As táticas dos cibercriminosos estão sempre em evolução. Esse é um fato que sempre destacamos por aqui e que tem tudo a ver com os ataques de spear phishing e com a crescente preocupação com esse tipo de ameaça.
O phishing usa mensagens falsas que guardam similaridades com mensagens verídicas para “fisgar” as vítimas ― até aí, sem novidades. Contudo, com base no relatório State of Email Security in a AI-Powered World, da Abnormal Security, 98% dos líderes em segurança estão preocupados com o impacto das ferramentas de AI generativa para a cibersegurança.
O grande risco está relacionado ao uso dessas ferramentas para criar e-mails de phishing bastante sofisticados. Algo que já começou a ocorrer e, portanto, merece a atenção da sua empresa para evitar que o ataque ocorra e alguém, inadvertidamente, abra as portas da rede corporativa para a ação dos hackers.
O que é spear phishing?
Em essência, o spear phishing é um ataque de engenharia social que se traduz em uma forma mais sofisticada de phishing, que se ancora em mensagens mais personalizadas e, portanto, mais convincentes, para atrair as vítimas.
Como você sabe, hackers usam o phishing para tentar enganar as pessoas acerca da veracidade de uma mensagem e tentar convencê-las a clicar em um link e fornecer informações sensíveis como senhas ou números de cartão de crédito.
No universo corporativo, esse tipo de ataque costuma visar o acesso à rede ou aos sistemas em uso pela empresa com a finalidade de obter informações sobre o negócio, seus clientes e outros usuários, em busca de algum tipo de vantagem.
Para aumentar suas chances de sucesso, os criminosos sabem que precisam caprichar no conteúdo e no design da mensagem. Foi esse tipo de cuidado que deu origem ao spear phishing na forma de e-mails mais precisos e personalizados, elevando o risco para as empresas-alvo.
Qual é a diferença entre phishing e spear phishing?
Com base no que explicamos, entenda que o phishing é um ataque cibernético amplo e genérico. Ou seja, os hackers enviam e-mails fraudulentos em massa, sem muita análise do perfil dos destinatários, na esperança de enganar algumas pessoas e obter informações sensíveis.
Por sua vez, o spear phishing é uma forma mais direcionada e personalizada de phishing.
Isso significa que, para esse tipo de ataque, os cibercriminosos investem tempo e recursos para conhecer suas vítimas antes e enviam um volume bem menor de e-mails. Nesse caso, não estão contando (somente) com a sorte para “fisgar” alguém, mas confiando no seu trabalho de pesquisa e elaboração de mensagens convincentes para alcançar seus objetivos.
Como funcionam os ataques de spear phishing?
Se você está se perguntando como o spear phishing funciona porque quer entender esse ataque mais sofisticado, vamos explicar em três etapas, veja:
1. Um cibercriminoso identifica e pesquisa a vítima
Tudo começa com um trabalho minucioso de pesquisa porque, como o objetivo é criar uma mensagem personalizada, o criminoso precisa conhecer bem seu alvo para enviar um e-mail que tenha mais chances de “fisgar” a vítima.
Para tanto, reúne informações como o nome da pessoa, cargo, interesses, pessoas próximas e até mesmo suas atividades recentes na internet. É isso o que vai permitir uma abordagem mais convincente.
Ainda que o objetivo de hacker seja acessar informações de uma empresa, o ataque começa a nível pessoal, focado em um indivíduo que tenha chances de ser vítima do ataque de spear phishing e garantir aos cibercriminosos acesso ao universo digital e virtual da organização.
2. Uma mensagem personalizada é criada para enganar a vítima
Com o alvo definido e bem conhecido, o hacker cria uma mensagem personalizada, aparentemente legítima e muito conveniente; projetada especificamente para atrair a atenção e a confiança da vítima em questão.
Para tanto, o cibercriminoso vai buscar caminhos nas informações que colheu, como: nome, cargo, interesses, relacionamentos e até mesmo suas atividades recentes na internet. Dessa forma, pode usar esses conhecimentos no e-mail a ser enviado.
Exemplo: se o hacker sabe de uma compra recente feita por alguém, pode enviar uma comunicação falsa, se passando pela loja em que o produto foi adquirido, e solicitando informações sensíveis para confirmar a compra ou liberar uma garantia extendida, por exemplo.
3. Depois que a confiança é estabelecida, a vítima é fisgada
Pode ser que o cibercriminoso envie mais de uma mensagem, de forma bem estratégica a fim de criar uma aproximação que deixe a pessoa-alvo menos desconfiada.
Independentemente de serem enviados um ou mais e-mails, com a confiança estabelecida, aumentam-se as chances de que a pessoa clique em um link contendo o programa malicioso e forneça informações sensíveis ao hacker sem nem perceber.
Como identificar um ataque de spear phishing?
O spear phishing não é novidade, mas está se tornando mais sofisticado em razão do uso das AIs generativas (como Chat GPT, Worm GPT e outras). Assim, as orientações para evitar esse ataque envolvem dicas já conhecidas e uma dica nova.
- Observe o teor das mensagens: ainda que o hacker estude a vítima para enviar um e-mail convincente, ainda é possível desconfiar de seu conteúdo, especialmente quando há a solicitação para baixar um anexo ou clicar em um link;
- Atente-se para a escrita: com atenção, conseguimos perceber quando o texto enviado não se parece com o de outros e-mails que já recebemos da “mesma” empresa ou pessoa. O tom de voz e a linguagem podem denunciar a tentativa de golpe;
- Confira o endereço de e-mail remetente: não basta olhar o nome, é preciso passar o cursor por cima e abrir detalhes do endereço de email usado. Comumente, os hackers usam endereços falsificados, mas muito semelhantes aos legítimos;
- Verifique se o link enviado é suspeito: ao passar o cursor por cima do link, é possível visualizar a URL de destino e, assim, avaliar se é algo legítimo ou não;
- Atente-se para o teor da mensagem: todo e-mail que solicita informações pessoais ou confidenciais devem ser tratados como suspeitos e verificados antes de enviar qualquer resposta. Além disso, se existe um senso de urgência na mensagem, é porque o cibercriminoso está buscando fazer a vítima agir logo, sem pensar muito sobre os riscos;
- Desconfie do excesso de informações pessoais: como vimos, no spear phishing, o hacker pesquisa a vítima para conhecê-la e ganhar sua confiança. Assim, a presença de muitas informações pessoais na mensagem pode ser um sinal de tentativa de ataque.
Vale lembrar que, em caso de qualquer suspeita de ataque de spear phishing durante esse processo de análise e identificação do golpe, é melhor optar pela prevenção e acionar o time de segurança de TI da empresa e, a depender do caso, informar as autoridades competentes também.
Exemplos de spear phishing
Para que você entenda melhor como aplicar as análise de identificação de um ataque de spear phishing, vamos a alguns exemplos fictícios que elaboramos para ilustrar o tipo de comunicação que chegar através dos e-mails elaborados pelos hackers.
E-mail de “cliente/fornecedor”
Assunto: “Pagamento Pendente – Fatura Atrasada”
Remetente: “[Nome do Cliente]” <[endereço de email removido]>
Conteúdo:
“Olá [Nome do Funcionário], estamos cobrando um pagamento pendente de R$ [Valor] referente à fatura [Número da Fatura]. Por favor, faça o pagamento o mais rápido possível para evitar juros e multas. Clique no link abaixo para acessar o boleto: [Link Malicioso]”.
E-mail do “Suporte de TI”
Assunto: “Alerta de Segurança – Falha no Login”
Remetente: “[Nome do Suporte de TI]” <[endereço de email removido]>
Conteúdo:
“Olá [Nome do Funcionário], detectamos uma tentativa de login não autorizada em sua conta. Para sua segurança, bloqueamos o acesso. Clique no link abaixo para redefinir sua senha: [Link Malicioso]”.
Considere que, em ambos os exemplos, os nomes do cliente, funcionário e representante do suporte de TI serão verídicos, uma vez que os hackers terão feito seu trabalho de pesquisa.
No caso da interação com o cliente ― ou fornecedor ―, há grandes chances de que a “fatura atrasada” seja, de fato, condizente com uma transação habitual entre as partes ou com uma negociação recente.
Google e Facebook: prejuízo de mais de US$ 100 milhões
E para tornar a situação ainda mais real, vale trazer o caso do cibercriminoso Evaldas Rimasauskas e sua equipe que, entre 2013 e 2015, causaram um prejuízo considerável às duas gigantes da tecnologia.
Para executar o ataque de spear phishing, Rimasauskas criou uma empresa falsa, se passando por uma fornecedora legítima da Google e do Facebook. Então, enviou e-mails com faturas falsas para funcionários de ambas as empresas, obtendo uma quantia de mais de US$ 100 milhões transferida para contas bancárias da empresa fictícia.
O nível de personalização e sofisticação foi tão alto que o golpe também envolveu a criação de documentos falsos ― incluindo selos corporativos falsificados ― para evitar suspeitas por parte das instituições bancárias.
Como impedir ataques de spear phishing?
Ainda que os cibercriminosos estejam elaborando ataques cada vez mais refinados, é possível adotar estratégias para impedir que sua empresa seja vítima de spear phishing. Algo que depende de uma abordagem proativa que combina medidas técnicas, práticas de segurança robustas e treinamento de conscientização sobre as melhores práticas online.
Confira a seguir as principais estratégias que sua organização pode implementar:
Use filtros de e-mail eficientes
O uso de filtros de e-mail tem como finalidade o bloqueio automático de mensagens de spear phishing antes que cheguem à caixa de entrada de algum funcionário da organização. Para que a ferramenta funcione corretamente, é preciso configurar filtros que favoreçam a detecção das mensagens maliciosas, considerando características comuns desse tipo de ataque.
Implemente mecanismos de autenticação e hierarquia de acesso
Considerando que, por vezes, os ataques de spear phishing buscarão informações de login, usando mensagens falsas sobre necessidade de alteração de senhas e afins, é importante adicionar uma camada extra de proteção com a autenticação de dois fatores.
Assim, ainda que alguém clique em um link para criar um novo acesso (como sugere o exemplo do e-mail enviado pelo suporte de TI), aumentam-se as chances de evitar que os cibercriminosos recebam todas as informações de que necessitam para conseguir o acesso desejado.
Outra importante estratégia é definir hierarquia de acesso à informações sensíveis. Dessa forma, mesmo que os dados de login sejam obtidos pelos hackers, existe a possibilidade de que isso não garanta que consigam visualizar os dados mais valiosos da organização.
Mantenha os programas sempre atualizados
Em relação aos softwares e aplicações, é sempre fundamental mantê-los atualizados, com os últimos patches de segurança lançados pelos desenvolvedores ― algo que se aplica também ao sistema operacional. Isso ajuda a corrigir vulnerabilidades conhecidas que os hackers poderiam explorar em ataques de spear phishing.
Ainda, é necessário ter o mesmo cuidado e dar uma atenção especial aos softwares de segurança, como o antivírus, firewall e outros programas usados pela empresa.
Defina políticas de segurança rígidas
Outra medida para impedir ataques de spear phishing é contar com políticas de segurança rigorosas que:
- instruam os funcionários acerca de como lidar com dados sensíveis;
- certifique que todos entendam e sigam as políticas de segurança da empresa;
- defina regras de acesso à informações confidenciais.
Invista em treinamentos de conscientização
Pegando gancho com a estratégia anterior, é importante lembrar que o spear phishing tem pessoas como alvo. Por essa razão, os funcionários precisam ser orientados sobre os riscos e as melhores práticas de segurança cibernética para que saibam identificar os sinais de phishing e adquiram o hábito de reportar ataques suspeitos para o time de TI.
Falamos de uma medida que favorece a construção ou fortalecimento de uma cultura de Segurança da Informação ativa e ajuda a desenvolver a resiliência cibernética da empresa.
Faça simulações de spear phishing
Para testar o quão preparados os funcionários estão para identificar e reportar um ataque, pode ser interessante fazer simulações periódicas. Dessa forma, cria-se uma oportunidade de aprendizado prático e outra para identificar possíveis falhas no treinamento, de modo a torná-lo mais eficaz e realmente garantir que as pessoas da empresa estejam aptas a contribuir com sua proteção contra o spear phishing.
Avalie riscos regularmente
Realize avaliações de riscos regulares para identificar vulnerabilidades e implementar medidas de segurança adicionais para corrigir problemas e elevar os níveis de proteção contra ataques de spear phishing. Falamos de uma estratégia essencial para manter as defesas da organização atualizadas em um cenário de ameaças em constante evolução.
Aposte no monitoramento de rede
Por fim, faça o monitoramento contínuo da rede corporativa em busca de atividades suspeitas ou consideradas anormais. Assim, será possível identificar tentativas de spear phishing em tempo real e tomar medidas rápidas para mitigar o impacto, manter as operações básicas da empresa e evitar qualquer tipo de prejuízo.
Gestão de vulnerabilidades contra ataques de spear phishing
A essa altura, não restam dúvidas de que falamos de uma ameaça que demanda bastante atenção das pessoas da empresa e uma postura proativa de segurança, certo?
Cada uma das medidas que sugerimos é importante para que, de forma combinada, reduzem significativamente o risco de um ataque de spear phishing bem-sucedido contra a organização. E falamos de um esforço contínuo, visto que os cibercriminosos estão, a todo tempo, trabalhando para driblar as estratégias de proteção e alcançar seus objetivos.
Assim, o elemento-chave para evitar esse tipo de ataque ― bem como outras ameaças que explorem vulnerabilidades conhecidas e desconhecidas ― é o monitoramento constante de eventos de segurança para agir de forma preventiva ou mitigatória com rapidez, de forma a evitar ou minimizar impactos.Para tornar isso possível, sua empresa e equipe interna de TI podem contar com a parceria especializada e 100% dedicada da Prolinx.
