O que é Spear Phishing?

Spear phishing é um tipo de ataque de phishing que tem como alvo uma organização ou indivíduo específico. Spear phishing é um ataque de falsificação de e-mail que visa infectar a vítima com malware ou induzi-la a revelar dados e informações confidenciais.

Os spear phishers procuram alvos que possam resultar em ganho financeiro ou exposição de segredos comerciais para espionagem corporativa, informações de identificação pessoal (PII) para roubo de identidade e informações de saúde protegidas (PHI) para fraude de seguros.

Como os e-mails de phishing comuns, as campanhas de spear phishing se disfarçam de fonte confiável. Ao contrário dos e-mails genéricos de phishing, o spear phishing é um ataque direcionado e geralmente não vem de uma empresa conhecida ou site popular como Microsoft, Google ou LinkedIn.

As tentativas de spear phishing se disfarçam de colegas ou executivos da sua organização. Sem educação adequada, as campanhas de spear phishing podem ser prejudiciais, e é por isso que é importante educar os funcionários a verificar novamente os e-mails suspeitos que solicitam informações confidenciais.

Como funciona o spear phishing?

O spear phishing é um ataque cibernético relativamente pouco sofisticado quando comparado a um ataque mais tecnológico, como o cryptoworm ransomware WannaCry.

No entanto, a quantidade e a qualidade dos e-mails de phishing melhoraram drasticamente na última década e está se tornando cada vez mais difícil detectar e-mails de spear phishing sem conhecimento prévio.

Isso ocorre porque os cibercriminosos têm como alvo indivíduos que expõem informações pessoais na Internet ou têm empregos de alto nível.

Ao explorar práticas inadequadas de OPSEC, eles coletam informações de mídias sociais, notícias e violações de dados para entender os relacionamentos pessoais e profissionais e os detalhes pessoais do alvo.

Após o processo de reconhecimento, os spear phishers criam mensagens personalizadas que parecem autênticas, entregues pelo que parece ser um indivíduo de confiança.

A esperança é que o alto nível de personalização aumente o sucesso do e-mail de spear phishing.

O objetivo de um e-mail de spear phishing pode ser uma resposta direta, interagir com um link malicioso, baixar um anexo que explora uma vulnerabilidade de dia zero e instala um tipo de malware ou expor senhas, números de previdência social ou cartões de crédito.

Por que o spear phishing é eficaz?

A eficácia do spear phishing se resume à psicologia e à tecnologia.

Os seres humanos têm um desejo inato de confiar em amigos e colegas, o que ajuda na coesão social. Os spear phishers usam engenharia social para explorar nosso desejo de ajudar aqueles que conhecemos e confiamos.

Combine isso com o fato de que os e-mails de spear phishing estão se tornando cada vez mais difíceis de detectar porque geralmente se parecem com e-mails comerciais normais, por exemplo, um link para colaborar no arquivo do Google Drive. Além disso, o software de proteção contra phishing geralmente pode perder esses tipos de ataques porque não deseja bloquear e-mails genuínos e frustrar os usuários.

Isso é conhecido como comprometimento de e-mail comercial ou BEC.

Alguns spear phishers se apresentam como empresas legítimas para coletar informações sobre indivíduos específicos e aumentam lentamente o golpe para aumentar a reputação do endereço IP e do domínio para evitar o software de segurança de e-mail.

Em suma, o sucesso de uma campanha de spear phishing depende de:

1. O remetente aparente é um indivíduo conhecido e confiável
2. As informações no e-mail de phishing parecem válidas
3. A solicitação que está sendo feita parece lógica

Se um ataque atender a esses critérios, a taxa de sucesso pode ser alta. Dito isso, com treinamento, até mesmo os ataques mais sofisticados podem ser reconhecidos.

Quais são as características dos ataques de spear phishing?

As características comuns dos e-mails de spear phishing não são diferentes dos golpes tradicionais de phishing:

• O e-mail usa falsificação de e-mail para se disfarçar de pessoa ou domínio confiável. Em uma inspeção mais detalhada, pode ser revelado que há um erro tipográfico ou um caractere foi substituído por outro com o qual se assemelha (por exemplo, i maiúsculo "I" vs L minúsculo "l").
• A engenharia social é empregada para criar um senso de urgência para explorar o desejo da vítima de ser útil para um amigo ou colega. Também pode ser usado para explicar por que a solicitação não foi feita por meio de um canal normal.
• Gramática ruim, erro tipográfico ou linguagem diferente da linguagem usual do remetente falso, por exemplo, o tom é muito informal, muito formal ou usa jargão incorreto.
• As configurações de SPF e DMARC não correspondem ao nome de domínio que está sendo falsificado.

Qual é a diferença entre phishing e spear phishing?

Golpes de phishing e spear phishing têm objetivos semelhantes. A diferença é que o spear phishing é altamente direcionado, enquanto o phishing se baseia na lei dos grandes números, enviando milhares de e-mails esperando que alguns sejam vítimas.

Os spear phishers têm como alvo indivíduos e-mails destinados exclusivamente à vítima ou organização. Ao limitar seu escopo, é mais fácil para os golpistas incluir informações pessoais como nome e cargo, aumentando a chance de a vítima ver o e-mail como legítimo.

Leia nosso guia sobre phishing para obter mais informações.

Qual é a diferença entre Spear Phishing e Whaling?

Whaling é uma forma de spear phishing direcionada a indivíduos de alto perfil, como executivos de empresas públicas, políticos ou celebridades. Essas mensagens de spear phishing têm como alvo o indivíduo e seu papel na organização.

Por exemplo, os ataques de caça às baleias geralmente vêm na forma de uma solicitação falsa do CEO solicitando ao departamento de RH que altere os detalhes da folha de pagamento existentes para aqueles configurados pelo phisher.

Os membros do conselho também são alvos da caça às baleias porque têm muita autoridade, mas não são funcionários em tempo integral. Eles costumam usar endereços de e-mail pessoais que podem ter menos proteção do que contas de e-mail corporativas.

Leia nosso guia sobre ataques baleeiros para obter mais informações.

Quais ferramentas ajudam com o spear phishing?

Assim como o phishing, o spear phishing não requer nenhuma ferramenta específica e pode até ser feito com um endereço de e-mail gratuito. Um gmail gratuito que corresponda ao nome do CFO pode ser suficiente para convencer as contas a pagar uma fatura.

Ataques mais sofisticados podem empregar typosquatting, sequestro de domínio ou explorar a falta de DNSSEC para aumentar a taxa de sucesso de seus e-mails.

Existem também kits de phishing disponíveis na dark web que facilitam a representação de sites legítimos que a vítima pode usar diariamente, especialmente se sua empresa depender de ferramentas SaaS populares.

Alguns kits de phishing ainda têm personalização automática e coletam contas de mídia social em busca de informações em nome do phisher.

Como prevenir o spear phishing

A má notícia é que quanto mais bem-sucedida sua organização se tornar, maior a probabilidade de você ser alvo de sofisticadas campanhas de spear phishing.

A política de segurança da informação e o programa de gerenciamento de riscos da informação da sua organização precisam empregar defesa em profundidade, usando controles técnicos e humanos para mitigar o risco de segurança cibernética do spear phishing.

Juntamente com a proteção padrão contra ameaças à segurança, como verificação de vulnerabilidades compatível com CVE, software antivírus, software antimalware, filtros de spam e certificados SSL, as organizações devem usar testes de simulação de phishing, treinamento de conscientização de segurança e fornecer à equipe uma maneira de relatar e-mails suspeitos à equipe de segurança de TI.

Um bom controle baseado em processo para reduzir o risco de transferências eletrônicas não autorizadas é impossibilitar o pagamento de uma fatura sem que várias pessoas assinem o pagamento. Isso reduz muito o risco de um fornecedor ou colega ser representado com sucesso.

Seus funcionários podem evitar ser vítimas de ataques de spear phishing:

• Limitar a quantidade de informações pessoais que eles compartilham nas mídias sociais e outros sites públicos.
• Evite clicar em links em e-mails e, se necessário, verifique se o texto mostrado corresponde ao texto âncora do link e ao destino declarado.
• Entre em contato com o remetente do e-mail por telefone ou pessoalmente para confirmar a solicitação.
• Usando autenticação de dois fatores ou biométrica junto com senhas fortes.
• Usar a lógica ao interagir com e-mails suspeitos, por exemplo, um e-mail de um colega solicitando o pagamento de uma fatura vencida quando ele nunca pediu antes, provavelmente não é legítimo.

O gerenciamento de risco do fornecedor é uma parte frequentemente negligenciada da prevenção de ataques de spear phishing. Não importa quão boa seja a segurança interna das informações e a segurança dos dados, se um fornecedor terceirizado cair em uma campanha de spear phishing, ele poderá expor dados confidenciais.

Peça a seus fornecedores o relatório SOC 2, desenvolva uma estrutura de gerenciamento de risco de terceiros e automatize o gerenciamento de risco do fornecedor.

Os cibercriminosos entendem que os fornecedores são um possível vetor de ataque e você deve fazê-lo.

O risco de terceiros e o risco de terceiros devem ser mitigados, as organizações que se enquadram nisso estão expostas a ameaças cibernéticas reais.

O que são exemplos de spear phishing?

O exemplo a seguir ilustra a progressão de um ataque de spear phishing:

1. O spear phisher reúne informações sobre você de suas contas de mídia social para entender melhor quem podem ser seus colegas
2. O invasor identifica que seu chefe pode ser Joe
3. Você recebeu um e-mail falso enviado do que afirma que o endereço de e-mail de Joe joe@example.com
4. O e-mail afirma que Joe precisa de uma fatura da AWS paga rapidamente e tem um link para o que parece ser https://aws.amazon.com
5. Depois de clicar no link, você é direcionado para uma página de login no https://awsamazon.com, um site falso idêntico à página de login https://aws.amazon.com.
6. Você faz login e expõe suas credenciais corporativas da AWS ao spear phisher.