esforço para rastrear o máximo possível de detalhes sobre o trabalho, a vida, os amigos e a família dos destinatários. Ao vasculhar a Internet e perfis de redes sociais em plataformas como Facebook e LinkedIn, os phishers podem encontrar informações como endereços de e-mail e números de telefone, uma rede de amigos, familiares e contatos comerciais, locais frequentados, bem como coisas como a empresa onde trabalham e sua posição, onde fazem compras online, quais serviços bancários utilizam e muito mais. Usando todas essas informações, os invasores podem construir perfis extensos de seus alvos potenciais e criar e-mails de spear phishing usando técnicas de engenharia social que são personalizadas e parecem legítimas porque vêm de indivíduos ou empresas com as quais interagem regularmente e contêm informações que podem ser autênticas.
O e-mail normalmente solicitaria que o destinatário respondesse imediatamente com determinados detalhes ou conteria um link onde ele teria que inserir esses detalhes em um site que falsifica sites legítimos. Por exemplo, o link do e-mail pode direcioná-los para um site falso de seu banco ou site de comércio eletrônico preferido, onde terão que fazer login em suas contas. Nesse ponto, o invasor poderá roubar os detalhes de login e as senhas por seus próprios meios maliciosos. Às vezes, porém, o e-mail contém um anexo ou link que, quando o destinatário faz download ou clica, instala malware em seu dispositivo. O invasor pode então usar isso para roubar as informações necessárias ou sequestrar computadores para organizá-los em redes enormes — chamadas botnets — que pode ser usado para executar ataques de negação de serviço (DoS).
No entanto, é importante lembrar que nem todo usuário de Internet ou perfil de rede social é um bom alvo para spear phishing. Como exige mais esforço do que o phishing padrão, os criminosos cibernéticos muitas vezes procuram alvos de alto valor. Frequentemente, os invasores usam algoritmos automatizados para vasculhar a Internet e as redes sociais em busca de determinadas informações – como senhas ou PINs – e identificam indivíduos de alto valor que possuem maior potencial para ataques de spear phishing bem-sucedidos.
Esses golpes se tornaram tão sofisticados que são quase impossíveis de serem perpetrados por uma pessoa comum. É por isso que, embora não existam medidas de segurança cibernética infalíveis contra spear phishing, compreender como funcionam esses ataques e aprender quais sinais devem ser considerados pode ser útil para evitá-los.
Identificando um golpe de spear phishing
Uma das chaves para aprender a prevenir spear phishing é compreender as diferentes técnicas que os phishers utilizam para garantir o sucesso dos seus ataques. Dessa forma, indivíduos e funcionários de empresas podem ficar protegidos contra golpes de spear phishing. Ao receber um e-mail com qualquer um dos sinais de alerta abaixo, é importante tratá-lo com cautela.
- O e-mail foi projetado para criar uma sensação de urgência ou pânico – o e-mail pode parecer vir de um gerente da empresa e exigir urgentemente detalhes de login para executar uma ação urgente.
- A linguagem é projetada para desencadear emoções – como medo ou culpa – que motivam o destinatário a agir.
- O endereço de e-mail parece incorreto. Talvez o domínio não esteja correto ou o formato do nome seja incomum.
- Erros óbvios de ortografia e gramática, especialmente em e-mails de grandes organizações como bancos.
- Solicitar informações confidenciais e detalhes pessoais.
- Links com erros ortográficos ou formatados corretamente não correspondem ao endereço de destino ao passar o mouse sobre o link.
- Anexos não solicitados, especialmente aqueles com nomes de arquivo incomuns.
- Uso de pretextos, como dizer que suas credenciais de login estão prestes a expirar e devem ser alteradas imediatamente usando o link do e-mail.
Qual é a diferença entre spear phishing e phishing?
Embora ambos sejam tipos de ataques cibernéticos, talvez seja importante compreender como os ataques de spear phishing diferem dos ataques de phishing. Ambos são usados por criminosos cibernéticos para induzir os usuários a compartilhar informações pessoais confidenciais, mas essencialmente, os primeiros são ataques direcionados e personalizados para o alvo pretendido, enquanto os segundos são ataques amplos destinados a "phishing" em busca de quaisquer dados confidenciais que possam enganar os usuários a compartilhar.
Os ataques de phishing geralmente envolvem e-mails genéricos que tentam forçar o destinatário a compartilhar dados pessoais, como senhas e detalhes de cartão de crédito. O phisher então usa essas informações para fins mal-intencionados, como roubo de identidade ou fraude financeira. É crucial que os ataques de phishing não sejam adaptados ao destinatário. Os criminosos cibernéticos estão essencialmente tentando a sorte e buscando quantidade (enviando muitos e-mails de phishing) em vez de qualidade (criando e-mails de phishing usando técnicas mais sofisticadas que podem ter maiores chances de sucesso). Normalmente, esses e-mails se fazem passar por grandes empresas – como bancos ou lojas de comércio eletrônico – e contêm links maliciosos que enganam os destinatários para que compartilhem seus dados ou instalem malware em seus dispositivos.
Por outro lado, os golpes de spear phishing são ataques altamente direcionados e muito personalizados para a vítima pretendida. Por conterem detalhes relacionados ao destinatário específico, os e-mails de spear phishing parecem ser mais legítimos, especialmente porque geralmente vêm de indivíduos ou organizações com as quais o destinatário está familiarizado. Como tal, os criminosos cibernéticos precisam investir significativamente mais tempo e esforço no lançamento de ataques de spear phishing – e têm mais chance de sucesso.
Para aqueles que estão se perguntando como são chamados os ataques de phishing direcionados, existem dois subconjuntos específicos junto com o spear phishing: whaling e Business Email Compromise (BEC).
Os ataques whaling são um terceiro tipo de ataque que têm muitas semelhanças com os golpes de phishing e spear phishing. Whaling visa especificamente indivíduos de alto perfil, como executivos de alto escalão, membros do conselho, celebridades e políticos. Esses ataques também usam e-mails altamente personalizados para tentar roubar informações financeiras, sensíveis ou de outra forma confidenciais de empresas ou organizações e podem causar danos financeiros ou de reputação significativos à instituição envolvida.
O último tipo de ataque de phishing, os BECs, se fazem passar por funcionários da empresa para perpetrar fraudes financeiras nas organizações. Em alguns casos, o e-mail pode parecer de um executivo de alto escalão e fazer com que um funcionário de nível inferior pague uma fatura fraudulenta ou transfira fundos para o "executivo". Os BECs também podem assumir a forma de comprometimento de e-mail, em que o invasor sequestra o e-mail de um funcionário para fazer com que os fornecedores paguem faturas falsas ou outros funcionários transfiram dinheiro ou informações confidenciais.
Como evitar spear phishing
A segurança cibernética tradicional do spear phishing muitas vezes não é suficiente para prevenir esses ataques porque eles são excepcionalmente bem executados. Como resultado, eles estão cada vez mais difíceis de detectar. Um simples erro pode ter consequências graves para o alvo, seja ele um indivíduo, governo, empresa ou organização sem fins lucrativos. Apesar da prevalência desses ataques – e da sofisticação de sua personalização – existem muitas medidas que indivíduos ou organizações podem implementar para a prevenção do spear phishing. Embora não erradiquem completamente a ameaça desses ataques, oferecem camadas adicionais de segurança que tornarão menos provável sua ocorrência. Abaixo estão algumas dicas de especialistas sobre como prevenir spear phishing.
- Procure regularmente e-mails suspeitos, como aqueles que solicitem alterações de senha ou que contenham links suspeitos.
- Use uma rede privada virtual (VPN) para proteger e criptografar todas as atividades online.
- Use um software antivírus para verificar todos os e-mails em busca de anexos, links ou downloads de e-mail possivelmente mal-intencionados.
- Aprenda a verificar a veracidade de uma fonte de e-mail.
- Aprenda a verificar URLs e sites para evitar a abertura de links maliciosos.
- Em vez de clicar nos links de um e-mail, acesse de forma independente o site da organização e pesquise a página necessária.
- Certifique-se de que todos os softwares estejam atualizados e executando os patches de segurança mais recentes.
- Cuidado ao compartilhar muitos dados pessoais online – se necessário, verifique os perfis de mídia social, exclua tudo que possa ser usado por phishers e garanta que as configurações de privacidade estejam definidas nos níveis mais altos.
- Use um gerenciador de senhas e pratique hábitos inteligentes de senha, incluindo a criação de senhas complexas para diferentes contas e altere-as regularmente.
- Sempre que possível, habilite a autenticação multifatorial ou biométrica.
- Em caso de dúvida sobre a origem de um e-mail, entre em contato com a pessoa ou organização para verificar se ela o enviou e solicitou as informações solicitadas.
- As empresas podem implementar treinamento de conscientização em segurança para garantir que os funcionários estejam cientes dos riscos desses ataques e como mitigá-los.
- As organizações podem realizar simulações de phishing regulares para treinar os funcionários sobre como reconhecer e lidar com e-mails suspeitos.
Ataques de spear phishing não são inevitáveis
A maioria dos usuários da Internet tem um conhecimento básico de phishing, mas é importante entender qual é a diferença entre spear phishing e phishing padrão. Como os e-mails de spear phishing usam técnicas de engenharia social que exigem muita pesquisa, esses ataques são altamente personalizados para os alvos pretendidos e, portanto, têm uma chance muito maior de sucesso do que o ataque de phishing padrão. Embora esses ataques representem sempre um risco, é possível tentar mitigá-los. Tomar medidas para saber que tipo de sinais de alerta observar regularmente em e-mails suspeitos usando VPNs e software antivírus, e ter cuidado com links e anexos suspeitos pode ser útil para evitar ataques de spear phishing.
Obtenhao Kaspersky Premium + 1 ANO GRÁTIS do Kaspersky Safe Kids. O Kaspersky Premium recebeu cinco prêmios AV-TEST por melhor proteção, melhor desempenho, VPN mais rápida, controle dos pais aprovado para Windows e melhor classificação para controle dos pais para Android.
Artigos e links relacionados:
Como evitar ataques cibernéticos
Fui vítima de ataques de phishing? E agora?
Meu e-mail foi hackeado – o que eu devo fazer a seguir?
Como evitar ataques de engenharia social
Produtos e serviços relacionados:
Kaspersky Endpoint Security Cloud
Kaspersky VPN Secure Connection
Kaspersky Premium - Detalhes do produto